Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
Admin verlangt Vollzugriffsrechte für Backup
3 views
Skip to first unread message
Magnus Warker
Mar 28, 2012, 9:26:32 AM3/28/12
to
Hallo,
der Admin einer kleinen Firma verlangt von den Mitarbeitern, die
Berechtigungen ihrer persönlichen Bereiche im gemeinsamen Dateisystem so
einzustellen bzw. zu belassen, dass zwei (Benutzer-) Gruppen Vollzugriff
(inkl. schreiben/ändern) für diese Verzeichnisse und Dateien haben. Dies
sei für die Datensicherung notwendig.
Nach meinem Verständnis ist für die Durchführung des Backups ein
schreibender Zugriff nicht erforderlich.
Sollte der einzelne Mitarbeiter nicht die Möglichkeit haben, selbst zu
bestimmen, wer seine Daten lesen und vor allem verändern darf?
Wie sollte man damit umgehen?
Danke!
Magnus
der Admin einer kleinen Firma verlangt von den Mitarbeitern, die
Berechtigungen ihrer persönlichen Bereiche im gemeinsamen Dateisystem so
einzustellen bzw. zu belassen, dass zwei (Benutzer-) Gruppen Vollzugriff
(inkl. schreiben/ändern) für diese Verzeichnisse und Dateien haben. Dies
sei für die Datensicherung notwendig.
Nach meinem Verständnis ist für die Durchführung des Backups ein
schreibender Zugriff nicht erforderlich.
Sollte der einzelne Mitarbeiter nicht die Möglichkeit haben, selbst zu
bestimmen, wer seine Daten lesen und vor allem verändern darf?
Wie sollte man damit umgehen?
Danke!
Magnus
Stefan Scholl
Mar 28, 2012, 9:46:35 AM3/28/12
to
Magnus Warker <war...@mailinator.com> wrote:
> Nach meinem Verständnis ist für die Durchführung des Backups ein
> schreibender Zugriff nicht erforderlich.
Kein Backup-Konzept ohne Restore.
> Nach meinem Verständnis ist für die Durchführung des Backups ein
> schreibender Zugriff nicht erforderlich.
Magnus Warker
Mar 28, 2012, 10:15:27 AM3/28/12
to
auch Benutzer (Admins) enthalten sind...
Carsten Krueger
Mar 28, 2012, 12:52:41 PM3/28/12
to
Am Wed, 28 Mar 2012 15:26:32 +0200 schrieb Magnus Warker:
> der Admin einer kleinen Firma verlangt von den Mitarbeitern, die
> Berechtigungen ihrer persönlichen Bereiche im gemeinsamen Dateisystem so
> einzustellen bzw. zu belassen, dass zwei (Benutzer-) Gruppen Vollzugriff
> (inkl. schreiben/ändern) für diese Verzeichnisse und Dateien haben. Dies
> sei für die Datensicherung notwendig.
Der Admin ist eine hole Nuss.
> der Admin einer kleinen Firma verlangt von den Mitarbeitern, die
> Berechtigungen ihrer persönlichen Bereiche im gemeinsamen Dateisystem so
> einzustellen bzw. zu belassen, dass zwei (Benutzer-) Gruppen Vollzugriff
> (inkl. schreiben/ändern) für diese Verzeichnisse und Dateien haben. Dies
> sei für die Datensicherung notwendig.
Backupsoftware nutzt das SeBackupPrivilege um die Berechtigungen zu
ignorieren.
> Nach meinem Verständnis ist für die Durchführung des Backups ein
> schreibender Zugriff nicht erforderlich.
schreiben wenn er denn will (was allerdings illegal sein kann).
> Sollte der einzelne Mitarbeiter nicht die Möglichkeit haben, selbst zu
> bestimmen, wer seine Daten lesen und vor allem verändern darf?
