Jump to content

Zugriff auf Sicherheitseinstellungen verbieten


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

ich habe einen Datenordner, in dem die User eigene Dateien

und Ordner erstellen können. Nunmehr ist es aber

vorgekommen, dass einige User den Haken für die Vererbung

von Berechtigungen entfernt hatten und somit überhaupt

keine Berechtigungen, auch nicht für den Administrator

vergeben wurden. Das ist eigentlich kein Problem, weil ich

ja als Admin den Besitz wieder übernehmen kann. Probleme

bereiten mir diese Dateien und Ordner aber dann, wenn ich

über den Streamer eine Datensicherung fahre. Sobald

während des Backup-Verfahrens auf solche Dateine

zugegriffen wird, erfolgt ein Fehler des notewendigen

Zugriffs. Das Ergebnis ist, dass die Datensicherung

abgebrochen wird unnd somit keine gesicherten Daten

vorhanden sind.

 

Deshalb meine Frage, kann ich dem User das Entfernen des

Hakens und Veränderung der Berechtigungen per

Gruppenrichtline untersagen? Der übergeordnete Datenordner

ist für den User gesperrt, da funktioniert das.

 

Ich hoffe, ich habe mich einigermaßen verständlich

ausgedrückt.

 

Gruss Norbert

Link zu diesem Kommentar

Sicherung mit ntbackup. Da darf es keine probleme geben, hunderte male damit Sachen gesichert, wo ich nicht mal als Admin Berechtigungen habe. Wenn du das lokale Benutzerrecht hast, Dateien und Verzeichnisse zu sichern (haben Administratoren und Sicherungsopratoren), dann sichert ntbackup auch sämtliche Dateien, von denen du nicht mal weißt, dass es sie gibt, geschweige denn, dass du eine Berechtigung drauf hast.

 

Die Änderung der Berechtigung kann man den Benutzern nur bedingt nehmen. Man könnte dies auf allen Ebenen über die NTFS-Berechtigungen tun, spätestens nachdem der Admin den Besitz an allen Objekten übernommen hat, aber sobald der Benutzer irgendwo wieder eine Datei oder einen Ordner erstellt, ist er davon Besitzer und kann auch gleich die Berechtigungen ändern. Es wäre also ein ewiges Räuber und Gendarm-Spiel, bei dem DU der Gendarm bist.

 

Aber vorher würde ich doch die Sicherungstrategie überprüfen, da ist was nicht i.O. Es muss so laufen wie oben gesagt. Ein Problem hat ntbackup, wie die meisten anderen Sicherungssoftwaren auch, das ist geöffnete Dateien zu sichern.

 

BTW: Welches Betriebssystem?

 

grizzly999

Link zu diesem Kommentar

Das klang vorher aber nicht wie eine Vermutung,:

Probleme

bereiten mir diese Dateien und Ordner aber dann, wenn ich

über den Streamer eine Datensicherung fahre. Sobald

während des Backup-Verfahrens auf solche Dateine

zugegriffen wird, erfolgt ein Fehler des notewendigen

Zugriffs. Das Ergebnis ist, dass die Datensicherung

abgebrochen wird unnd somit keine gesicherten Daten

vorhanden sind.

 

Wie kommst du denn jetzt darauf, dass die Daten nicht gesichert werden, oder dass er abbricht? Steht was im Sicherungslog, sind weniger gesicherte Bytes im Log gezählt, als es wirklich sein sollten? Im Moment kann ich mit deinen Mutmaßungen nicht viel anfangen....

 

grizzly999

Link zu diesem Kommentar

Dem von grizzly999 besprochenen Verhalten bzgl. ntbackup kann ich nur zustimmen. Alles in allem lässt sich dieses Problem mit einfachen Boardmitteln nicht lösen. Bevor du dich hier kramphaft bemühst, einen Fehler zu fixen würde ich dazu raten, dass du dir klar darüber wirst, dass in diesem Fall der eigentliche Fehler vor dem Bildschirm sitzt. Hier ist wohl ein bissel Erziehungsarbeit am User erforderlich. An deiner Stelle würde ich ein Rundmemo rausgeben in der Art, dass der User für seine Daten verantwortlich ist. Und wenn er dem (sicherungs)Admin die Rechte entzieht, muss er auch damit leben, dass seine Daten nicht gesichert werden. Wer einem (sicherungs)Admin Rechte entzieht, tut das nicht "aus Versehen" und muss dann mit den Konsequenzen leben.

