Wir haben einen MS Windows Server 2008 R8-basierten Server, der von unserer IT-Abteilung verwaltet wird. Wir möchten zwei Dinge gleichzeitig erreichen:
- Ein Ordner auf dem Server, der mehrere tausend Dateien enthält (häufig werden neue Dateien hinzugefügt), auf den einige ActiveDirectory-Benutzer (z. B. der Vorstand) zugreifen können, nicht jedoch Mitarbeiter der IT-Abteilung.
- Mitarbeiter der IT-Abteilung behalten weiterhin die Rechte zur Verwaltung des Servers, einschließlich der Installation neuer Software und Dienste.
Wir haben bereits einige Lösungen geprüft:
- Verwenden von NTFS-Zugriffsrechten. Leider können sich die IT-Mitarbeiter (Mitglieder der Gruppe „Administratoren“) selbst als neue Eigentümer der Dateien festlegen und die Berechtigungen ändern, sodass sie Zugriff auf die Dateien erhalten.
- EFS aktivieren. Selbst wenn Sie der IT keinen Zugriff auf Dateien erlauben, kann sie EFS leider trotzdem vollständig deaktivieren, da sie über Administratorrechte verfügt. Außerdem müssen Sie meines Wissens für jede neue Datei manuell Berechtigungen für alle Benutzer außer dem Eigentümer hinzufügen – sehr umständlich.
- Erstellen einer neuen Rolle für die IT-Abteilung, die alle Berechtigungen außer der Dateieigentümerschaft besitzt. Wenn Sie kein Mitglied der Administratorengruppe sind, können Sie leider keine neue Software installieren, unabhängig davon, welche Berechtigungen Sie der Rolle hinzufügen.
- TrueCrypt – nette kostenlose Verschlüsselungssoftware, aber mit schlechten Freigabemöglichkeiten. Sie können entweder einen Verschlüsselungscontainer auf dem Server mounten (und dann hat die IT Zugriff auf dessen Inhalt) oder Sie mounten ihn lokal, aber nur ein Benutzer kann ihn zum Schreiben mounten.
- AxCrypt – kostenlose Verschlüsselungssoftware, die eine Datei-für-Datei-Verschlüsselung auf dem Server ermöglicht. Es gibt jedoch einige Nachteile – Sie müssen jede neu hinzugefügte Datei manuell verschlüsseln. Die Dateiendungen ändern sich. Sie können nur ein Passwort für alle Dateien festlegen (alle Benutzer müssen also dieses eine Passwort kennen).
Irgendwelche anderen Ideen? Unser Budget ist begrenzt, daher wäre Enterprise-Software von Symantec oder PGP wahrscheinlich keine Option.
Antwort1
Es ist nicht möglich, den IT-Mitarbeitern vollen Zugriff zu gewähren und ihnen gleichzeitig den Zugriff auf den Ordner zu verwehren. Daher müssen Sie ihnen auf irgendeine Weise eine Einschränkung auferlegen. Da sie physischen Zugriff auf den Server haben, muss dies durch Verschlüsselung geschehen. Das mag zwar unbequem sein, aber es gibt nur zwei Möglichkeiten, den Zugriff auf Daten zu verhindern, auf die jemand physischen Zugriff hat: Verschlüsselung oder physische Einschränkung.
Ich kann mir keinen anderen Weg vorstellen, das zu umgehen.