Freigabeordner unter Windows (immer Passwort abfragen)

    Hallo Community,


    ich habe das Problem das ich unter Windows, wenn ich einmal die Daten für einen Freigabeordner eingegeben habe, nach schließen des Ordners nicht mehr erneut nach den Anmeldedaten gefragt werde.

    Ich betreibe das NAS in einer öffentlichen Einrichtung.

    Wegen der neuen DSGVO ist es nun erforderlich das nur noch die Aufsichtspersonen Zugriff auf die Dateien auf dem NAS haben.

    Um euch das genauer zu erklären, ein kleines Beispiel:


    Es gibt zwei Computer. Von beiden soll es möglich sein auf die Dateien vom NAS zuzugreifen.

    Generell hat erstmal jeder Zugang zu den Computern. Auf dem NAS werden z.B. Bewerbungen oder Hausaufgaben des Menschen gespeichert die in die Einrichtung kommen.

    Nun ist es aber so das manchmal Leute nur einmal kommen um irgendwas zu bearbeiten und abzuspeichern und manche eben öfters. Das Problem ist das ich nicht immer da bin, sonst würde ich sagen jeder bekommt einen eigenen Account (LDAP) mit dem er sich dann in seinen Ordner einloggen kann. Da das aber nicht geht möchte ich einen Benutzer, den die Aufsichtspersonen in dieser Einrichtung bekommen um auf alle Dateien zu zu greifen, diese dann auf den lokalen Computer ziehen, sich vom NAS wieder ausloggen und nachdem die Leute Ihre Sachen fertig bearbeitet haben, die Aufsichtpersonen die Datei wieder auf dem NAS speichern (sprich einloggen & wieder ausloggen)


    Wie oben schon beschrieben gab es bisher das Problem das Windows die Anmeldedaten einfach speichert und diese nicht erneut abgefragt werden...


    Habt ihr eine Lösung für mein Problem?

    So ganz kann ich Dein Problem noch nicht verstehen:


    Auf dem Computer (den Computern) gibt es die Nutzer a,b,c und d.

    a,b,c sind die Leute die nicht auf das NAS dürfen, d,e die Aufsichtspersonen.

    Wenn sich nun d/e am PC anmeldet, eine Verbindung zum NAS herstellt, Daten kopiert und sich wieder abmeldet, dann können doch a,b,c nicht auf das NAS zugreifen!?

    Auf dem NAS gibt es natürlich ausser dem Admin nur den Account für d/e, die aber auf die Shares zugreifen können.


    Oder was meinst Du genau?

    Ob aber das Konstrukt "die Aufsichtspersonen dürfen auf alle Daten zugreifen" mit der DSGVO so konform geht...:/?


    Gruss

    Nein auf dem PC gibt es auch nur einen Benutzer bzw. genau genommen zwei. Um die Benutzer auf dem PC geht es aber nicht, ich möchte mich vom NAS abmelden und wieder anmelden können bzw. möchte ich das wenn ich den Ordner schließe ich auch abgemeldet bin und beim erneuten öffnen des Ordners halt die Abfrage nach den Anmeldedaten wieder kommt.


    Theoretisch ist es das da alle darüber informiert wurden und man bei unter 10 Leuten, die dauerhaft Zugriff auf personenbezogene Daten haben, kein Datenschutzbeauftragter benötigt wird.

    ?? Ich kann Dir einfach nicht folgen...


    Wenn von diesen beiden Benutzern auf dem PC nur einer (A) die Berechtigung hat auf das NAS zuzugreifen, kopiert die Daten und meldet sich

    dann wieder vom PC ab so kann der andere (B) bei Anmeldung doch nur auf dem PC arbeiten und kommt nicht auf das NAS!?

    Dazu müsste er das Login/Password von Benutzer A haben.


    Wenn die Arbeit beendet ist, meldet sich Benutzer A wieder an und schreibt die Daten zurück aufs NAS.


    Wo ist nun das Problem?


    Gruss

    Ich glaube das Problem ist, dass mehrere Personen mit dem gleichen Benutzer am PC arbeiten, richtig?

    Wenn einer per Windows Explorer die Verbindung mit dem NAS herstellt, werden standardmäßig die Credentials gespeichert - der Haken muss m.W. explizit entfernt werden. Tut man das nicht, wird die nächste Person die den gleichen Benutzer am PC nutzt, automatisch mit den Credentials das Vorgängers am NAS angemeldet wird.

    Das ist logisch, wenn sich mehrere Personen einen Account teilen, aber dann ist das Konzept von Anfang an falsch.

    Das kann dann auch nicht QNAP lösen 8o.

    Das ist Client-Sache.


