Jump to content

micha42

Premium Member
 Profil anzeigen  Aktivitäten des Benutzers anzeigen

  • Gesamte Inhalte

    1.034

  • Registriert seit

  • Letzter Besuch

 Inhaltstyp 

Beiträge erstellt von micha42

  3. Interne PKI einrichten

    in Windows Forum — Security

    Geschrieben · bearbeitet von micha42

    Bei der Verwendung von VMs für offline CAs gibt es noch eine Menge mehr zu beachten. So sollte man die VM immer auf einem neu installierten Host betreiben, der niemals mit dem Netzwerk verbunden war und den man nach der Arbeit an der CA komplett wiped: http://blogs.technet.com/b/lrobins/archive/2008/10/15/virtualized-offline-cas.aspx

     

     

    Da steige ich aber aus. der Paranoialevel ist evtl. für eine Bank, für eine Landes- oder Bundesbehörde oder für eine Infrastruktur entsprechender Größe geeignet. Ich werde mich dran erinnern, wenn ich das RZ des BKA administriere.

    ;)

  5. Freigabe von Unterordnern

    in Windows Server Forum

    Geschrieben · bearbeitet von micha42

    Danke erstmal für die Antworten.

     

    So wie ich das verstehe soll ich einfach den Unterordnern die z.B im Ordner Docs sich befinden (z.B. ein Ordner unter \\Server\Docs\Kunden\Dokumente\HermannBeispiel) die View Rechte der jeweiligen Person vergeben und dann einfach über den Ordner unter "Netzwerk" suchen auf dem Server? Ich glaube nicht dass das funktioniert, da ja der Hauptordner keine Rechte für diese Person aufweist, weil ich doch die Vererbung nicht deaktivieren soll. Ich bin leicht durcheinander. ;)

     

    Hi,

    der Satz hier "\\Server\Docs\Kunden\Dokumente\HermannBeispiel" deutet auf ein Missverständniss.

     

    Also:

    der Ordner "D:\Dokumente\Kunden" ist freigegeben. Der Freigabename ist "\\Dateiserver\Kunden". Freigabe-Berechtigt ist die Gruppe "Kunden"; NTFS-Berechtigt kann jeder Vollzugriff bekommen.

    Dabei muss der Ordner "Dokumente" keine besonderen Berechtigungen haben.

     

    ODER:

    Du möchtest den Ordner "D:\Dokumente\Kunden" der Gruppe "Kunden" zur Verfügung stellen (siehe oben) ABER dem Benutzer "KundenbetreuerA" Zugriff auf den Ordner "D:\Dokumente\Kunden\KundeA" geben. OHNE dass er Zugriff auf den Ordner "D:\Dokumente\Kunden" hat und OHNE dass er Zugriff auf "D:\Dokumente\Kunden\KundeB" hat. (WARNUNG: lass es , siehe oben)

    Wenn Du das willst, dann:

    der Ordner "D:\Dokumente\Kunden" ist freigegeben. Der Freigabename ist "\\Dateiserver\Kunden". Freigabe-Berechtigt ist die Gruppe "Kunden" UND der User "KundenbetreurA"; NTFS-Berechtigt kann NICHT jeder Vollzugriff bekommen. Sondern nur die Gruppe "Kunden" Vollzugriff (besser: ändern) und der Benutzer "KundenbetreuerA" bekommt (siehe Post von NorbertFe) das Recht "Ordnerinhalt anzeigen" NUR FÜR DIESEN ORDNER, außerdem bekommt der user "kundenbetreuerA" das NTFS-Recht "ändern" am Ordner "KundeA"

    Dabei muss der Ordner "Dokumente" keine besonderen Berechtigungen haben.

     

    Du kannst den Usern die Freigabe als Laufwerk mappen, dann brauchen die nicht suchen

     

    Du siehst schon an der deutlich längeren Beschreibung, wie viel komplizierter das Verfahren ist. KISS (keep it smal and simple) ist hier missachtet.

     

    Meines Erachtens besser:

    der Ordner "D:\Dokumente\Kunden" ist freigegeben. Der Freigabename ist "\\Dateiserver\Kunden". Freigabe-Berechtigt ist die Gruppe "Kunden"; NTFS-Berechtigt kann jeder Vollzugriff bekommen.

    der Ordner "D:\Dokumente\KundeA" ist freigegeben. Der Freigabename ist "\\Dateiserver\KundeA". Freigabe-Berechtigt ist die Gruppe "KundeA"; NTFS-Berechtigt kann jeder Vollzugriff bekommen.

    In der Gruppe "KundeA" ist die Gruppe "Kunden" und der User "KundenbetreuerA"

     

    uff - so das sollte reichen

     

    M

  8. Freigabe von Unterordnern

    in Windows Server Forum

    Geschrieben

    eyeyey

    aber erstmal herzlich Willkommen an Board.

