Gemeinsames Backup - Zugriffsschutz

    ich möchte kurz die idee darbringen, welche meine beiden kollegen und ich haben. wir haben eine starke internetleitung. einen win2k3 server mit genügend plattenspeicher. wir wollen alle drei unsere wichtigesten daten auf diesem server ablegen. ich selbst hab eine qnap. einer hat eine buffalo linkstation mini. der dritte hat keine speicherbox.
    ich dachte mir, ich installier auf dem server das qdt-tool. meine box kommt damit zurecht. auch die buffalo sollte möglicherweise darauf zugreifen können. zumindest wird der gleiche port verwendet. beim dritten kann man ja auch qdt installieren und ein automatisiertes backup einrichten. ist ja nicht schwer.
    im grunde alles kein problem und sehr einfach realisierbar. wo ich aber ein problem hab ist der zugriffsschutz. ich verstehe mich mit meinen kollegen sehr gut, nur hab ich, und die anderen beiden sicher auch nicht, kein intersse, dass wir uns gegenseitig die daten anschauen können. sind ja auch fotos dabei. wir haben aber alle adminrechte auf dem server. und selbst wenn ich unterschiedliche user anlege, einer von uns drein hat immer adminrechte oder kennt das passwort vom admin - wir sind alles drei in der it tätig ;-). also ist das keine lösung. am liebsten wäre mir, wenn die daten beim sichern verschlüsselt werden und jeder seinen persönlichen schlüssel hat. so oder so ähnlich. bin auch für andere vorschläge dankbar. wirklich eingefallen ist mir noch nichts.
    hatte jemand schon so eine anforderung?

    Hallo Helmut


    Mir fällt hier erst mal auch nichts brauchbares ein.


    Das Prob ist nun mal, dass die Daten auf einen Server sollen, auf dem ihr alle adminrechte habt.
    Man kann zwar über die ACL's den administrator und die admingruppe aus dem Zugriff herausnehmen und den beiden sogar ein deny setzen, solange der user, in dessen
    kontext das backup ausgeführt wird, nicht in der admingruppe ist, aber es bleibt eben immer noch das Hintertürchen, dass ein admin den Besitz übernehmen und die ACL's wieder ändern kann.
    Diese Möglichkeit ist also mehr eine Vertrauensfrage, als eine sicherheitstechnisch wasserdichte Lösung.


    Gruss
    Micha

    die vertrauensfrage stellt sich ja nicht so. es sollte halt zumindest nicht gleich für jeden sichtbar sein. aber deine idee gefällt mir. das ausschliessen hab ich mir eh auch schon gedacht. ich weiss jetzt nicht ob das geht, aber wenn ich einen user anlege, der eben auf alle drei verzeichnisse zugriff hat, sich aber NICHT anmelden kann, dann wäre das schon mal eine brauchbare lösung. mal probieren. mit nicht anmelden mein ich, dass er kein login machen kann. somit bräuchte er nicht mal ein passwort. theoretisch. weils eh hinfällig ist, weil dann einer wieder das passwort wissen muss.

    Wenn du es auf diesem Weg machen willst, dann würde ich eher eine Freigabe einrichten und dort Users nur mit "List Folders" Rechten ausstatten, damit er den Inhalt sehen kann.
    Darunter legst Du dann 3 Verzeichnisse an, in denen Du die Vererbung heraus nimmst, alle berechtigten Accounts und Gruppen entfernst und stattdessen einen eigens angelegten User mit Vollzugriff berechtigst. (auf Dateiebene, die share permission setzt du auf jeder Vollzugriff).
    Du richtest also für jeden einen eigenen Backup-User an und berechtigst den jeweils auf das für ihn gedachte Verzeichnis.
    Jetzt kann der jeweilige Benutzer auch remote den Besitz seines Ordners übernehmen, oder Dateiattribute ändern.


    Gruss
    Micha