Benutzerzugriff verbieten

18/09/2007 - 16:56 von Björn | Report spam
Hallo!

Ich habe folgende Anforderung, bin aber noch nicht sicher, wie zu
realisieren:

Auf einen Team-Foudation-Server sollen nur ganz explizit ausgewàhlte
User zugreifen können, Zugriffsrechte vergeben können und Änderungen machen.
Die Berechtigungen holt sich der TFS aus dem ADS.
Domain-Admins / Administratoren sollen KEINEN Zugriff haben und auch
nicht in der Lage sein, sich Zugriff zu verschaffen. Nur User x und y
sollen die Möglichkeite haben!

Gibt es da eine Lösung?

1. Idee wàre es über eine OU zu machen, in welcher nur explizit diese
User Änderungsrechte haben und von welcher aus dann der FTS sich die
Berechtigungen holt.
DIes in Verbindung mit "Verweigern"-Rechten für Admins/Domain-Admins.

Weitere Ideen?

LG... Björn
 

Lesen sie die antworten

#1 Mark Heitbrink [MVP]
18/09/2007 - 17:12 | Warnen spam
Hi,

Björn schrieb:
Auf einen Team-Foudation-Server sollen nur ganz explizit ausgewàhlte
User zugreifen können, Zugriffsrechte vergeben können und Änderungen machen.
Die Berechtigungen holt sich der TFS aus dem ADS.
Domain-Admins / Administratoren sollen KEINEN Zugriff haben und auch
nicht in der Lage sein, sich Zugriff zu verschaffen. Nur User x und y
sollen die Möglichkeite haben!



Ich kenne den TFS nicht, behaupte aber daß es unmöglich ist. Wir sprechen
hier übert Administratoren und weil sie es sind, könne sie sich jedes
Recht nehmen, was du ihnen genommen hast.
Es würde sonst keinen Sinn ergeben, wenn sie es nicht könnten. Das System
gehört ihne also auch jeder Inhalt und damit kann keiner vor ihnen
geschützt oder versteckt werden.

Wobei "verstecken" das Zauberwort ist:
Im Dateisystem hilft Verschlüsselung. Wobei dann auch jedem klar sein
muss, daß das Konzept der Wiederherstellung funktioniert, wenn der Admin
es nicht kontrollieren darf ...

1. Idee wàre es über eine OU zu machen, in welcher nur explizit diese
User Änderungsrechte haben und von welcher aus dann der FTS sich die
Berechtigungen holt.



Dann sagt der Admin Besitz übernehmen, nimmt dir alle Rechte weg und du
hast nichts gewonnen.

DIes in Verbindung mit "Verweigern"-Rechten für Admins/Domain-Admins.



Bringt nichts. Du kannst dir ja mal spasseshalber so konfigurieren.

Tschö
Mark
Mark Heitbrink - MVP Windows Server - Group Policy

Homepage: www.gruppenrichtlinien.de - deutsch
Blog: gpupdate.spaces.live.com - english

Ähnliche fragen