none
Nutzer Profile/Ordner/Dateien/Rechte - Zugriff am Server RRS feed

  • Frage

  • Hi,

     

    ich stehe immer mal wieder vor folgendem Problem, zu dem ich kein Best Practices finden kann.

    Die Nutzer Eigenen Dateien, u.U. auch Profile werden auf den Server umgeleitet (z.B. W2K8 R2) - ähnliches trifft aber auch auf nutzerspezifische Ordnerstrukturen zu. Die Ordner/Dateien unterliegen den Besitzrechten des jeweiligen Nutzers. Der Admin hat hier im Standard keine Rechte rauf. Weder dass er den Ordner öffnen noch Inhalte ansehen kann. Das wäre auch so gewollt.

    Nun passiert es aber, dass der Admin bei Problemfällen (Nutzer hat was vermurkst, sucht was u.ä.) Zugriff auf diese Ordner nehmen muss. Nun habe ich das Problem, dass der Admin keine Rechte hat. Also hieße es erst Rechte dem Admin geben, nachsehen und Problem korrigieren/lösen, danach Rechte zurück nehmen. So hatte ich es bisher. Bei komplexen Strukturen ist dies aber total irre und sehr fehleranfällig.

    Nun wäre es eigentlich kein Problem für diesen Zweck das Nutzerpasswort zu bekommen sich mit dem Nutzernamen anmelden und das Problem lösen. Würde therortisch funktionieren, doch Nutzer können sich (auch so gewollt) nicht am Server anmelden. Vom Clienten aus via Share mit dem Nutzernamen zugreifen ist oftmals auch nicht sinnvoll und nicht möglich, wenn es um das Setzen von Rechten usw. geht. Ein runas des Explorers am Server mit den Rechten des Nutzers funktioniert ebenso nicht (meist nicht), weil jader Nutzer nicht die notwendigen Rechte dafür am Server besitzt (RUNAS-FEHLER: cmd.exe kann nicht ausgeführt werden 1385: Anmeldung fehlgeschlagen: Der Benutzer besitzt nicht den benötigten Anmeldetyp auf diesem Computer.)

    Nun meine Frage an alle: Wie kann ich ohne erst an den Rechten/Besitzen drehen zu müssen auf "nutzerspezifische" Ordner/Dateien direkt am Server zuzugreifen - so dass man mit dem Explorer dran arbeiten kann? Immer unter der Prämisse, dass ich Nutzernamen/Passwort temporär bekomme.

    Wichtig wäre mir eine einfache simple Lösung.

    Danke an alle die helfen können.

     

     


    Danke und liebe Grüße Oliver Richter

    Mittwoch, 31. August 2011 09:58

Antworten

  • * Oliver Richter (Wed, 31 Aug 2011 11:48:59 +0000)

    Klar und keine Frage, sich Rechte und Vollgriff verschaffen und dafür gerade zu stehen ist kein Thema. Nur leider sieht die Praxis anders aus. Ob das nun Geschäftsleitung oder Forschung/Entwicklung/Patente ist, möchte man dem Admin nicht einfach einen Blankoscheck ausstellen.

    Die Praxis sieht so aus, daß du dann Administratoren hast, die alles dürfen und solche, die nicht alles dürfen (Stichwort Delegierung).

    Wenn du als "Bereichs"-Administrator ein Problem lösen musst, das Rechte erfordert, die ein Administrator erster oder zweiter Klasse hat, dann muß entweder der Adminstrator erster oder zweiter Klasse das Problem lösen oder er muß dabei sein und das Kennwort eingeben, wenn du es brauchst um sich unter diesem Konto anzumelden.

    Thorsten

    Mittwoch, 31. August 2011 13:28

Alle Antworten

  • * Oliver Richter (Wed, 31 Aug 2011 09:58:47 +0000)

    Die Nutzer Eigenen Dateien, u.U. auch Profile werden auf den Server
    umgeleitet (z.B. W2K8 R2) - ähnliches trifft aber auch auf
    nutzerspezifische Ordnerstrukturen zu. Die Ordner/Dateien unterliegen
    den Besitzrechten des jeweiligen Nutzers. Der Admin hat hier im
    Standard keine Rechte rauf. Weder dass er den Ordner öffnen noch
    Inhalte ansehen kann. Das wäre auch so gewollt.

    Das "wäre" sicherlich auch so gewollt, daß ihr keine Datensicherung dieser Dateien machen könnt, oder?

    Nun passiert es aber, dass der Admin bei Problemfällen (Nutzer hat was
    vermurkst, sucht was u.ä.) Zugriff auf diese Ordner nehmen muss. Nun
    habe ich das Problem, dass der Admin keine Rechte hat. [...]

    Nun wäre es eigentlich kein Problem für diesen Zweck das
    Nutzerpasswort zu bekommen sich mit dem Nutzernamen anmelden und das
    Problem lösen.

    Administrator-Zugriff auf die Dateien der Anwender ist aus Sicherheitsgründen nicht möglich, das Kennwort des Anwenders zu bekommen (was in Bezug auf Sicherheit dreimal so problematisch ist), ist aber kein Problem. Spezialisten am Werk.

    Die einzig sinnvolle Lösung ist, ein Super-Admin-Konto, das Rechte auf die Verzeichnisse hat, dessen Kennwort aber nur einer Person des Vertrauens bekannt ist (offensichtlich hat man zu den Administratoren kein Vertrauen).

    Thorsten

    Mittwoch, 31. August 2011 11:18
  • @Thorsten - Danke fürs Feedback

    >> Das "wäre" sicherlich auch so gewollt, daß ihr keine Datensicherung dieser Dateien machen könnt, oder? <<

    Mhhh - die Sicherung läuft in den meisten Fällen im SYSTEM Context, und SYSTEM hat Zugriff auf die Ordner. Oftmals liegt es aber auch virutell vor und wird im RAW Mode gesichert. Da spielen Rechte gar keine Rolle mehr.

     

    >> was in Bezug auf Sicherheit dreimal so problematisch ist), <<

    Sehe ich nicht so, wenn man das Kennwort zum Zeitpunkt X erhält, die Änderung vornimmt und der Nutzer dann X+1 sein Kennwort (danach) ändert - sehe ich absolut keine Probleme in Sachen Sicherheit.

     

    >> Super-Admin Konto

    Auch so ne Sache, der Admin soll und will (!) nicht immer alles sehen. Besonders Geschäftleitung und vergleichbar ist meist verbotene Zone. Außerdem wer soll dann das Kennwort des Super-Admins generieren, verwalten, ändern. Müsste ja die Geschäftsleitung machen.

     


    Danke und liebe Grüße Oliver Richter
    Mittwoch, 31. August 2011 11:41
  • @ Onkel Heinz - Danke

    Klar und keine Frage, sich Rechte und Vollgriff verschaffen und dafür gerade zu stehen ist kein Thema. Nur leider sieht die Praxis anders aus. Ob das nun Geschäftsleitung oder Forschung/Entwicklung/Patente ist, möchte man dem Admin nicht einfach einen Blankoscheck ausstellen. Finde ich sogar voll OK so.

    P.S. Du arbeitest nicht zufällig beim BND als Admin? *grins*


    Danke und liebe Grüße Oliver Richter
    Mittwoch, 31. August 2011 11:48
  • * Oliver Richter (Wed, 31 Aug 2011 11:41:51 +0000)

    Das "wäre" sicherlich auch so gewollt, daß ihr keine Datensicherung

    dieser Dateien machen könnt, oder? <<

    Mhhh - die Sicherung läuft in den meisten Fällen im SYSTEM Context,
    und SYSTEM hat Zugriff auf die Ordner.

    Nur wenn ihr jeden Server dezentral lokal sichert.

    was in Bezug auf Sicherheit dreimal so problematisch ist), <<

    Sehe ich nicht so, wenn man das Kennwort zum Zeitpunkt X erhält, die
    Änderung vornimmt und der Nutzer dann X+1 sein Kennwort (danach)
    ändert - sehe ich absolut keine Probleme in Sachen Sicherheit.

    Selbst wenn der Benutzer sein Kennwort danach ändert, ist das problematisch, da viele Anwender ihr Kennwort für andere Dienste verwenden oder später wiederverwenden oder nur bestimmte Teile des Kennworts nach einem erkennbaren Schema ändern ("1kennwort2", "2kennwort3", zum Beispiel).

    Super-Admin Konto

    Auch so ne Sache, der Admin soll und will (!) nicht immer alles sehen.
    Besonders Geschäftleitung und vergleichbar ist meist verbotene Zone.
    Außerdem wer soll dann das Kennwort des Super-Admins generieren,
    verwalten, ändern. Müsste ja die Geschäftsleitung machen.

    Wenn die Geschäftsleitung keinem anderen traut: natürlich. Ich habe selbst für eine Firma eine "Hochsicherheitszone" (für die Buchhaltung eingerichtet). Peer-to-peer, alles dichtgemacht, kein Zugriff auf den Datei-Server, kein Zugriff vom Netz. Datensicherung machte der Chefbuchhalter. Kennwort der lokalen Admins (für den Notfall) im Safe gespeichert. Wenn es ein technisches Problem gab, hat der Chefbuchhalter das Admin-Kennwort eingegeben und ich habe dann das Problem behoben.

    Klappte wunderbar und ich habe mir schriftlich geben lassen, daß ich dafür der Verantwortung enthoben war.

    Thorsten

    Mittwoch, 31. August 2011 13:21
  • * Oliver Richter (Wed, 31 Aug 2011 11:48:59 +0000)

    Klar und keine Frage, sich Rechte und Vollgriff verschaffen und dafür gerade zu stehen ist kein Thema. Nur leider sieht die Praxis anders aus. Ob das nun Geschäftsleitung oder Forschung/Entwicklung/Patente ist, möchte man dem Admin nicht einfach einen Blankoscheck ausstellen.

    Die Praxis sieht so aus, daß du dann Administratoren hast, die alles dürfen und solche, die nicht alles dürfen (Stichwort Delegierung).

    Wenn du als "Bereichs"-Administrator ein Problem lösen musst, das Rechte erfordert, die ein Administrator erster oder zweiter Klasse hat, dann muß entweder der Adminstrator erster oder zweiter Klasse das Problem lösen oder er muß dabei sein und das Kennwort eingeben, wenn du es brauchst um sich unter diesem Konto anzumelden.

    Thorsten

    Mittwoch, 31. August 2011 13:28