Gruß Carsten
--
ID = 0x2BFBF5D8 FP = 53CA 1609 B00A D2DB A066 314C 6493 69AB 2BFB F5D8
http://www.realname-diskussion.info - Realnames sind keine Pflicht
http://www.spamgourmet.com/ + http://mailcatch.com/ - Antispam
cakruege (at) gmail (dot) com
Message has been deleted
Florian Weimer
Mar 28, 2012, 3:56:32 PM3/28/12
to
* Magnus Warker:
> Nach meinem Verständnis ist für die Durchführung des Backups ein
> schreibender Zugriff nicht erforderlich.
Typische Backup-Implementierungen räumen dem Backup-Administratur
ziemlich vollständigen Zugriff ein (insbesondere auch zum Ausführen
von Befehlen). Ich kenne nur wenige Ausnahmen.
> Nach meinem Verständnis ist für die Durchführung des Backups ein
> schreibender Zugriff nicht erforderlich.
ziemlich vollständigen Zugriff ein (insbesondere auch zum Ausführen
von Befehlen). Ich kenne nur wenige Ausnahmen.
Florian Weimer
Mar 28, 2012, 3:59:40 PM3/28/12
to
* Juergen Nieveler:
> Admins haben eine Vertrauensposition - eben weil sie Zugriff auf alle
> Daten haben die auf dem Server liegen. Selbst wenn Du dem Admin keinen
> Zugriff geben würdest - er könnte ihn sich problemlos jederzeit NEHMEN.
> Wenn die Geschäftsleitung damit ein Problem hätte müßte sie sich einen
> anderen Admin suchen.
Ich sehe es als problematisch an, wenn ausgerechnet der Backup-Server,
mit dem sowieso so ziemlich jeder Rechner redet, überall Schreib- und
sonstige Rechte hat. Bei einem Software- oder Konfigurationsfehler im
Backup und einem kompromittierten Rechner verliert man im Fall der
Fälle nicht nur sein Backup, sondern auch gleich die Originaldaten
dazu.
Daß es selten anders geht, steht auf einem anderen Blatt.
> ob jemand unbefugtes Dateien verändert hat oder nicht läßt sich über
> die Filesystem-Protokollierung, das Änderungsdatum sowie den
> Besitzer der Datei selbst unter Windows problemlos prüfen
Ich dachte, genau das kann man über die Backup-API mit Backup-Rechten
umgehen?
> Admins haben eine Vertrauensposition - eben weil sie Zugriff auf alle
> Daten haben die auf dem Server liegen. Selbst wenn Du dem Admin keinen
> Zugriff geben würdest - er könnte ihn sich problemlos jederzeit NEHMEN.
> Wenn die Geschäftsleitung damit ein Problem hätte müßte sie sich einen
> anderen Admin suchen.
Ich sehe es als problematisch an, wenn ausgerechnet der Backup-Server,
mit dem sowieso so ziemlich jeder Rechner redet, überall Schreib- und
sonstige Rechte hat. Bei einem Software- oder Konfigurationsfehler im
Backup und einem kompromittierten Rechner verliert man im Fall der
Fälle nicht nur sein Backup, sondern auch gleich die Originaldaten
dazu.
Daß es selten anders geht, steht auf einem anderen Blatt.
> ob jemand unbefugtes Dateien verändert hat oder nicht läßt sich über
> die Filesystem-Protokollierung, das Änderungsdatum sowie den
> Besitzer der Datei selbst unter Windows problemlos prüfen
Ich dachte, genau das kann man über die Backup-API mit Backup-Rechten
umgehen?
Carsten Krueger
Mar 28, 2012, 4:17:44 PM3/28/12
to
Am Wed, 28 Mar 2012 21:59:40 +0200 schrieb Florian Weimer:
> Ich dachte, genau das kann man über die Backup-API mit Backup-Rechten
> umgehen?
Klar.
> Ich dachte, genau das kann man über die Backup-API mit Backup-Rechten
> umgehen?
Andreas Barth
Mar 28, 2012, 4:34:12 PM3/28/12
to
Carsten Krueger wrote:
> Am Wed, 28 Mar 2012 21:59:40 +0200 schrieb Florian Weimer:
>
>> Ich dachte, genau das kann man über die Backup-API mit Backup-Rechten
>> umgehen?
>
> Klar.
Sollte das nicht eher an der Restore-API hängen? (Backup und Restore
> Am Wed, 28 Mar 2012 21:59:40 +0200 schrieb Florian Weimer:
>
>> Ich dachte, genau das kann man über die Backup-API mit Backup-Rechten
>> umgehen?
>
> Klar.
sollte man bezüglich Rechtekonzept als zwei getrennte Vorgänge
betrachten, auch wenn das oft nicht so passiert.)
Viele Grüße,
Andi
Arno Welzel
Mar 29, 2012, 1:00:44 AM3/29/12
to
Magnus Warker, 2012-03-28 15:26:
> der Admin einer kleinen Firma verlangt von den Mitarbeitern, die
> Berechtigungen ihrer persönlichen Bereiche im gemeinsamen Dateisystem so
> einzustellen bzw. zu belassen, dass zwei (Benutzer-) Gruppen Vollzugriff
> (inkl. schreiben/ändern) für diese Verzeichnisse und Dateien haben. Dies
> sei für die Datensicherung notwendig.
>
> Nach meinem Verständnis ist für die Durchführung des Backups ein
> schreibender Zugriff nicht erforderlich.
Unter der Annahme, dass man Datensicherungen auch wieder zurückspielen
können will, geht das vermutlich kaum ohne schreibende Zugriffe.
> Sollte der einzelne Mitarbeiter nicht die Möglichkeit haben, selbst zu
> bestimmen, wer seine Daten lesen und vor allem verändern darf?
Rechtlich ja. Man kann den Zugriff auf die persönlichen Daten auch
verweigern - dann gibt es halt kein Backup ;-)
--
Arno Welzel
http://arnowelzel.de
http://de-rec-fahrrad.de
> der Admin einer kleinen Firma verlangt von den Mitarbeitern, die
> Berechtigungen ihrer persönlichen Bereiche im gemeinsamen Dateisystem so
> einzustellen bzw. zu belassen, dass zwei (Benutzer-) Gruppen Vollzugriff
> (inkl. schreiben/ändern) für diese Verzeichnisse und Dateien haben. Dies
> sei für die Datensicherung notwendig.
>
> Nach meinem Verständnis ist für die Durchführung des Backups ein
> schreibender Zugriff nicht erforderlich.
können will, geht das vermutlich kaum ohne schreibende Zugriffe.
> Sollte der einzelne Mitarbeiter nicht die Möglichkeit haben, selbst zu
> bestimmen, wer seine Daten lesen und vor allem verändern darf?
verweigern - dann gibt es halt kein Backup ;-)
--
Arno Welzel
http://arnowelzel.de
http://de-rec-fahrrad.de
Magnus Warker
Mar 29, 2012, 3:21:30 AM3/29/12
to
Hallo,
interessante Hinweise!
Ich sehe dennoch einen Unterschied, ob es ein *Konto* mit Vollzugriff
gibt, dass z. B. für Backup/Restore verwendet wird, oder ob es gleich
mehrere *Gruppen* sind, deren Mitglieder zudem nicht bekannt sind.
Letztlich kann in der Gruppe ein ganzes Admin-Team drin sein, vielleicht
noch mehr.
Das ist für mich nicht mit dem Minimalprinzip vereinbar.
Magnus
interessante Hinweise!
Ich sehe dennoch einen Unterschied, ob es ein *Konto* mit Vollzugriff
gibt, dass z. B. für Backup/Restore verwendet wird, oder ob es gleich
mehrere *Gruppen* sind, deren Mitglieder zudem nicht bekannt sind.
