BABA 11 Geschrieben 22. März 2005 Melden Teilen Geschrieben 22. März 2005 Hallo, folgendes möchte der GF in einer neuen Domäne einrichten. Im ADS sollen VIP Breiche geben die nur ganz bestimmten Personen vorbehalten bleiben. Er meinte er hätte gehört das man dort mit Verschlüsselung arbeiten könne, so daß auch der Domänenadmin nicht mehr rankommt. Meines Wissens nach geht das nur auf Ordner oder Dateien z.B. auf einem Fileserver. Der Domänenadmin soll die Berechtigungen der GF und deren Daten nicht einsehen können. Wenn ich aber Daten bei einer Datensicherung sichere auf einen anderen Server werden die Berechtigungen nicht mitkopiert und somit wären die Daten einsehbar. Bin mal auf die Lösung gespannt. Gruß Baba Zitieren Link zu diesem Kommentar
LANIAC 10 Geschrieben 22. März 2005 Melden Teilen Geschrieben 22. März 2005 Hallo Baba, ich finde dieses Vorgehen ein wenig riskant, da niemand mehr an die Daten rankommt, falls ein Benutzer der GF sein Passwort mal vergessen sollte. Da ja auch der Admin keine Berechtigungen haben darf, kann man auch nicht mehr auf den Wiederherstellungsagenten zurückgreifen. Ich würde in deinem Fall die GF mindestens über diese Problematik informieren. Gruss LANIAC Zitieren Link zu diesem Kommentar
BABA 11 Geschrieben 22. März 2005 Autor Melden Teilen Geschrieben 22. März 2005 Hallo LANIAC, das Prinzip der Verschlüsselung ist schon klar und welche Folgen es hat ist auch klar. Mir geht es aber darum ob man im ADS Bereiche einrichten kann die nur nur den GF vorbehalten bleiben. verschlüsselte Daten wiederherstellen geht dann nur noch über den Wiederherstellungsagenten, da muss ich Dir recht geben. Zitieren Link zu diesem Kommentar
thorgood 10 Geschrieben 22. März 2005 Melden Teilen Geschrieben 22. März 2005 Hallo Baba Teile des AD kannst du für Domainadmins nicht sperren. Du kannst zwar Berechtigungen entziehen, sodas der Domainadmin beim Zugriff einer Fehlermeldung erhält, aber die entzogenen Berechtigungen kann er sich jederzeit wieder selbst geben. thorgood Zitieren Link zu diesem Kommentar
dongel 10 Geschrieben 22. März 2005 Melden Teilen Geschrieben 22. März 2005 Hallo wie ist es mit PGP und damit dann eine Verschlüsselte Disk erzeugen? mit internettem Gruß dongle Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 22. März 2005 Melden Teilen Geschrieben 22. März 2005 Hallo Baba Verschlüsselte Filesystem Daten bleiben auch auf Backups verschlüsselt: http://www.microsoft.com/resources/documentation/Windows/XP/all/reskit/en-us/Default.asp?url=/resources/documentation/Windows/XP/all/reskit/en-us/prnb_efs_vjsf.asp Das Problem mit der Delegation könnte man mit einer leeren Root-Domain lösen. Darin befindet sich der Organisationsadmin, der allenfalls nur mit Smartcard und Passwort an einem Server anmelden darf. Die Smartcard wird einer Person gegeben, das Passwort einer anderen. Typische Gewaltentrennung eben, nur die Implementation ist echt tricky (und ich bezweifle ob das jemand so gelöst hat). Gruss Velius Zitieren Link zu diesem Kommentar
LANIAC 10 Geschrieben 22. März 2005 Melden Teilen Geschrieben 22. März 2005 Hallo baba, über den Wiederherstellungsagenten kannst du dann auch nicht mehr entschlüsseln....!!!!!!! wenn du die Lösung so umsetzten wirst, wie es die Geschäftsleitung vorsieht kannst du die Daten unmöglich wiederherstellen.....auch mit dem Widerherstellungsagenten nicht...!!!! Dieser Fall tritt ein, sobald ein User der GF sein Passwort vergisst......wenn du nämlich anschliessend das Passwort zurücksetzen tust, empfindet Windows 2000 u. 2003 Server das Konto des betroffenen Users als gehackt und du könntest nur noch mit dem Widerherstellungsagenten darauf zugreifen.......da du ja aber diese Möglichkeit von Anfang an unterbindest sind die Daten nicht mehr zugreifbar....von niemandem....!!! Gruss LANIAC Zitieren Link zu diesem Kommentar
BABA 11 Geschrieben 23. März 2005 Autor Melden Teilen Geschrieben 23. März 2005 Hallo LANIAC, Du hast recht. Wiederherstellungsagent is nich. Habe gestern noch mal genau nachgelesen. Mal sehen was der GF dann dazu sagt. Das mit den VIP gesperrten Bereichen konnte ich ihm glücklicherweise gestern noch ausreden. Mal sehen was ihm jetzt noch einfällt. Falls es noch andere Meinungen oder Lösungen geben sollte. Immer her damit. Gruß Baba Zitieren Link zu diesem Kommentar
CoolAce 17 Geschrieben 23. März 2005 Melden Teilen Geschrieben 23. März 2005 Hy einfache Lösung = Verzeichniss mit EFS und den Besitz an die Gruppe GF übertragen, Rest alle Raus, zwar kann der Admin den Besitz übernehmen aber die GF merkt es und das alles als Laufwerk gemappt für die "VIPs" die Angst vorm "bösen" Admin haben. Paranoia lässt grüßen :D (sorry konnt es nicht mehr verkneifen) Gruß CoolAce :cool: Zitieren Link zu diesem Kommentar
LANIAC 10 Geschrieben 23. März 2005 Melden Teilen Geschrieben 23. März 2005 Hy einfache Lösung = Verzeichniss mit EFS und den Besitz an die Gruppe GF übertragen, Rest alle Raus, zwar kann der Admin den Besitz übernehmen aber die GF merkt es und das alles als Laufwerk gemappt für die "VIPs" die Angst vorm "bösen" Admin haben. Paranoia lässt grüßen :D (sorry konnt es nicht mehr verkneifen) Gruß CoolAce :cool: ....und wie merken die GF's, dass der Admin den Besitz der Dateien übernommen hat? Sollen Sie dann etwa täglich resp stündlich manuell die NTFS-Brechtigungen überprüfen? Gruss LANIAC Zitieren Link zu diesem Kommentar
CoolAce 17 Geschrieben 24. März 2005 Melden Teilen Geschrieben 24. März 2005 Hy. eure GF traut euch anscheinend wirklich nicht ;) EFS ist nur als zusätzliche Sicherheit für die GF gedacht, falls der Admin den Besitz übernimmt und kein Widerherstellungsagent definiert ist kann er ja trotzdem nix lessen, außerdem kann er noch User hinzufügen wer lesen darf. kleiner Nachteil sollte halt sein Zertifikat sichern (USB Stick) Außerdem bekommt er meldung wenn er kein Besitzer mehr auf einmal ist. Restvertrauen sollt doch noch da sein, ansonsten mal drüber nachdenken :cool: Gruß CoolAce :cool: Zitieren Link zu diesem Kommentar
LANIAC 10 Geschrieben 24. März 2005 Melden Teilen Geschrieben 24. März 2005 EFS ist nur als zusätzliche Sicherheit für die GF gedacht, falls der Admin den Besitz übernimmt und kein Widerherstellungsagent definiert ist kann er ja trotzdem nix lessen, außerdem kann er noch User hinzufügen wer lesen darf. kleiner Nachteil sollte halt sein Zertifikat sichern (USB Stick) @CoolAce ....was soll das....???? dann könnte er sich ja auch selbst als User hinzufügen....... und was soll der Satz: "kleiner Nachteil sollte halt sein Zertifikat sichern" steckt da irgendeine vernünftige Aussage drin? Gruss LANIAC Zitieren Link zu diesem Kommentar
CoolAce 17 Geschrieben 24. März 2005 Melden Teilen Geschrieben 24. März 2005 Hy Ja die Aussage geht dahin wenn er was über EFS verschlüsselt wird ja ein Zertifikat erzeugt, wenn du als Admin auch Wiederherstellungsagent bist und darüber diese EFS deaktvieren kannst wird er ja keinen Wiederherstellungsagenten wollen. Deshalb ist das Zertifikat das einzige und wenn das weg ist sind auch die Daten weg. das Hinzufügen ist für die Gruppe GF gedacht, weiß ja nicht ob es da mehrere GFs gibt die die Daten sehen dürfen Gruß CoolAce :cool: Zitieren Link zu diesem Kommentar
BABA 11 Geschrieben 29. März 2005 Autor Melden Teilen Geschrieben 29. März 2005 Ihr sollt Euch aber nicht streiten, das war mit dem Beitrag nicht beabsichtigt. Sondern kontruktive Lösungen zu diskutieren. Es gibt mehrere GF mit einzelnen Verzeichnissen und ein gemeinsames Gruppenlaufwerk. Logisch alles mit EFS. Gruß Baba Zitieren Link zu diesem Kommentar
LANIAC 10 Geschrieben 29. März 2005 Melden Teilen Geschrieben 29. März 2005 Hallo Baba, ich würde wie es dongle vorschlägt mit PGP arbeiten, da du somit eine strikte Trennung von deinem Active Directory und den verschlüsselten Daten erhälst. Dies ist auch die einzige realisierbare Möglichkeit, die es Administratoren verhindert die Daten einzusehen oder deren Besitz zu übernehmen. Die GF würde ich informieren, dass beim Verlust eines Passwortes du keine Möglichkeiten mehr besitzt die Daten wiederherzustellen. Durch diese Massnahme lässt du dein Active Directory unberührt, so dass beim Verlust eines Passwortes nicht unvorhersehbare Probleme auftauchen können und die GF sollte auch zufrieden sein..... Gruss LANIAC Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.