    Dein Stichwort heißt "Vererbung"

    Ein user, der auf einem Ordner keine Rechte hat, der kann diesen nicht "durchqueren" um an einem Unterordner, den er sehen darf was zu machen.

     

    Also am Oberordner die Vererbung nach unten deaktivieren und das Recht "ordnerinhalt anzeigen" vergeben

    am Unterordner die REchte vergeben, die Du lustig bist.

    AAAber davon rate ich ab!

    Du verzettelst Dich mit solchen Konstrukten.

    Halte das System möglichst flach. Alles andere endet im Chaos (obwohl, wenn ich Dein Benutzerbild betrachte: das solltest Du können - kleiner Scherz)

     

    Nein ich rate Dir: ein Ordner: Daten

    ein Unterordner Arbeitsgruppe1 mit Freigabe für die Gruppe Arbeitsgruppe1

    etc

    Keine Unterfreigaben

    alles was da nicht reinpasst wird neu angelegt

     

    Gib dieses System erst möglichst spät auf und wenn dann dokumentiere gut.

     

    Viel Spaß

    Michael

  9. Interne PKI einrichten

    in Windows Forum — Security

    Geschrieben

    Hi OLC,

    ich komme erst jetzt dazu zu antworten ...

    den Denkfehler kann ich noch nicht erkennen, bin aber sehr neugierig, ob es so ist, wie Du schreibst.

    Eine Root-CA ist ja nicht verletzlicher als eine Child-CA. Wieso erhöhe ich den Angriffsvektor?

    Wenn eine CA kompromittiert ist, muss ich sowieso die Zertifikate zurückrufen und neue Zertifikate ausstellen. Daher hab ich da die gleiche Arbeit.

    auch viele Grüße

    Micha

  13. Interne PKI einrichten

    in Windows Forum — Security

    Geschrieben

    Nein - es ist nicht "oversized". Du mußt Dein angestrebtes Sicherheitsniveau definieren und davon abhängig machen, wie Du die PKI betreiben möchtest.

     

    Es gibt im Kern eigentlich so gut wie kein Szenario, in dem eine offline Root CA keinen Sinn haben würde. Du betreibst eine PKI per Definition, um die Gesamtsicherheit in Deiner Umgebung zu steigern. Eine online Root CA setzt genau dieses Sicherheitsniveau wieder herunter. Ich würde soweit gehen zu sagen, daß Du Dir dann auch gleich die PKI sparen kannst - was sicherlich etwas übertrieben ist, den Hintergrund jedoch recht gut darstellt.

     

    Viele Grüße

    olc

    sehe ich anders. Eine CA, die korrumpioert ist ersetze ich, egal ob root oder Child.

    Der Aufwand ist nur dann größer, wenn an der Root-CA mehr als ein Child hängt. Daher: bei mehreren Unter-CAs eine offliene-Root-CA.

    Grüße m

  22. ICE 2013

    in Off Topic

    Geschrieben

    ...sagt das ein Anwalt? - hä? hat das dann mehr Gewicht?

    --- gibt es ein Az? - hä? willst Du dann Akteneinsicht beantragen?

     

    Man jungs, wir sind doch alle keine Juristen (und die arbeiten in D nunmal sehr langsam).

    Lasst uns doch mal einfach (ist das einfach bei all den Emotionen?) den Ausgang des Verfahrens abwarten.

     

    Ich wäre dafür solange den Beitrag hier zu schließen, bevor die Boardregeln noch weitere 35 mal (geschätzt) gebrochen werden.

     

    Klar ist schon jetzt, dass dieser ganze Vorfall der Comunity geschadet hat.

    Michael

    • Like 1

  23. ICE 2013

    in Off Topic

    Geschrieben

    Ich erinnere mich, das letztes Jahr viel Werbematerial :suspect: von Strahlemännchen auf der ice auslag und es das erste mal keine Tombola zu den Spenden gab...

    naja, bei aller Kritik, das ist ja erstma in Ordnung. Erwähnt werden sollte, dass die Strahlemänchen NIX mit dem Kram zu tun haben. und Tombula, macht der, der das machen will.

    WEnn man aber eine macht, die Preise nicht zu verteilen ist was anderes

  24. Wer kann sich daran erinnern?

    in Off Topic

    Geschrieben

    Ich hab mal einen SChulungsraum mit Windows 95a und Office (hm Version weiß ich nicht mehr) neu aufgesetzt

    10 Rechner

    32 Disketten Windows, 26 Disketten Office: 2 Tage DJ

    Da war mit mein erster Rechner (n 286 mit Dos 6.1 1MB RAM und immerhin einer 40MB Platte lieber)

    Die 40 MB Platte hängt hier in meinem Büro an der Wand. Zusammen mit einem Ringkernspeicher (den hab ich aber nicht in Gebrauch gehabt)

×
×
  • Neu erstellen...