Letztlich kann in der Gruppe ein ganzes Admin-Team drin sein, vielleicht
noch mehr.
Das ist für mich nicht mit dem Minimalprinzip vereinbar.
Magnus
Carsten Krueger
Mar 29, 2012, 7:39:51 AM3/29/12
to
Am Wed, 28 Mar 2012 20:34:12 +0000 (UTC) schrieb Andreas Barth:
> Sollte das nicht eher an der Restore-API hängen? (Backup und Restore
> sollte man bezüglich Rechtekonzept als zwei getrennte Vorgänge
> betrachten, auch wenn das oft nicht so passiert.)
Richtig ist mir egal. Auf jeden Fall kann man mit der Backup/Restore-API
> Sollte das nicht eher an der Restore-API hängen? (Backup und Restore
> sollte man bezüglich Rechtekonzept als zwei getrennte Vorgänge
> betrachten, auch wenn das oft nicht so passiert.)
ALLES.
Carsten Krueger
Mar 29, 2012, 7:40:47 AM3/29/12
to
Am Thu, 29 Mar 2012 09:21:30 +0200 schrieb Magnus Warker:
> Letztlich kann in der Gruppe ein ganzes Admin-Team drin sein, vielleicht
> noch mehr.
Das spielt keine Rolle. Ein Benutzer der Administrator ist kommt immer an
> Letztlich kann in der Gruppe ein ganzes Admin-Team drin sein, vielleicht
> noch mehr.
deine Daten rann.
Florian Weimer
Mar 29, 2012, 1:04:23 PM3/29/12
to
* Andreas Barth:
> Carsten Krueger wrote:
>> Am Wed, 28 Mar 2012 21:59:40 +0200 schrieb Florian Weimer:
>>
>>> Ich dachte, genau das kann man über die Backup-API mit Backup-Rechten
>>> umgehen?
>>
>> Klar.
>
> Sollte das nicht eher an der Restore-API hängen?
Die Audit-Umgehung ist nötig, damit das Backup nicht Millionen
Datensätze erzeugt, nur weil es nachschaut, ob Dateien geändert
wurden. (Gut, bei NTFS gibt es eine Änderungshistorie, die aber
praktisch nicht verwendet wird. Schattenkopien sind technisch anders
umgesetzt und helfen hier nicht weiter.)
> (Backup und Restore sollte man bezüglich Rechtekonzept als zwei
> getrennte Vorgänge betrachten, auch wenn das oft nicht so passiert.)
Eine solche "Backup-API" erlaubt das Lesen von Paßwort-Eingaben auf
Pseudo-Terminals. Das ist wirklich schwierig.
> Carsten Krueger wrote:
>> Am Wed, 28 Mar 2012 21:59:40 +0200 schrieb Florian Weimer:
>>
>>> Ich dachte, genau das kann man über die Backup-API mit Backup-Rechten
>>> umgehen?
>>
>> Klar.
>
> Sollte das nicht eher an der Restore-API hängen?
Datensätze erzeugt, nur weil es nachschaut, ob Dateien geändert
wurden. (Gut, bei NTFS gibt es eine Änderungshistorie, die aber
praktisch nicht verwendet wird. Schattenkopien sind technisch anders
umgesetzt und helfen hier nicht weiter.)
> (Backup und Restore sollte man bezüglich Rechtekonzept als zwei
> getrennte Vorgänge betrachten, auch wenn das oft nicht so passiert.)
Pseudo-Terminals. Das ist wirklich schwierig.
Message has been deleted
Message has been deleted
Florian Weimer
Mar 29, 2012, 1:51:43 PM3/29/12
to
* Juergen Nieveler:
> Florian Weimer <f...@deneb.enyo.de> wrote:
>
>> Ich sehe es als problematisch an, wenn ausgerechnet der Backup-Server,
>> mit dem sowieso so ziemlich jeder Rechner redet, �berall Schreib- und
>> dazu.
