Jump to content
Sign in to follow this  
Darkmind

admin shares und Berechtigungen

Recommended Posts

Hallo Leute.

 

Ich habe folgendes kleinere Problem zu lösen.

 

eine Firma wird auf einem Server eine Branchen Software installieren. Dafür wird Ihnen eine komplette Partition auf dem Server zur verfügung gestellt.

Nun ist es so das diese Firma auch die Fernwartung via VPN übernehmen wird.

 

Jetzt wollte ich mal fragen was ich tun kann, damit dieser VPN Benutzer keine Berechtigungen für den zugriff auf das gesamte Laufwerk C: (System) und laufwerk d: (daten firma) erhält.

 

Ich habe nur nicht allzu gute erfarungen beim erstetzen der Berechtigungen des systemlaufwerks. :D

 

Wenn ich es so lösen würde, das dieser Benutzer einer bestimmten gruppe hinzugefügt wird und ich dieser Gruppe den Zugriff auf laufwerk c: verweigere, würde das evtl. Funktionieren ?

 

leider ist meine ganze Testumgebung abgestürtzt :cry: Deshalb kann ich die besagte konfiguration momentan nicht testen.

 

kennt da wer vielleicht eine lösung ?

 

danke und Gruss

 

Darkmind

Share this post


Link to post

Den Zugriff auf die Systempartition wirst Du nicht verwehren können, da ansonsten die Anmeldung nicht klappt. Du kannst aber mit GPOs den Account so zunageln, dass außer der Administration der Branchensoftware nicht viel mehr gemacht werden kann. Ist der Server ein DC?

 

Wenn auf dem LW D: nur Daten und keine System-/Programm-Dateien liegen, kannst Du den Zugriff für den speziellen User sicher sperren. Da der VPN-User aber sicherlich Admin-Rechte auf dem Server haben wird, kann er u.U. die Beschränkung wieder aufheben. Hier ist eine vertragliche Vereinbarung unerläßlich, in der die erlaubten und nicht erlaubten Aktivitäten und die Sanktionen bei Verstoß gegen die Bestimmungen aufgeführt sind. Zur Sicherheit und zum Nachweisen die Protokollierung für den Account aktivieren. :D

Share this post


Link to post

hallo Klausk.

 

 

Erstmals viel dank für deine Antwort.

 

ja es ist leider schwierig über so viel Ecken ein NEtzwerk zu realisieren. Das mit dem Vertrag ist eine super idee.

Ich werde es gleich morgen so vorschlagen.

 

hmm. schade das man das technisch nicht lösen kann.. naja. zumindest teilweise¨.

Ja der Server ist ein PDC (Native)

 

Danke für deine Antwort.

 

Gruss

 

Darkmind

Share this post


Link to post

Bei einem DC ist die IMHO die geplante Vorgehensweise noch kritischer zu betrachten, da die Rechte des Users nicht auf das lokale System beschränkt werden können. Ich würde an Deiner Stelle das den Entscheidern erklären und was das in der Praxis bedeutet - am besten schriftlich, um Dich selbst abzusichern. Empfehl auf jeden Fall, für die Software einen neuen Server ohne DC-Funktion aufzusetzen.

Share this post


Link to post

hallo klausk.

 

Die idee mit einem 2 Server ist auch gut. Nur ist es so das für diese Firma, die kosten dafür zu hoch sein werden.

Die Firma benötigt unbedingt diese Branchensoftware für den täglichen Betrieb. was dann wieder heissen würde zusätzliche Kosten für Sicherungssoftware usw.

Nun ja. diese Firma ist nicht allzu gross ( 10 Clients) und ich denke das würde mit dem Angebot eines 2ten Server so nicht angenommen. Doch die idee ist sehr gut.

Ich denke da sollte ein Vertrag eigentlich reichen.

 

Ich hoffe nur das ich keine Sicherheits einstellung übersehe. Ich habe relativ viel erfahrung mit der Sicherheit eines w2k Servers im Internet. doch Intern.. da happerts ein bisschen.

 

Doch durch dieses Board habe ich schon viel gelernt. und sehe die sache optimistisch.

 

danke und gruss

 

Darkmid

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...