Toon posts:

Admin users kunnen bestanden van anderes admin users zien

Pagina: 1
Acties:

Vraag

donderdag 30 november 2023 08:32

Acties:
  • 0 Henk 'm!
  • steemansnick
  • Registratie: December 2015
  • Laatst online: 19-03-2024

steemansnick

Topicstarter
Hallo,

ik heb onlangs Windows 11 Pro op een pc op het werk geïnstalleerd. Ik heb 1 admin gebruiker aangemaakt. Onder die admin gebruiker heb ik een standaard Dropbox geïnstalleerd. In die Dropbox zitten ook privé gegevens, andere gebruikers op die pc mogen daar geen toegang tot hebben.

Nu heb ik een andere admin gebruiker aangemaakt op die pc, en wat zie ik? Als ik met de tweede gebruiker inlog kan ik gewoon navigeren naar C:\Users\Gebruiker1\Dropbox\Privé/... enzovoorts. De documenten en bestanden van de eerste gebruiker zijn ook gewoon vrij benaderbaar door gebruiker 2.

Dit is toch niet normaal? Ook al heeft gebruiker 2 admin rechten, elkaars bestanden zou je toch nooit toegang tot mogen/kunnen hebben?

Weet iemand hoe dit komt en/of hoe ik dit kan oplossen?

Windows 11 Pro 22H2 met alle nieuwste updates.

Alvast erg bedankt!

Alle reacties

donderdag 30 november 2023 08:49

Acties:
  • +2 Henk 'm!
  • Tijntje
  • Registratie: Februari 2000
  • Laatst online: 13:20

Tijntje

Hello?!

Als Admin ben je God in Windows, zelfs al zou je de rechten zo zetten dat je 1 andere user specifiek deny rechten heeft op je bestanden. Dan nog kan die user dat veranderen omdat hij Admin is.

Waarom zou je als Admin willen werken op Windows? Je kan beter als user inloggen en werken, hooguit geef je ze Power User rechten.

Als het niet gaat zoals het moet, dan moet het maar zoals het gaat.

donderdag 30 november 2023 08:49

Acties:
  • 0 Henk 'm!
  • markisoke
  • Registratie: December 2010
  • Laatst online: 17-05 18:58

markisoke

Dat is dus precies waar een admin voor staat, je kan overal in het systeem bij.
Als je dat niet wilt, moet je met users werken.

donderdag 30 november 2023 08:51

Acties:
  • 0 Henk 'm!
  • n9iels
  • Registratie: November 2017
  • Niet online

n9iels

Volgens mij is dat niet echt mogelijk, ook best logisch. Een admin is het hoogste recht wat je kunt krijgen op een Windows PC. Dat recht inperken kan daarom ook niet, en zal al zou het kunnen kun je al admin dat ook altijd weer terugdraaien. Want je bent immers admin in beide gevallen :)

De oplossing hier zou volgens mij om "normale" gebruikers aan te maken.

donderdag 30 november 2023 09:02

Acties:
  • +5 Henk 'm!
  • downtime
  • Registratie: Januari 2000
  • Niet online

downtime

Everybody lies

steemansnick schreef op donderdag 30 november 2023 @ 08:32:

Dit is toch niet normaal? Ook al heeft gebruiker 2 admin rechten, elkaars bestanden zou je toch nooit toegang tot mogen/kunnen hebben?

Weet iemand hoe dit komt en/of hoe ik dit kan oplossen?
Ik heb laatst mijn autosleutels aan iemand gegeven zodat hij wat spullen van de achterbank kon halen. Maar hij kon gewoon instappen en wegrijden. Dat is toch niet normaal? Met die sleutels hoor je toch niet zomaar weg te kunnen rijden?

Als je volledige rechten uitdeelt moet je niet raar kijken als die admins ook echt volledige rechten hebben. Dat is nu eenmaal wat een admin account is. De weinige limitaties van een admin account kunnen meestal eenvoudig omzeild worden als je weet wat je doet.

donderdag 30 november 2023 09:17

Acties:
  • +2 Henk 'm!
  • DukeBox
  • Registratie: April 2000
  • Laatst online: 16:11

DukeBox

Voor je 't weet wist je 't nie

Tijntje schreef op donderdag 30 november 2023 @ 08:49:
.. hooguit geef je ze Power User rechten.
FYI, power users zijn deprecated sinds windows 10. Neemt niet weg dat het (gelukkig) nog wel werkt maar het kan zomaar verdwenen zijn bij een nieuwe release.

Duct tape can't fix stupid, but it can muffle the sound.

donderdag 30 november 2023 09:23

Acties:
  • 0 Henk 'm!
  • GarBaGe
  • Registratie: December 1999
  • Nu online

GarBaGe

Je kan je ook afvragen.... waarom gebruikt een admin op een machine met andere admins een Dropbox met prive gegevens erin?
Een belangrijk aspect in security is data minimalisatie.
Ik zie totaal geen reden waarom die admin een Dropbox met prive gegevens moet mounten.

En anders, moet ie Dropbox "zo" mounten dat alle gegevens ALLEEN op de server blijven staan (niet lokaal) EN dat de het account standaard NIET gemount is.
Dan staan de gegevens er niet, ook geen probleem.