>
> So ein Fehler �ndert an den Backup-Tapes im Tresor tendenziell eher
> wenig.
Oh, man kann die Bandverschl�sselung aktivieren und warten.
> Florian Weimer <f...@deneb.enyo.de> wrote:
>
>> Ich sehe es als problematisch an, wenn ausgerechnet der Backup-Server,
>> sonstige Rechte hat. Bei einem Software- oder Konfigurationsfehler im
>> Backup und einem kompromittierten Rechner verliert man im Fall der
>> F�lle nicht nur sein Backup, sondern auch gleich die Originaldaten
>> Backup und einem kompromittierten Rechner verliert man im Fall der
>> dazu.
>
> So ein Fehler �ndert an den Backup-Tapes im Tresor tendenziell eher
> wenig.
Oh, man kann die Bandverschl�sselung aktivieren und warten.
Message has been deleted
Florian Weimer
Mar 29, 2012, 2:39:47 PM3/29/12
to
>>> So ein Fehler ändert an den Backup-Tapes im Tresor tendenziell eher
>>> wenig.
>>
>> Oh, man kann die Bandverschlüsselung aktivieren und warten.
>
> Oh, gute Admins testen regelmäßig ein Restore ;-)
Auf einem komplett getrennten Sicherungssystem, mit geeigneten
heuristischen Prüfungen auf Vollständigkeit.
"Müller, warum lesen Sie meine private Mail?" "Ich muß prüfen, ob das
Restore funktioniert."
>>> wenig.
>>
>> Oh, man kann die Bandverschlüsselung aktivieren und warten.
>
> Oh, gute Admins testen regelmäßig ein Restore ;-)
Auf einem komplett getrennten Sicherungssystem, mit geeigneten
heuristischen Prüfungen auf Vollständigkeit.
"Müller, warum lesen Sie meine private Mail?" "Ich muß prüfen, ob das
Restore funktioniert."
Christoph Hanle
Mar 29, 2012, 3:16:40 PM3/29/12
to
On 28.03.2012 15:26 Magnus Warker wrote:
> Hallo,
>
> der Admin einer kleinen Firma verlangt
der Admin kann nichts verlangen, nur der Geschäftsführer oä.
> Hallo,
>
> der Admin einer kleinen Firma verlangt
Er kann den Admin beauftragen z.B. eine vollständige Datensicherung mit
Wiederherstellungsmöglichkeit durchzuführen.
von den Mitarbeitern, die Berechtigungen ihrer persönlichen Bereiche
im gemeinsamen Dateisystem so
> einzustellen bzw. zu belassen,
Was sind persönliche Bereiche ? In einer Firma gehören alle Daten der
Firma; ok. es kann Ausnahmen geben, z.B. kann es explizit erlaubt sein
private Daten in speziell gekennzeichneten Ordnern zu haben, diese
müssen dann nicht zwangsmäßig gesichert werden. Nur welche Firma ist so
blöd und hat eine solche Regelung ?
dass zwei (Benutzer-) Gruppen Vollzugriff
> (inkl. schreiben/ändern) für diese Verzeichnisse und Dateien haben. Dies
> sei für die Datensicherung notwendig.
>
> Nach meinem Verständnis ist für die Durchführung des Backups ein
> schreibender Zugriff nicht erforderlich.
>
> Sollte der einzelne Mitarbeiter nicht die Möglichkeit haben, selbst zu
> bestimmen, wer seine Daten lesen und vor allem verändern darf?
nein, dies bestimmt die Geschäftsführung.
> Sollte der einzelne Mitarbeiter nicht die Möglichkeit haben, selbst zu
> bestimmen, wer seine Daten lesen und vor allem verändern darf?
>
> Wie sollte man damit umgehen?
Wer ist man ?
> Wie sollte man damit umgehen?
>
> Danke!
