ComputerBase Menü
Aktuelles

Safe mit Berechtigungen der AD

CharlieScene

CharlieScene

Lt. Junior Grade
Registriert
Juli 2016
Beiträge
382
Moin zusammen!
Ich benötige mal eure Schwarmintelligenz:

Ich brauche einen Safe/Container zur Sicherung von Daten. Für ein ähnliches Szenario setzten wir auf einen Veracrypt Container. Dieser liegt auf einer Freigabe und wird von den berechtigten Nutzern ganz normal nach Passworteingabe gemounted und ist dann als 'lokales Laufwerk' eingebunden. Das funktioniert auch wie es soll.

Neues Szenario:
Ein weiterer (Veracrypt) Safe mit vielen Ordnern und Unterordnern, welche zum Teil über verschiedene Berechtigungen verfügen sollen.
-Thema (Zugriff 'Personalführung')
--Finanzen (Zugriff Buchhalter)
--Daten (Zugriff Führungsperson, Geschäftsführung)
--Sonstiges (Zugriff XY)

Ich denke das Prinzip ist klar. Ein Zugriff über eine normale Freigabe ist nicht gewünscht, es soll schon wieder ein gesondert gesicherter "Safe" sein. Mein Problem: Die Nutzer verfügen zum Großteil über lokale Administratorrechte (...), somit wären diese berechtigt jeden der Ordner zu öffnen sobald das Laufwerk als lokales Medium eingebunden ist. Sehe ich das falsch?
Kennt ihr ein anderes Tool mit welchem sich das obige Szenario umsetzen ließe? Oder einen ganz anderen Ansatz? Wenn ich den Container auf dem Fileshare direkt mounte und normale (NTFS)Freigaben mit Berechtigungen erstelle, kommt es ja quasi aufs selbe hinaus wie bei einer normalen Freigabe, right? Eine Domäne ist vorhanden.

Bin für jeden Input dankbar!
Beste Grüße,

Charlie
 
mhm das ist seltsam, container kann man eigentlich nur 1x mounten und keine andere person hat darauf zugriff.
außer du machst das über einen share server, dann ist aber dein sicherheitsthema wieder obsolet.
Dein Thema kannst du mit "nicht vererbaren" Sicherheitseinstellungen direkt in Windows/AD- eintragen. das müsste eigentlich reichen.

um zum thema zurückzukommen:

Safe mit Berechtigungen der AD?​


ja bist du, deaktiviere die Vererbung auf den Überordnern und lass erst bei den unterordnern die Vererbung aktiv.

Bzgl. verschlüsselung, eigentlich sollte man laut dsgvo den server an sich verschlüsseln. (das geht in virtualbox ganz einfach) und hyperv auch. (vtpm) = macht nur keiner. (außer bei kritischen systemen, finanzen..)
 
Zuletzt bearbeitet von einem Moderator:
Danke für die Antwort.
Guter Einwand, das macht die Nutzung eines weiteren Containers eher hinderlich - der Personenkreis ist relativ groß, da sind Probleme ja vorprogrammiert.

Eine normale Freigabe auf dem Windowsserver wo ich direkt mit den Berechtigungen arbeiten kann ist/war ja nicht gewünscht. Da mir das aber auch als sinnvollste Lösung erscheint, würde ich das nochmal ins Gespräch bringen.
 
"kann ist/war ja nicht gewünscht."

warum? das macht kein Sinn, jeder Administrator, der überhaupt darauf Zugriff hat, hat sowieso auf seinen Bereich Vollzugriff und wenn man dem Administrator/Team nicht vertraut, dann ist das ein anderes Problem.

die benutzer können ja nichts machen (egal ob lokaler admin!), sie haben domänen rechte und fertig aus.
Du musst einfach im AD Gruppen anlegen:

z.B. Sachbearbeiter-Gruppe
z.B. Entwickler-Gruppe
z.B. Leider-Gruppe

in diese Gruppen fügst du die personen hinzu.
Danach verteilst du die Berechtigungen auf deine Ordner struktur. (also die Gruppen! niemals usernamen, außer ein Leiter oder CEO bekommt seinen privaten Ordner)
dann ist es gut übersichtlich und einfach zu managen.
Mehr als die Berechtigungen die du setzt, hat kein Benutzer!!! (es gibt soviele berechtigungen, auch ausblenden von Inhalt und und )
 
Freigabe und Container ist kein Entweder-Oder. Man kann das doch super verbinden.
Den Container auf einem Share-Server mounten, so bleiben die Daten immer im Container. Den Zugriff kann man dann über Freigaben und Freigabeberechtigungen regeln. Damit bleiben die Daten immer im Container und der Zugriff unterstützt die komplette AD-Palette.

Netzwerkfreigaben lassen sich auch als Laufwerke mit eigenem Buchstaben mounten, die Rechteverwaltung übernimmt dann aber der Freigabeserver, nicht der Client. Es kann also lokaler Admin sein wer will.
 
"
Freigabe und Container ist kein Entweder-Oder. Man kann das doch super verbinden.
Den Container auf einem Share-Server mounten, so bleiben die Daten immer im Container.
"

Container auf einem share server :D das ist dann genau die gleiche situation wie davor....
Wenn der server verschlüsselt ist und ein normales share hat == container und shareserver....
Was passiert, wenn aber hier dein Container einmal inkonsistent ist, z.b. durch ein Clusterfehler oder sonstiges.
dann ist der komplette container kaputt. Auch ist der zugriff auf ein container -> der instant entschlüsselt und verschlüsselt langsamer, wenn mehrere benutzer gleichzeitig viele daten öffnen/verarbeiten.


