[NT/XP] Rechten Windows NT Server - Windows XP Professional*

De Administrator moet eerst ownership nemen van de share/folder en dat kun je auditten.

Over welk OS hebben we het nu, NT 4.0 Server of Windows XP Professional?

Administrator zal zichzelf altijd toegang kunnen verlenen tot gegevens - maar dat betekent niet dat een administrator altijd toegang heeft tot de gegevens.

Voorkomen dat een administrator zichzelf rechten geeft is iets wat je in ieder geval niet zal kunnen doen

Verwijderd schreef op dinsdag 22 februari 2005 @ 14:25:
Hallo,

Ik heb net een opdracht gekregen om te voorkomen dat de Administrator toegang heeft tot de share van een willekeurige gebruiker.
Nu kan ik de gebruikersgroep "Domain administrators" verwijderen waaronder ook de Administrator valt, maar deze kan zijn rechten weer herstellen.

Hoe kan ik voorkomen dat deze zijn rechten weer hersteld?

herstelt

Niet: het hele concept van NT/2k mbt. admin rechten is juist dat een admin geen rechten hoeft te hebben op bestanden, maar dat 'ie wel altijd die rechten kan nemen.

Het idee is om met auditing die take ownership acties te traceren.

Verwijderd schreef op dinsdag 22 februari 2005 @ 14:45:
De Server is Windows NT en het besturingssysteem op het werkstation is Windows XP.

Is er verder nog een programma dat voorkomt dat de Administrator ongevraagd ownership can nemen?
Of dat de share gewooon afschermt voor iedereen behalve diegene die bepaalde gebruikers toegang heeft gegeven tot deze share?

als het gaat om bedrijfsgegevens waar de administrator (=sysbeheerder) geen toegang tot mag hebben zou je dit ook kunnen 'dichzetten' (niet helemaal het juiste woord) dmv auditing op fileniveau

als de administrator down ownership neemt en ongevraagd in de bestanden gaat lopen snuffelen dan wordt dit gelogged.. en kan de baas dit dus zien in de logs ,

en de admin kan opzich de logs wel flushen, echter zodra hij dat doet wordt ook dat gelogged (en dat kan hij niet weghalen)

mischien dat dat je verder helpt

Denk dat je dan beter je admins uit de groep "Domain Admins"kunt halen, en deze alleen rechten te geven op de machines waar ze die moeten hebben. check ook de "delegation of control wizard"in Active Directory

sanfranjake schreef op woensdag 23 februari 2005 @ 19:35:
Denk dat je dan beter je admins uit de groep "Domain Admins"kunt halen, en deze alleen rechten te geven op de machines waar ze die moeten hebben. check ook de "delegation of control wizard"in Active Directory

server is nt4

geen AD dus

zwelgje schreef op woensdag 23 februari 2005 @ 19:40:
[...]


server is nt4

geen AD dus

Uitgaande van dit is het dus een NT4.0 Workstation als server of een Windows NT 4.0 Server versie? Want dat scheelt een klein beetje

Ja las het ineens Zwelgje

Als ze willen dat die gegevens voor niemand, maar dan ook niemand zichtbaar is, lijkt mij dat je het beste deze machine gewoon van het domein afhaalt.
Dan kan je veel dingen volgens domeinmanieren lokaal inrichten, alleen de profielen e.d staan lokaal.
Dan kan diegene die geen toegang wilt verlenen tot deze mappen een eigen administratorwachtwoord aanmaken, zodat de domeinadministrator geen Take Ownership kan doen.

Verder kan je ook een soort van contract opstellen voor de netwerkbeheerder, dat hij deze gegevens niet mag inzien en hij op staande voet ontslagen kan worden als hij het toch een keertje doorleest.
Vertrouwen is het belangrijkste

[ Voor 55% gewijzigd door Vorkie op 23-02-2005 19:49 ]

Vorkie schreef op woensdag 23 februari 2005 @ 19:42:
[...]


Uitgaande van dit is het dus een NT4.0 Workstation als server of een Windows NT 4.0 Server versie? Want dat scheelt een klein beetje

nt4 workstation heeft geen 'domain admins' groep
en het scheelt niks, van nt4 heeft gewoon geen AD

[ Voor 10% gewijzigd door Zwelgje op 23-02-2005 19:46 ]

Delegation of control heeft weinig zin, het betreft een NT 4.0 server.
Wat je zou kunnen doen is in Usermanagement for domains bij user rights de administrators het recht ontnemen om zich eigenaar te maken van files. Dit is echter zeer onverstandig.

als het een NTserver is ben ik blind, sorry