> Magnus
Christoph
Message has been deleted
Arno Welzel
Mar 30, 2012, 8:39:17 AM3/30/12
to
Am 29.03.2012 19:36, schrieb Ralf Döblitz:
> Arno Welzel<use...@arnowelzel.de> schrieb:
> Firmendaten umgegangen wird und nicht der einzelne Mitarbeiter.
Da OP aber von "persönlichen Bereiche" sprach, ging ich von der
genehmigten Nutzung für private Zwecke aus.
Auch E-Mail ist erstmal *privat*, wenn sie an eine Adresse in der Form
vorname....@firma.example geht, solange nichts Anderes vereinbart
ist und auch Briefe, die namentlich an Personen einer Firma addressiert
sind, dürfen ohne Zustimmung der Betroffenen nicht einfach von Dritten
eingesehen werden.
> Es wird da kaum um die Sicherung *privater* Daten gehen (dafür wird wohl
> kaum ein Chef Geld ausgeben wollen), sondern eher um die persönlichen
> Daten, die ein Mitarbeiter im Rahmen seiner Arbeit erzeugt. Und da hat
> er persönlich herzlich wenig zu bestimmen. UDIAGS.
Was genau sollten "persönliche Daten im Rahmen der Arbeit erzeugt" sein,
wenn sie nicht "privat" sind?
> Arno Welzel<use...@arnowelzel.de> schrieb:
>> Magnus Warker, 2012-03-28 15:26:
> [...]
>>> Sollte der einzelne Mitarbeiter nicht die Möglichkeit haben, selbst zu
>>> bestimmen, wer seine Daten lesen und vor allem verändern darf?
>>
>> Rechtlich ja. Man kann den Zugriff auf die persönlichen Daten auch
>> verweigern - dann gibt es halt kein Backup ;-)
>
> In einer *Firma* sollte die Geschäftsführung bestimmen, wie mit den
>>> bestimmen, wer seine Daten lesen und vor allem verändern darf?
>>
>> Rechtlich ja. Man kann den Zugriff auf die persönlichen Daten auch
>> verweigern - dann gibt es halt kein Backup ;-)
>
> Firmendaten umgegangen wird und nicht der einzelne Mitarbeiter.
Da OP aber von "persönlichen Bereiche" sprach, ging ich von der
genehmigten Nutzung für private Zwecke aus.
Auch E-Mail ist erstmal *privat*, wenn sie an eine Adresse in der Form
vorname....@firma.example geht, solange nichts Anderes vereinbart
ist und auch Briefe, die namentlich an Personen einer Firma addressiert
sind, dürfen ohne Zustimmung der Betroffenen nicht einfach von Dritten
eingesehen werden.
> Es wird da kaum um die Sicherung *privater* Daten gehen (dafür wird wohl
> kaum ein Chef Geld ausgeben wollen), sondern eher um die persönlichen
> Daten, die ein Mitarbeiter im Rahmen seiner Arbeit erzeugt. Und da hat
> er persönlich herzlich wenig zu bestimmen. UDIAGS.
Was genau sollten "persönliche Daten im Rahmen der Arbeit erzeugt" sein,
wenn sie nicht "privat" sind?
Message has been deleted
Magnus Warker
Apr 3, 2012, 9:50:38 AM4/3/12
to
On 03/29/2012 07:36 PM, Ralf Döblitz wrote:
> Arno Welzel<use...@arnowelzel.de> schrieb:
bei der für die Projektmitglieder spezielle Berechtigungen gelten
sollen. Das entscheidet die Geschäftsführung nicht für jeden Einzelfall.
Magnus
> Arno Welzel<use...@arnowelzel.de> schrieb:
>> Magnus Warker, 2012-03-28 15:26:
> [...]
>>> Sollte der einzelne Mitarbeiter nicht die Möglichkeit haben, selbst zu
>>> bestimmen, wer seine Daten lesen und vor allem verändern darf?
>>
>> Rechtlich ja. Man kann den Zugriff auf die persönlichen Daten auch
>> verweigern - dann gibt es halt kein Backup ;-)
>
>>> bestimmen, wer seine Daten lesen und vor allem verändern darf?