Ryzen9 5900X; 16GB DDR4-3200 ; RTX-4080S ; 7TB SSD

donderdag 30 november 2023 09:29

Acties:
  • 0 Henk 'm!
  • steemansnick
  • Registratie: December 2015
  • Laatst online: 19-03-2024

steemansnick

Topicstarter
Ik dacht gewoon dat de bestanden van users altijd gescheiden waren, ook als het admins zijn. Eén van de redenen om de tweede gebruiker admin rechten te geven is dat hij/zij ook dingen moet kunnen installeren enzo zonder er een wachtwoord voor te moeten geven.

donderdag 30 november 2023 10:40

Acties:
  • 0 Henk 'm!
  • downtime
  • Registratie: Januari 2000
  • Niet online

downtime

Everybody lies

steemansnick schreef op donderdag 30 november 2023 @ 09:29:
Ik dacht gewoon dat de bestanden van users altijd gescheiden waren, ook als het admins zijn. Eén van de redenen om de tweede gebruiker admin rechten te geven is dat hij/zij ook dingen moet kunnen installeren enzo zonder er een wachtwoord voor te moeten geven.
UAC kan daarover verwarring scheppen. Als UAC aanstaat zal de admin inderdaad niet zonder elevation zomaar in een profiel kunnen. Maar dat is natuurlijk simpel te omzeilen.

donderdag 30 november 2023 11:20

Acties:
  • 0 Henk 'm!
  • grasmanek94
  • Registratie: Juli 2015
  • Laatst online: 16-05 18:18

grasmanek94

Je kunt ook meerdere Windows installaties booten? Beetje onhandig, maar elke kan dan beveiligd zijn met een eigen bitlocker pin, en dan daar op elke andere installatie een ieder apart admin rechten geven... maar dit is wel extreem omslachtig en een onderhoudsnachtmerrie.

De juiste oplossing hier is waarschijnlijk EFS maar ik heb hier geen ervaring mee.
.. en ook een admin kan waarschijnlijk toegang tot de encryptie key krijgen dus ook niet 100% secure / gescheiden.

TrueCrypt / VeraCrypt etc dan?

[ Voor 29% gewijzigd door grasmanek94 op 30-11-2023 11:25 ]

donderdag 30 november 2023 11:29

Acties:
  • 0 Henk 'm!
  • Qwerty-273
  • Registratie: Oktober 2001
  • Laatst online: 17-05 22:19

Qwerty-273

Meukposter

***** ***

Best practice is dan ook om niet als beheerder (of admin) gewoon werk te doen op een systeem. Je hebt je eigen standaard gebruiker waar je alles binnen doet (mailen, internetten, data etc.) en alleen voor de momenten dat je meer rechten nodig hebt (bijvoorbeeld een installatie van een programma) - dat je dan de beschikking hebt via een beheer account om dat te doen. Puur en alleen voor de installatie procedure.

Op het moment dat je ergens gepakt wordt door een malafide website/mail/etc. dan draait dat niet direct als beheerder met alle rechten op het systeem.

(je kan gaan spelen met bestandsversleuteling etc, maar dan maak je het zelf wel een stuk moeilijker)

Erzsébet Bathory | Strajk Kobiet | You can lose hope in leaders, but never lose hope in the future.

donderdag 30 november 2023 11:33

Acties:
  • 0 Henk 'm!
  • Hann1BaL
  • Registratie: September 2003
  • Laatst online: 01-05 11:26

Hann1BaL

Do you stay for dinner?Clarice

Je kunt op het user profile wel de security settings aanpassen zodat de andere gebruikers geen toegang hebben.

Standaard is de administrators groep zichtbaar met full control. Die kun je weghalen.
Echter kan een slimme admin die zo weer toevoegen, dus het is geen volledige oplossing, maar het kan in ieder geval een soort eerste bescherming zijn voor de simpele admin die alleen wat wil installeren.

Of dat afdoende is kun je zelf inschatten en is uiteraard afhankelijk van de dropboxdata en wie de machine allemaal kan bereiken.

donderdag 30 november 2023 11:52

Acties:
  • 0 Henk 'm!
  • DukeBox
  • Registratie: April 2000
  • Laatst online: 16:11

DukeBox

Voor je 't weet wist je 't nie

Hann1BaL schreef op donderdag 30 november 2023 @ 11:33:
Echter kan een slimme admin die zo weer toevoegen, dus het is geen volledige oplossing,
Sterker nog, je hoeft er niet eens een 'slimme admin' voor te zijn, als je er op klikt krijg je al de melding dat je toegang kan krijgen door op 'Doorgaan' te klikken.

Duct tape can't fix stupid, but it can muffle the sound.

donderdag 30 november 2023 11:55

Acties:
  • 0 Henk 'm!
  • Hann1BaL
  • Registratie: September 2003
  • Laatst online: 01-05 11:26

Hann1BaL

Do you stay for dinner?Clarice

DukeBox schreef op donderdag 30 november 2023 @ 11:52:
[...]

Sterker nog, je hoeft er niet eens een 'slimme admin' voor te zijn, als je er op klikt krijg je al de melding dat je toegang kan krijgen door op 'Doorgaan' te klikken.
Dat kun je nog wel net wat moeilijker maken, maar het zou mijn moeder buiten houden. Ik gaf het ook echt alleen maar aan op de TS alle opties te geven en gaf al aan dat het geen beveiliging is, maar een kleine barriere.

Dit als toevoeging op de andere berichten die al duidelijk hebben uitgelegd wat een admin is.

TS: Je zegt dat de andere gebruiker zaken moet installeren. Doorgaans is dit in het begin misschien even een paar keer het geval. Installeer een remote support tool, typ je admin credentials in en klaar. Maar het lijkt mij toch niet dat je elke dag weer wat nieuws moet installeren?
Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq