Wie steuere ich die Rechtevergabe?

Internet Internet Sicherheit
#1

Liebe/-r Experte/-in,
zunächst die abstrakte Aufgabenstellung:
ich möchte in meiner Abteilung einen Netzwerkordner für alle Projekte realisieren. Jedes Projekt soll darin einen Unterordner bekommen. Die Schwierigkeit dabei ist, dass für jedes Projekt unterschiedliche Lese- und Schreibrechte vergeben werden müssen, wofür ich nicht jedesmal die IT-Abteilung bemühen möchte.

Sehen Sie eine Möglichkeit das sinnvoll umzusetzen? Falls möglich sogar über ein Zusatzprogramm - aus zwei Gründen:

  1. Der Personenkreis, der die Rechte ändern soll ist recht groß (5 Personen). Denen Admin-Rechte zu geben ist nicht sinnvoll.

  2. Bei der Windows-eigenen Rechtevergabe kann man viel falsch machen und nicht nur sich, sondern auch alle anderen (jeden) für immer aussperren. Das muss auf alle Fälle verhindert werden.

Viele Grüße,
Kevin

#2

Kenne mich mit Server-Administration gar nicht aus, und verstehe auch nicht, warum ich zu diesem Keywort als Experte ausgewaehlt wurde.

Gruss,
Jan

#3

Hallo Kevin,

erst mal ein paar Fragen: Gibt es einen Server? Wenn ja, welchen? Evtl. sogar SharePoint? Gibt es ein Active Directory?

Damit ergeben sich nämlich einige Lösungsansätze.

Zum anderen: Bei Rechtevergabe kann man immer viel falsch machen - egal auf welchem Weg. Entweder hat man verantwortungsvolle Leute oder nicht. 5 Personen sind auch ein recht großer Kreis dafür.

Zur Rechtevergabe sind übrigens nicht zwingend Adminrechte nötig. Man kann auch das Recht „Rechtevergabe“ erteilen.

Gruß
(Woly)

#4

Hallo Kevin,

es gibt keine mir bekannte Zusatzsoftware für deine Aufgabenstellung. Deine IT-Abteilung kann dir ggf. das Recht einräumen, die Rechte für bestimmte Ordner vergeben zu können. Sperrt man sich aus, hat zumindest der Administrator (in der Regel ist das die IT-Abteilung) die Möglichkeit, den Zugang wieder zu ermöglichen.

LG Culles

#5

Hallo Kevin, da bist Du nicht das einzigr Opfer :wink:
Ich würde Dir gerne helfen, was auch möglich wäre, jedoch alles was ich schreibe kann von WIN7 gegen mich verwendet werden :wink: :smile:
Hier mal ein klitzekleiner Auszug, welcher bis heute leider aktuell ist :
Zitat " UAC in Windows 7: keinerlei Sicherheit und inkompatibel " … geschrieben von einem IT-Business Experten ! … Ich selbst hab’s auch schon mal versucht … "vergiß es ! " …
>>>> Back to the XP Einstellungen in Win7 :
>>>> UAC :
Leider setzt Microsoft die Funktion in den Standardeinstellungen nicht konsequent genug um.
Programme / Anwendungen, die mit den Rechten eines Systemadministrators ausgeführt werden,
können zum Sicherheitsrisiko werden und unbemerkt Hintertüren zum System öffnen,
sicherheitsrelevante Windows-Einstellungen verändern oder geschützte Dokumente einsehen.

Die UAC KÖNNTE dies verhindern: Nach reichlich Kritik an den häufigen Bestätigungsdialogen
der Vista-Umsetzung hat Microsoft die Funktion allerdings deutlich entschärft.
Ein Proof-of-Concept zeigt, dass Anwender, respektive Angreifer die UAC leicht aushebeln können.
Der einfachste Weg zu mehr Sicherheit besteht bei Windows 7 daher wieder im alten Ratschlag,
getrennte Konten für Administrator- und Standardnutzer anzulegen. …

… Alternativ schon mal über ein CLOUD-Computing nachgedacht ? , erscheint mir sinnvoller, ist Sicherer, und weniger Aufwendig, muß jedoch „vor Ort“ eingerichtet werden.
… viele Grüße,
mantronix

#6

Hallo,

erst mal ein paar Fragen: Gibt es einen Server? Wenn ja,
welchen? Evtl. sogar SharePoint? Gibt es ein Active Directory?

einen Server gibt es. SharePoint und Active Directory sagt mir beides nix. Nach kurzem Googlen klingt SharePoint nach einer Umgebung für Internetseiten. „Active Directory“ scheint das Rechtevergabe-System zu sein, wie es bei uns verwendung findet.

