-
Gesamte Inhalte
1.034 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von micha42
-
-
Off-Topic:
hey mit "Paranoialevel" will ich keinen diskriminieren. Das ist nur ein schönes Wort um innerhalb des "Risk-Management" zu umschreiben, wie man zwischen Sicherheitsbedürfnis und Aufwand abwägt.:)
-
Bei der Verwendung von VMs für offline CAs gibt es noch eine Menge mehr zu beachten. So sollte man die VM immer auf einem neu installierten Host betreiben, der niemals mit dem Netzwerk verbunden war und den man nach der Arbeit an der CA komplett wiped: http://blogs.technet.com/b/lrobins/archive/2008/10/15/virtualized-offline-cas.aspx
Da steige ich aber aus. der Paranoialevel ist evtl. für eine Bank, für eine Landes- oder Bundesbehörde oder für eine Infrastruktur entsprechender Größe geeignet. Ich werde mich dran erinnern, wenn ich das RZ des BKA administriere.
;)
-
einklink:
muss ich einem Postfach eine CAL geben, auf das 3 User zugreifen, die schon über Ihr Benutzerpostfach eine CAL haben?
so würde ich die Frage verstehen (und mir zueigen machen) ;)
-
Danke erstmal für die Antworten.
So wie ich das verstehe soll ich einfach den Unterordnern die z.B im Ordner Docs sich befinden (z.B. ein Ordner unter \\Server\Docs\Kunden\Dokumente\HermannBeispiel) die View Rechte der jeweiligen Person vergeben und dann einfach über den Ordner unter "Netzwerk" suchen auf dem Server? Ich glaube nicht dass das funktioniert, da ja der Hauptordner keine Rechte für diese Person aufweist, weil ich doch die Vererbung nicht deaktivieren soll. Ich bin leicht durcheinander. ;)
Hi,
der Satz hier "\\Server\Docs\Kunden\Dokumente\HermannBeispiel" deutet auf ein Missverständniss.
Also:
der Ordner "D:\Dokumente\Kunden" ist freigegeben. Der Freigabename ist "\\Dateiserver\Kunden". Freigabe-Berechtigt ist die Gruppe "Kunden"; NTFS-Berechtigt kann jeder Vollzugriff bekommen.
Dabei muss der Ordner "Dokumente" keine besonderen Berechtigungen haben.
ODER:
Du möchtest den Ordner "D:\Dokumente\Kunden" der Gruppe "Kunden" zur Verfügung stellen (siehe oben) ABER dem Benutzer "KundenbetreuerA" Zugriff auf den Ordner "D:\Dokumente\Kunden\KundeA" geben. OHNE dass er Zugriff auf den Ordner "D:\Dokumente\Kunden" hat und OHNE dass er Zugriff auf "D:\Dokumente\Kunden\KundeB" hat. (WARNUNG: lass es , siehe oben)
Wenn Du das willst, dann:
der Ordner "D:\Dokumente\Kunden" ist freigegeben. Der Freigabename ist "\\Dateiserver\Kunden". Freigabe-Berechtigt ist die Gruppe "Kunden" UND der User "KundenbetreurA"; NTFS-Berechtigt kann NICHT jeder Vollzugriff bekommen. Sondern nur die Gruppe "Kunden" Vollzugriff (besser: ändern) und der Benutzer "KundenbetreuerA" bekommt (siehe Post von NorbertFe) das Recht "Ordnerinhalt anzeigen" NUR FÜR DIESEN ORDNER, außerdem bekommt der user "kundenbetreuerA" das NTFS-Recht "ändern" am Ordner "KundeA"
Dabei muss der Ordner "Dokumente" keine besonderen Berechtigungen haben.
Du kannst den Usern die Freigabe als Laufwerk mappen, dann brauchen die nicht suchen
Du siehst schon an der deutlich längeren Beschreibung, wie viel komplizierter das Verfahren ist. KISS (keep it smal and simple) ist hier missachtet.
Meines Erachtens besser:
der Ordner "D:\Dokumente\Kunden" ist freigegeben. Der Freigabename ist "\\Dateiserver\Kunden". Freigabe-Berechtigt ist die Gruppe "Kunden"; NTFS-Berechtigt kann jeder Vollzugriff bekommen.
der Ordner "D:\Dokumente\KundeA" ist freigegeben. Der Freigabename ist "\\Dateiserver\KundeA". Freigabe-Berechtigt ist die Gruppe "KundeA"; NTFS-Berechtigt kann jeder Vollzugriff bekommen.
In der Gruppe "KundeA" ist die Gruppe "Kunden" und der User "KundenbetreuerA"
uff - so das sollte reichen
M
-
Ahh, jetzt sehe ich klarer. Danke für die Erhellung. Da hatte ich in der Tat einen Punkt nicht bedacht, den Du gleich in der ersten Frage ansprichst. (wie Zurückziehen?)
Grüße
Michael
-
Stimmt, der Rest meiner Aussage bleibt meiner Meinung nach aber bestehen.
-
eyeyey
aber erstmal herzlich Willkommen an Board.
Dein Stichwort heißt "Vererbung"
Ein user, der auf einem Ordner keine Rechte hat, der kann diesen nicht "durchqueren" um an einem Unterordner, den er sehen darf was zu machen.
Also am Oberordner die Vererbung nach unten deaktivieren und das Recht "ordnerinhalt anzeigen" vergeben
am Unterordner die REchte vergeben, die Du lustig bist.
AAAber davon rate ich ab!
Du verzettelst Dich mit solchen Konstrukten.
Halte das System möglichst flach. Alles andere endet im Chaos (obwohl, wenn ich Dein Benutzerbild betrachte: das solltest Du können - kleiner Scherz)
Nein ich rate Dir: ein Ordner: Daten
ein Unterordner Arbeitsgruppe1 mit Freigabe für die Gruppe Arbeitsgruppe1
etc
Keine Unterfreigaben
alles was da nicht reinpasst wird neu angelegt
Gib dieses System erst möglichst spät auf und wenn dann dokumentiere gut.
Viel Spaß
Michael
-
Hi OLC,
ich komme erst jetzt dazu zu antworten ...
den Denkfehler kann ich noch nicht erkennen, bin aber sehr neugierig, ob es so ist, wie Du schreibst.
Eine Root-CA ist ja nicht verletzlicher als eine Child-CA. Wieso erhöhe ich den Angriffsvektor?
Wenn eine CA kompromittiert ist, muss ich sowieso die Zertifikate zurückrufen und neue Zertifikate ausstellen. Daher hab ich da die gleiche Arbeit.
auch viele Grüße
Micha
-
ohh mein SUB (Stapel ungelesener Bücher) wächst
Danke
Karl Olsberg: Das System - fand ich auch ziemlich gut
m
-
hab noch einen:
Daniel Suarez: Kill Decision (Es geht um Dronenkriege)
mk
-
Wir nutzen WhatsUp.
Damit sind wir superzufrieden. Das läuft hier auch an Bildschirmen in den Büros und ist so ein bisschen Selbst-Marketing.
SIM-Karte? Da kannst du irgendeinen Vertrag ohne Grundgebühren abschließen, so viel sendet der ja nicht (hopfully ;))
m
-
Nein - es ist nicht "oversized". Du mußt Dein angestrebtes Sicherheitsniveau definieren und davon abhängig machen, wie Du die PKI betreiben möchtest.
Es gibt im Kern eigentlich so gut wie kein Szenario, in dem eine offline Root CA keinen Sinn haben würde. Du betreibst eine PKI per Definition, um die Gesamtsicherheit in Deiner Umgebung zu steigern. Eine online Root CA setzt genau dieses Sicherheitsniveau wieder herunter. Ich würde soweit gehen zu sagen, daß Du Dir dann auch gleich die PKI sparen kannst - was sicherlich etwas übertrieben ist, den Hintergrund jedoch recht gut darstellt.
Viele Grüße
olc
sehe ich anders. Eine CA, die korrumpioert ist ersetze ich, egal ob root oder Child.
Der Aufwand ist nur dann größer, wenn an der Root-CA mehr als ein Child hängt. Daher: bei mehreren Unter-CAs eine offliene-Root-CA.
Grüße m
-
Ich denke mal da muss man auch mal die Umgebung betrachten. Bei einer Root-CA und einer Sub-CA ist es oversized.
Bei mehreren Sub-CAs lohnt sich der Aufwand.
m
-
nein obergeil!
-
evtl. könnte auch der Switch zu wenig Leistung haben.
-
hehe, recht kurz gehalten, aber alles gesagt.
Da geht nur eine Neuinstallation
-
Welcher DNS-Server ist denn auf dem DC1 eingetragen?
Ich meine in der IP-Konfiguration der Netzwerkkarte.
m
-
nö, aber soll ja billig sein, also würde ich zu einem lokalen PC-Handler gehen und das mit dem besprechen.
Weswegen ich antworte: wichtig seint mir noch folgende Anmerkung:
Schmeiß den alten Server NICHT weg.
mk
-
Moin,
Ready Player One von Ernest Cline.
Gruß, Nils
EXTRAGEIL
Danke für den Tip!
bestimmt für Spieler noch besser.
Michael
-
-
...sagt das ein Anwalt? - hä? hat das dann mehr Gewicht?
--- gibt es ein Az? - hä? willst Du dann Akteneinsicht beantragen?
Man jungs, wir sind doch alle keine Juristen (und die arbeiten in D nunmal sehr langsam).
Lasst uns doch mal einfach (ist das einfach bei all den Emotionen?) den Ausgang des Verfahrens abwarten.
Ich wäre dafür solange den Beitrag hier zu schließen, bevor die Boardregeln noch weitere 35 mal (geschätzt) gebrochen werden.
Klar ist schon jetzt, dass dieser ganze Vorfall der Comunity geschadet hat.
Michael
- 1
-
Ich erinnere mich, das letztes Jahr viel Werbematerial :suspect: von Strahlemännchen auf der ice auslag und es das erste mal keine Tombola zu den Spenden gab...
naja, bei aller Kritik, das ist ja erstma in Ordnung. Erwähnt werden sollte, dass die Strahlemänchen NIX mit dem Kram zu tun haben. und Tombula, macht der, der das machen will.
WEnn man aber eine macht, die Preise nicht zu verteilen ist was anderes
-
Ich hab mal einen SChulungsraum mit Windows 95a und Office (hm Version weiß ich nicht mehr) neu aufgesetzt
10 Rechner
32 Disketten Windows, 26 Disketten Office: 2 Tage DJ
Da war mit mein erster Rechner (n 286 mit Dos 6.1 1MB RAM und immerhin einer 40MB Platte lieber)
Die 40 MB Platte hängt hier in meinem Büro an der Wand. Zusammen mit einem Ringkernspeicher (den hab ich aber nicht in Gebrauch gehabt)
-
hähä, ist das der Parallel-Thread zu "Fimzitate raten"?
Interne PKI einrichten
in Windows Forum — Security
Geschrieben
Bei mir ist immer "Budget kleiner als alles"
ich hatte noch nie "irgendwas kleiner als Budget"
:)