>>
>> Rechtlich ja. Man kann den Zugriff auf die persönlichen Daten auch
>> verweigern - dann gibt es halt kein Backup ;-)
>
> In einer *Firma* sollte die Geschäftsführung bestimmen, wie mit den
> Firmendaten umgegangen wird und nicht der einzelne Mitarbeiter.
Das ist ziemlich realitätsfern. Ein simples Beispiel ist Projektarbeit,
> Firmendaten umgegangen wird und nicht der einzelne Mitarbeiter.
bei der für die Projektmitglieder spezielle Berechtigungen gelten
sollen. Das entscheidet die Geschäftsführung nicht für jeden Einzelfall.
Magnus
Gerhard Zuber
Apr 4, 2012, 11:51:58 AM4/4/12
to
Am 03.04.2012 15:50, schrieb Magnus Warker:
>>>> Sollte der einzelne Mitarbeiter nicht die Möglichkeit haben, selbst zu
>>>> bestimmen, wer seine Daten lesen und vor allem verändern darf?
>>>
>>> Rechtlich ja. Man kann den Zugriff auf die persönlichen Daten auch
>>> verweigern - dann gibt es halt kein Backup ;-)
>>
>> In einer *Firma* sollte die Geschäftsführung bestimmen, wie mit den
>> Firmendaten umgegangen wird und nicht der einzelne Mitarbeiter.
>
> Das ist ziemlich realitätsfern. Ein simples Beispiel ist Projektarbeit,
> bei der für die Projektmitglieder spezielle Berechtigungen gelten
> sollen. Das entscheidet die Geschäftsführung nicht für jeden Einzelfall.
im allgemeinen gibt es für die Daten einen ausgeklügelten Dateibaum,
>>>> Sollte der einzelne Mitarbeiter nicht die Möglichkeit haben, selbst zu
>>>> bestimmen, wer seine Daten lesen und vor allem verändern darf?
>>>
>>> Rechtlich ja. Man kann den Zugriff auf die persönlichen Daten auch
>>> verweigern - dann gibt es halt kein Backup ;-)
>>
>> In einer *Firma* sollte die Geschäftsführung bestimmen, wie mit den
>> Firmendaten umgegangen wird und nicht der einzelne Mitarbeiter.
>
> Das ist ziemlich realitätsfern. Ein simples Beispiel ist Projektarbeit,
> bei der für die Projektmitglieder spezielle Berechtigungen gelten
> sollen. Das entscheidet die Geschäftsführung nicht für jeden Einzelfall.
mit Verzleichnissen, die von mehreren Benutzern eingesehen und auch
bearbeitet werden können. Daneben häufig noch einen für die
"persönlichen" Daten - nicht "privaten" Daten.
Dazu gibt es ein Berechtigungskonzept, wer zugreifen dar. Um dieses
Berechtigungskonzept durchzusetzen, dürfen allgemeine User diese
Berechtigungen nicht ändern, eben nur Administratoren.
Nur für die Datensicherung und Rückspeichern brauchen Administratoren
keine Rechte auf dem Dateibaum. Diese Rechte hat das Backup-System
und arbeitet an den Berechtigungen vorbei - wie ja hier schon
erläutert wurde. Sie brauchen nur die Rechte, um das Backupsystem
bedienen zu können.
Diese Bedienadministratoren können die gesicherten Dateien auch an
einen anderen Ort rückladen und könnten damit machen was sie wollen.
Sie könnten auch andere Dateien in den Platz eines Users zurückladen.
An gewissen Anforderungen an Administratoren kommt man also nicht
vorbei.
Es gibt jedoch Fälle, wo Administratoren tatsächlich nicht zugreifen
können sollen, das ist häufig die Personalabteilung. Da muß man
sich was einfallen lassen, wie man das löst.