Aber egal wie du es bewerkstelligst,
ohne AD brechtigungsbaum wirst du es vermutlich nicht sinnvoll schaffen.
 
CharlieScene schrieb:
Die Nutzer verfügen zum Großteil über lokale Administratorrechte (...), somit wären diese berechtigt jeden der Ordner zu öffnen sobald das Laufwerk als lokales Medium eingebunden ist. Sehe ich das falsch?
Zum Vergrößern anklicken....

Ja, das siehst du falsch. Die lokalen Administratorrechte haben nichts mit den Berechtigungen der Ordner zu tun. Und ein lokaler Administrator kann keine Berechtigungen ändern, wenn er nicht Besitzer des Ordners ist. Das sollte in einem AD der Domänen-Administrator sein.

Um also die Dateien und Ordner auf dem Server abzusichern, reicht es ein sinnvolles Berechtigungskonzept auf der Grundlage der AD-Benutzer und -Gruppen zu erstellen.
 
daniel_m schrieb:
Ja, das siehst du falsch. Die lokalen Administratorrechte haben nichts mit den Berechtigungen der Ordner zu tun. Und ein lokaler Administrator kann keine Berechtigungen ändern, wenn er nicht Besitzer des Ordners ist. Das sollte in einem AD der Domänen-Administrator sein.

Um also die Dateien und Ordner auf dem Server abzusichern, reicht es ein sinnvolles Berechtigungskonzept auf der Grundlage der AD-Benutzer und -Gruppen zu erstellen.
Zum Vergrößern anklicken....

Mir ist schon klar dass für Ordner einer Freigabe die Berechtigungen klassisch an AD Gruppen o.Ä geknüpft werden können. Das Problem welches ich oben meinte war: Containerdatei liegt auf dem Server, Person A mounted diesen lokal auf seinem Rechner. Der Container wird nun wie ein lokales Laufwerk behandelt. Selbst wenn er nicht Besitzer des Ordners ist reichen wenige Klicks aus um dies zu ändern also zu umgehen.
Habe ich eben auch ausprobiert; es ist zwar möglich dass ich etwas falsch eingestellt habe aber wenn Owner AD-User B ist kann AD-User A, sobald gemounted, die Ordner selbstständig auf sich umbiegen oder sich Berechtigungen erteilen.
 
CharlieScene schrieb:
Habe ich eben auch ausprobiert; es ist zwar möglich dass ich etwas falsch eingestellt habe aber wenn Owner AD-User B ist kann AD-User A, sobald gemounted, die Ordner selbstständig auf sich umbiegen oder sich Berechtigungen erteilen.
Zum Vergrößern anklicken....

Dann ist VeraCrypt wohl nicht das richtige Tool für dein Vorhaben. Was ist eigentlich der tiefere Sinn hinter dem Ganzen? Verschlüsselung aller Daten, falls der Server oder die Festplatten mal geklaut werden?

Kannst du für diesen Fall nicht auf Bitlocker ausweichen? Wäre deutlich einfacher in der Handhabung in Bezug auf die Zugriffsrechte und verschlüsselt die Daten ebenso sicher falls jemand physischen Zugriff auf den Server bzw. die HDDs hat.
 
daniel_m schrieb:
Dann ist VeraCrypt wohl nicht das richtige Tool für dein Vorhaben. Was ist eigentlich der tiefere Sinn hinter dem Ganzen? Verschlüsselung aller Daten, falls der Server oder die Festplatten mal geklaut werden?
Zum Vergrößern anklicken....

Genau das dachte ich mir auch und frage deshalb nach Alternativen / anderen Ideen um das Szenario umzusetzen.

Ich habe für die Geschäftsführung einen Container bereitgestellt, seit dem ist diese vom Konzept angetan und möchte nun dass andere Bereiche des Fileservers auf diese Art gesichert werden. Geht eher um den Zugriff, so soll ich z.B. mit dem Adminaccount auch keinen Zugriff auf die Dateien haben. Dass das wenig Sinn ergibt, habe ich bereits so kommuniziert.
 
Vasdada schrieb:
mhm das ist seltsam, container kann man eigentlich nur 1x mounten und keine andere person hat darauf zugriff.
außer du machst das über einen share server, dann ist aber dein sicherheitsthema wieder obsolet.
Dein Thema kannst du mit "nicht vererbaren" Sicherheitseinstellungen direkt in Windows/AD- eintragen. das müsste eigentlich reichen.

um zum thema zurückzukommen:

Safe mit Berechtigungen der AD?​


ja bist du, deaktiviere die Vererbung auf den Überordnern und lass erst bei den unterordnern die Vererbung aktiv.

Bzgl. verschlüsselung, eigentlich sollte man laut dsgvo den server an sich verschlüsseln. (das geht in virtualbox ganz einfach) und hyperv auch. (vtpm) = macht nur keiner. (außer bei kritischen systemen, finanzen..)
Zum Vergrößern anklicken....

CharlieScene schrieb:
Genau das dachte ich mir auch und frage deshalb nach Alternativen / anderen Ideen um das Szenario umzusetzen.

Ich habe für die Geschäftsführung einen Container bereitgestellt, seit dem ist diese vom Konzept angetan und möchte nun dass andere Bereiche des Fileservers auf diese Art gesichert werden. Geht eher um den Zugriff, so soll ich z.B. mit dem Adminaccount auch keinen Zugriff auf die Dateien haben. Dass das wenig Sinn ergibt, habe ich bereits so kommuniziert.
Zum Vergrößern anklicken....
Siehe oben. einfach das system verschlüsseln. mit vtpm und co.
Berechtigung über AD.
fertig.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz