Alles zum Thema Windows Server sowie Windows IT Pro Themen — Q & A zu den Windows Server Versionen NT / 2000 / 2003 / 2003 R2 / 2008 / 2008 R2: Rollen, Features, Konfiguration, Troubleshooting
mein Chef fragt ob wir auf dem Server einen Ordner erstellen können, auf den nur er Zugriff hat und nicht die Admins.
Dort sollen wichtige Daten abgelegt werden.
Mir fällst da nichts spannendes ein, weil ich mir als Admin auf dem Server immer Zugriff auf jeden Ordner legen kann.
Habe überlegt ob man dies mit einem USB Stick o.ä. machen könnte und den Ordner dann mit Passwort schütz .
Er könnte auch in eine passwortgeschütze .rar reinschreiben oder auf einen externen Datenträger die Sachen speichern und diesen trennen, bevor er mit Notebook ans Netz geht.
Mehr fällt mir sonst auch nicht ein.
Für einen "Full-Administrator" gibt es einen Unterschied zwischen Zugriff auf etwas haben oder sich ihn verschaffen können.
Der Chef könnte den Besitz des Ordners übernehmen oder der Administrator könnte ihn übergeben, dann dem Administrator das Zugriffsrecht entziehen, sich ihn selbst entziehen.
Natürlich kann sich der Administrator den Besitz wieder aneignen (übernehmen), der Chef würde es nicht merken.
es gibt dafür mehrer Möglichkeiten. Zum einen könnte man, wie schon vorgeschlagen, die Rechte für den Admin auf den Ordner entziehen. Effektiv ist das aber nur, wenn danach das Monitoring so eingestellt wird, dass jedes Event gemonitort wird welches mit einer illegalen übernahme der Rechte im Zusammenhang stehen könnte (neue Gruppe / Benutzer auf die Ordner berechtigen, Besitz übernehmen, Ändern der Gruppenmitgliedschaft bestehender berechtigter Gruppen) zudem müßte das Monitoring durch eine unabhängige Person erfolgen.
Die zweite Möglichkeit ist verschlüsseln. Es gibt diverse Programme dafür mit denen man den Inhalt von bestimmten Laufwerken einschränken kann (passwort oder cert + passwort). Truecrypt wäre eine kostenlose möglichkeit das umzusetzen... Safeguard bietet hier auch Lösungen für den Unternehmenseinsatz an...
Beim Rumspielen an den NTFS-Rechten aber immer daran denken, dass die BAckupsoftwware noch Zugriff haben muss. Davon kann die ein Admin immer was zurücksichern. Einzigste Möglichkeit ist wohl die Verschlüsslung. Wobei sich der Chef dann bewusst sein muss, dass er keine Hilfe im Fehlerfall bekommen kann (Password vergessen usw.). Die Daten sind dann weg.