Bei der email gilt noch einmal was anderes.
Message has been deleted
Message has been deleted
Gerhard Zuber
Apr 11, 2012, 1:00:40 PM4/11/12
to
Am 09.04.2012 15:58, schrieb Juergen Nieveler:
> Separater Fileserver für die Personalabteilung, nicht Mitglied der
> Domäne, das Adminpasswort hatte nur die Personalabteilung, und die
> Backups wurden verschlüsselt (auch dafür hatte nur die
> Personalabteilung das Kennwort).
Weitere Kandidaten sind der Betriebsrat und die Geschäftsführung.
Die User und die Arbeitsplätze könnten schon im Active Directory
sein, nur halt dieser Inselserver nicht. Auf diesem gäbe es
dann für die User lokale Benutzerkonten zusätzlich und die Shares
würden mit dem anderem Benutzerkonto hergestellt.
Je nachdem welcher Level gewünscht wird, wird es dann halt kompliziert.
Ein größeres Problem ist, daß die User üblicherweise auch auf dem
lokalen PC Dateien ablegen, was sie üblicherweise nicht sollen
und auch nicht dürfen. Wenn dann die Festplatte sich verabschiedet,
ist der Aufschrei groß.
Je kleiner die Firma, umso chaotischer ist das üblicherweise.
Gerhard
> Gerhard Zuber<gerhar...@gmx.de> wrote:
>
>> Es gibt jedoch Fälle, wo Administratoren tatsächlich nicht zugreifen
>> können sollen, das ist häufig die Personalabteilung. Da muß man
>> sich was einfallen lassen, wie man das löst.
>
> Da habe ich in einem Fall die folgende Lösung gesehen:
>
>> Es gibt jedoch Fälle, wo Administratoren tatsächlich nicht zugreifen
>> können sollen, das ist häufig die Personalabteilung. Da muß man
>> sich was einfallen lassen, wie man das löst.
>
> Separater Fileserver für die Personalabteilung, nicht Mitglied der
> Domäne, das Adminpasswort hatte nur die Personalabteilung, und die
> Backups wurden verschlüsselt (auch dafür hatte nur die
> Personalabteilung das Kennwort).
Weitere Kandidaten sind der Betriebsrat und die Geschäftsführung.
Die User und die Arbeitsplätze könnten schon im Active Directory
sein, nur halt dieser Inselserver nicht. Auf diesem gäbe es
dann für die User lokale Benutzerkonten zusätzlich und die Shares
würden mit dem anderem Benutzerkonto hergestellt.
Je nachdem welcher Level gewünscht wird, wird es dann halt kompliziert.
Ein größeres Problem ist, daß die User üblicherweise auch auf dem
lokalen PC Dateien ablegen, was sie üblicherweise nicht sollen
und auch nicht dürfen. Wenn dann die Festplatte sich verabschiedet,
ist der Aufschrei groß.
Je kleiner die Firma, umso chaotischer ist das üblicherweise.
Gerhard
Message has been deleted
Carsten Krueger
Apr 11, 2012, 3:59:24 PM4/11/12
to
Am Wed, 11 Apr 2012 19:00:40 +0200 schrieb Gerhard Zuber:
> Die User und die Arbeitsplätze könnten schon im Active Directory
> sein, nur halt dieser Inselserver nicht. Auf diesem gäbe es
> dann für die User lokale Benutzerkonten zusätzlich und die Shares
> würden mit dem anderem Benutzerkonto hergestellt.
Wenn du dem Admin oder der Putzfrau nicht traust hilft das nicht die Bohne.
> Die User und die Arbeitsplätze könnten schon im Active Directory
> sein, nur halt dieser Inselserver nicht. Auf diesem gäbe es
> dann für die User lokale Benutzerkonten zusätzlich und die Shares
> würden mit dem anderem Benutzerkonto hergestellt.
http://www.keyghost.com/USB-Keylogger.htm
Message has been deleted
0 new messages