Zum anderen: Bei Rechtevergabe kann man immer viel falsch
machen - egal auf welchem Weg.

Flasch machen ist klar - nur der GAU sollte verhindert werden, dass niemand mehr ran kommt.

Zur Rechtevergabe sind übrigens nicht zwingend Adminrechte
nötig. Man kann auch das Recht „Rechtevergabe“ erteilen.

kann ich dieses Recht dermaßen einschränken, dass dem Admin die Rechte nicht genommen werden können?

Gruß,
Kevin

#7

Hallo,

… Alternativ schon mal über ein CLOUD-Computing nachgedacht
? , erscheint mir sinnvoller, ist Sicherer, und weniger
Aufwendig, muß jedoch „vor Ort“ eingerichtet werden.

ich kenne mich mit CLOUD-Computing-Konzepten nicht aus, verstehe aber nicht wieso das weniger aufwendig sein soll. Auch hier müssen Rechte verwaltet werden.

Gruß,
Kevin

#8

Hallo Kevin,
das ist schon richtig, aber mit einem gravierendem Unterschied, daß hier nur > EIN Admin > ALLE Rechte vergibt und verwaltet. Und ich über die Software des Anbieters die entsprechenden „Regeln“ Explizit Alleine vergebe. Das kann eben das OS Win7 nicht so gut, … eigentlich „so gut wie gar nicht“, denn es gibt ab mehr als drei Usern immer Konflikte, und man ist damit beschäftigt, ständig die „Verwaltung“ dieser zu aktualisieren, und „neue“ Rechte bzw. „Verbote“ zu vergeben. In der Cloud spielt das alles keine Rolle, denn es ist UNMÖGLICH einen zweiten Administrator anzumelden ! Nur Du als alleiniger Admin vergibst dort die Rechte und Zugriffsgewalt und die damit verbundenen „Handlungen“ an jeden Arbeitsplatz im Netzwerk und/oder an jeden einzelnen User.
Ich glaube, es gibt mittlerweile auch „Test-Clients“, um sich das mal auf dem eigenen Rechner „anzusehen“.
VG, mantronix

#9

Lieber Kevin,

leider gebe ich keine Firmenberatung über diese Platform. Bitte respektiere die Tatsache, dass Netzwerkeinstellungen Sache eines Admins sind, die viel lernen mußten, um diese Arbeiten korrekt auszuführen. Wenn Du als Abteilungsleiter sowas selber machen willst, dann trägst du auch das Risiko, das versteht sich. Und, was sehr wahrscheinlich ist, wenn mal nichts mehr funktioniert, dann will keiner verantwortlich sein. Daher, sag deinem Chef, du brauchst etwas Geld für einen vertrauenswürden Admin, der die Rechte richtig einstellen soll.

Grüße,

Jürgen
www.technikhelfer.de

#10

Nach kurzem Googlen klingt SharePoint nach einer
Umgebung für Internetseiten.

Naja, ein wenig mehr ist es schon. Es ist eine Dokumentenverwaltung, die auf IntraNet-Seiten beruht. Hier können Gruppen und Teams wunderbar selber bestimmen, wer worauf zugreifen darf und wer nicht. Für Euch vermutlich optimal!

„Active Directory“ scheint das
Rechtevergabe-System zu sein, wie es bei uns verwendung findet.

Dann lasst Euch von Eurer IT-Abteilung einmal eine entsprechende Struktur mit den notwendigen Rechten einrichten - den Rest könnt Ihr dann selber machen.

nur der GAU sollte verhindert werden,
dass niemand mehr ran kommt.

Man kommt IMMER noch dran - zur Not eben durch die Admins Eurer IT-Abteilung, die die Besitzrechte übernehmen und somit wieder vollen Zugriff erlangen
können.

kann ich dieses Recht dermaßen einschränken, dass dem Admin
die Rechte nicht genommen werden können?

Das ist recht filigran - müsste aber gehen, denn Eure IT-Admins haben eh höhere Rechte. Aber sprecht die Leute doch mal an - dafür habt Ihr ja schließlich 'ne IT-Abteilung. Es ist prinzipiell auch keine gute Idee, wenn Ihr mit Halbwissen an denen vorbei was eigenes baut - wenn mir der Hinweis erlaubt ist.