    Gruss

    Es gibt offenbar für derartig genutzte PCs in Windows den "Shared PC Mode":

    https://docs.microsoft.com/de-…set-up-shared-or-guest-pc


    Verwendet habe ich den noch nie, aber die Beschreibung passt weitgehend zu den Anforderungen. Allerdings muss sich wohl der Benutzer wenigstens von Windows abmelden, dabei wird der temporäre Nutzer, der beim Anmelden implizit erzeugt wird gelöscht und damit auch alle Nutzerdaten. Ein automatisches Löschen von Benutzerdaten durch einfaches Fenster-Schließen geht nicht und macht IMHO keinen Sinn, denn dann würde der Arbeitsfluss ja extrem behindert werden


    Der Shared-PC-Mode wird anscheinend durch die Aktivierung des entsprechenden Windows-Dienstes aktiviert. Vorher sollte lt. Doku allerdings entweder ein Fernwartungs-Account oder ein lokaler Wartungsaccount vorhanden sein. Die Doku ist etwas vage, also hilft nur ausprobieren (z.B. in einer VM, die man einfach wieder auf einen früheren Snapshot von einem Experiment zurücksetzen kann).



    Es geht auch beim Ab- bzw. Anmelden automatisch ein Script auszuführen, in dem die Anmeldedaten automatisch gelöscht werden. Das Kommando dafür ist cmdkey (Optionen mit "cmdkey /?").

    Danke erstmal für eure Antworten und Hilfe.


    FSC830

    Das Konzept ist definitiv nicht gut, das habe ich auch nicht behauptet und das weiß ich auch. Aber kennst du eine andere Möglichkeit die genau so einfach ist und mit welcher die nicht gerade Technikbegeisterten Aufsichtspersonen klar kommen?

    Meine erste Idee war auch, lass doch jedem ein Benutzerkonto machen welches vom NAS verwaltet wird und womit man sich am PC anmelden kann.

    Diese Lösung hat aber zwei Probleme:


    1) Oft wird über den PC einfach Musik laufen gelassen, man geht vielleicht kurz in einen anderen Raum o.ä. und jeder kann an den Computer. Natürlich würde das dann in der Verantwortung des angemeldeten Benutzers liegen, dennoch würde sich an der Situation nichts ändern.


    2) Nicht jeder ist immer da. Natürlich kann ich Benutzer für bspw. 3 Leute die andauernd da sind anlegen aber was ist wenn morgen jemand kommt der noch nie da war und ich bin ebenfalls nicht da? Diese Person hat mit dieser Lösung dann keine Möglichkeit an dem PC zu arbeiten und wird sehr wahrscheinlich einfach das Konto von jemand anderen bekommen, sprich das ganze System wäre hinfällig.


    In der Theorie kann man sehr viele gute Lösungen vorschlagen..ich würde mich über Lösungen freuen die einfach und vor allem für Leute, die definitiv keine Lust haben sich mehr mit Computern auseinander zu setzen als sie eh schon müssen, praktikabel ist.

    Ich kenne das Problem sehr gut, nur, was soll man anderes dazu sagen?

    Wenn nicht eine gewisse Disziplin seitens der Benutzer an den Tag gelegt wird laufen alle Sicherheitsbestrebungen ins Leere.

    Wenn ich meinen PC verlasse, wird er gesperrt. Das nutzt natürlich nur etwas, wenn es sich um einen personenbezogenen Account handelt, dessen Passwort nur ich kenne.

    Mit dieser Argumentation kann ich nur sagen: lasst es bleiben, keine sensiblen Daten auf das NAS. Punkt.


    Denn diese Aussage heisst das es offenbar so salopp gehandhabt wird, das man auch nicht ausschliessen kann, das jeder "Hinz und Kunz" Adminrechte erhält.

    Wie willst Du das abfangen?


    Entweder müssen die Benutzer eine gewisse Disziplin halten (vor allem die mit Adminrechten/Passwörtern), oder man muss warten, bis ein Admin erreichbar ist. Es werden hoffentlich nicht immer alle 3 (um bei der Zahl zu bleiben) unerreichbar sein.

    Und solange kein Admin da ist, kann man eben nur lokal arbeiten, dann bleibt die Nutzung eines Accounts durch mehrere Personen wenigstens auf dem lokalen PC.


    Um es mit einem anderen Beispiel zu verdeutlichen:

    Du möchtest Dir die Kosten für Dutzende von Haustürschlüsseln sparen und läßt daher die Tür immer unverschlossen.

    Jetzt suchst Du aber nach einer Möglichkeit damit ungebetene Gäste nicht ins Haus gelangen, auch wenn der Pförtner nicht anwesend ist.

    Lösung...?

    Dafür habe ich keine (Schlüssel und/oder Zugangskontrolle sind ja nicht gewünscht)! :huh:


    Gruss

    Ich würde mit 2 Konten arbeiten.

    1. Konto für jeden

    2. Konto für die befugten Personen


    Konto 1 ist angemeldet und es läuft ein Musikstream.

    Jetzt braucht jemand Dateien vom NAS.

    Eine befugte Person meldet sich mit Konto 2 an, ohne Konto 1 abzumelden (Benutzer wechseln). Dadurch bleiben die Anwendungen am Konto 1 aktiv.

    Nun werden die Dateien transferiert und anschließend meldet sich die befugte Person vom Konto 2 ab oder wechselt wieder zu Konto 1.

    Jetzt kann man wieder mit Konto 1 zugreifen.

    Das kann man auch so einrichten, dass sich auch Konto 2 automatisch am NAS anmeldet und keine Passworteingabe notwendig ist.