IT-Sicherheit (Datenintegrität,- verfügbarkeit usw.) ist nicht nur eine Sache des Admins, sondern erfordert auch die Mitarbeit des Users. Und wenn es welche gibt, die denken sie müssen irgendwo einen Hebel ansetzen, gehören erzogen oder müssen mit dem Verlust ihrer Daten rechnen.

 

Thomas

Link zu diesem Kommentar

Wobei das schon ein bischen mit zugedrückten Augen der erhobene Drohfinger ist, wie bei kleinen Kindern: .....dann kommt der Nikolaus nicht (und er kam doch immer :) )

Denn: Sichern kann ich als Mitglied der lokalen Administratorengruppe gar alles auf Dateiebene. Da kann mir kein Benutzer das Recht nehmen, selbst wenn er mir den Vollzugriff auf seinen Ordner verweigert. Dann wird der Ordner halt mit dem Vollzugriff verweigert weggesichert :D Und wenn sein muss, auch wieder mit genau den für mich nicht vorhandenen Berechtigungen wiederhergestellt. Aber Nobby's Problem muss ein anderes sein als fehlende Berechtigungen.

 

grizzly999

Link zu diesem Kommentar

Hi!

 

Also Nobby der grüne Bereich liegt eindeutig bei grizzly999 und himbidas!

 

Darum jetzt von mir die Frage nach den Einstellungen in Deinem Backup.

 

Wie wird gesichert? Taskplaner oder bat?

 

Kann es sein,dass User fluchtartig den PC verlassen ohne ihn herunter zu fahren und somit Dateien noch geöffnet sind?

 

Jeder User der an den Rechten herum pfuscht gehört verwarnt und bei Wiederholung -> Entlassung!

Link zu diesem Kommentar

Also hier nochmal eine Zusammenfassung von mir.

 

Ich setze NT-Backup ein über den Taskplaner. Die Log-Datei sagt mir auch, dass ich meine 20 GB mir soundsoviel Dateine gesichert habe, aber wenn ich diese Dateinen wiederherstellen will, sind keine einträge zu finden. Daraufhin habe ich geforscht und eben festgestellt, dass bei verschiedenen Datein die Admin-Rechte fehlen. Ich habe daraufhin diese Verzeichnisse ausgeklammert und siehe da, mein Backup ist anstandslos durchgelaufen und es sind auch Daten vorhanden. also lässt sich die Vermutung erhärten, dass es an den Dateien liegt, worauf das Backup keinen Zugriff hat.

 

Bei der Dtensicherung bekomme ich aber keine Fehlermeldung, dass die Sicherung nicht geklappt hat. Ich kann natürlich meine User anhalten, sowas zu unterlassen (das werde ich auch tun) aber ich kann nicht jeden Tag meine Bänder überprüfen, of die Sicherung funktioniert hat. Deshlab meine Idee, den Usern die Berechtigung der Sicherheitseinstellungen wegzunehmen.

 

Gruss Nobby

Link zu diesem Kommentar

Na gut, nehmen wir es mal so hin. Das NT-Backup verwendest du sicherlich, weil schon vorhanden und nix kostet ;) Den Usern das Recht zum Rechte-Verbiegen wechzunehmen funzt nur bei den Verzeichnissen/Dateien, die schon existent sind und vom Admin explizit so restriktiert werden, dass der User an diesen nix verbiegen kann. Neu angelegte DVZ's/Files kannst du somit nicht sicher machen, wie grizzly999 schon treffend ausführte. Bleibt nur noch der Weg, dass du -vor- der Datensicherung die ACL so hinbiegst, dass der (Sicherungs)Admin Zugriff darauf hat. Da du deine Sicherung per Taskplaner aus einer Batch(?) startest, wäre der Einsatz von cacls.exe machbar. Leider hab ich das Teil hier nicht zur Hand. Vielleicht könnte grizzly999 dazu was Schlaues aushecken??

 

Thomas

Link zu diesem Kommentar

Wie kommt man nur drauf, dass es grad die DLL ist, bei den vielen DLL`s? (prcview?)

Den Zugriff für Normaluser sperren sollte nicht das Problem sein. Die Rechte für die DLL einfach lassen, wie sie sind, abzüglich allem was auf Normaluser verweist.

Im schlechtesten Fall stehen die Rechte auf "Jeder-Vollzugriff". Dann würde ich's mal mit "Administratoren-Vollzugriff" (und vielleicht "System-Lesen") versuchen. Musst halt mal ein bissel experimentieren. Wenn die Rechte dann passen, diese DLL auf alle PC's kopieren. Müsste reichen...

 

Thomas

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...