Gruß
(Woly)

#11

Hallo Kevin

ich sehe keinen Grund, für diesen Zweck ein Drittprogramm einzusetzen. Mit Windows ist es nicht schwierig, aber man muss natürlich ein bisschen was studieren und aufpassen. Das müsste man bei der Software eines Drittherstellers auch. Ich würde also Windows Bordmittel verwenden.

Der Personenkreis, der die Rechte ändern soll gehört in die Gruppe „Hauptbenutzer“. Diese haben keine Adminrechte, können aber Benutzer und Benutzerrechte verwalten.

Gruss
Christof

#12

Hallo Kevin,

wenn(!) Ihr Active Directory habt, ist das nicht so kompliziert wie es sich anhört: Du kannst das mit GRUPPEN realisieren. Du legst zunächst eine Gruppe „Ordnerverwalter“ an (z.B.), in diese Gruppe packst Du alle Konten, die die Rechte der Ordner bearbeiten können sollen. Lege Ordner an die wie die Projekte heissen und dann LOKALE Gruppen, die wie die Ordner heissen.
Beispiel: Projekt_Alpha bzw. Projekt_Omega(Ordner), Grp_Projekt_Alpha_Read (Gruppe) bzw. Grp_Projekt_Alpha_Change (Gruppe) und Grp_Projekt_Omega_Read (Gruppe) bzw.
Grp_Projekt_Omega_Change (Gruppe).
Dann gibst Du der Gruppe „Ordnerverwalter“ Vollzugriff auf die Ordner und das Recht die Gruppenmitgliedschaft für Projekt_Alpha_Read (Gruppe) und Projekt_Alpha_change (Gruppe) zu ändern.
Dann können die Ordnerverwalter User hinzufügen und rausnehmen.
Lege dir einige Testuser an und verteil sie auf die Gruppen inkl. Ordnerverwalter und probier das szenario durch bevor du es an die ECHTEN Ordnerverwalter übergibst! :wink:
http://technet.microsoft.com/de-de/library/cc758166(…

http://www.tecchannel.de/server/windows/2038795/wind…

Wenn DU kein Active Directory (Windows2000 Server oder höher hast, wird es kompliziert. Dann müsste ich das erst mal nachbauen…

Fragen?

Viel Erfolg!
Jörg

#13

Hallo,

nein die gibt es nicht, lass es durch Gruppen und der IT regeln, vorallem wenn die Leute zu doof sind, es zu machen .

hth

#14

Hi,
wir haben einen Admin - und auch einen guten. Das Problem ist, dass sich die Rechte der angesprochenen Ordner relativ häufig ändern und das stunden- oder mindestens tagesaktuell. Das wollte ich der IT ersparen. Deshalb mache ich mir im Vorraus schon Gedanken über mögliche Alternativen. Sollte ich nix (sinnvolles) finden, dann wird es genau darauf hinaus laufen.

Grüße,
Kevin

#15

Hi,
ich habe gehofft, dass das genau so möglich ist.
Die einzige verbliebene Frage ist, ob man das Recht auf Rechtevergabe so weit einschränken kann, dass die Hintertür „Administrator“ immer offen bleibt, oder kann dann jeder „Ordnerverwalter“ ach dem Administrator die Leserechte entziehen?

Gruß,
Kevin

#16

Hallo Kevin,
dass käme drauf an welche Rechte Du den Ordnerverwaltern gibst. Eigentlich brauchen die ja „nur“ die Rechte „Lesen“ „Schreiben“ und „Benutzer hinzufügen“. Selbst wenn es durch unglückliche Rechtevergabe den Admin raus zu kicken, könnte der Admin sich wieder hinzufügen durch „Besitz übernehmen“. Google mal den Begriff „Least privilege“.
http://www.google.de/search?q=Least+privilege
schau z.B. mal hier http://www.windowsecurity.com/articles/Implementing-…
Nur so um Deinen „Horizont“ zu erweitern… :smile:
Wenn Du schwierigkeiten hast, schreib ruhig nochmal.
Viel Erfolg
Grüße
Jörg

#17

Hallo,
ich bin deshalb so vorsichtig, weil ich es (vor Jahren) mal geschafft habe einen Ordner unzugänglich zu machen, indem ich der Benutzergruppe „Jeder“ Lese- und Schreibzugriff „verweigert“ habe. Das hat den Administrator eingeschlossen.
Die Daten waren unwiederbringlich weg. Das muss unter allen Umständen (auch bei Fehlbedienung) verhindert werden.

Gruß,
Kevin

#18

Hallo Kevin,
vorsicht ist die Mutter der…! WIe istr den jetzt der Stand? Klappts?
Grüße
Jörg