Beschränkter Zugang zu Share - Ideen?

[Sir Charles82]

Hallo,

Wieder Mal eine Frage für die "was sonst nicht passt" Ecke...

Es sollen PDF Dateien für Benutzer (ohne fixes Benutzerkonto) zur Verfügung gestellt werden. Die Benutzer sollen die PDFs anschauen können, allenfalls was ausdrucken, aber nichts löschen oder anderweitig "verwüsten".
Eine Idee dafür wäre eine externe Festplatte, die monatlich mit dem "Set" an Dateien neu bespielt wird.
Meine Idee wäre ein Share mit beschränktem Zugriff. Also Gastkonto an einem Computer mit begrenztem Benutzerzugriff auf ein einzurichtendes Share Laufwerk. Ist das umsetzbar?

Im weiteren soll wohl auch ein Zugang auf ein öffentlich verfügbares Repository kommen, das würde dann einfach über den Webbrowser laufen...

Zweiter Punkt: was für Hardware würdet ihr dafür einsetzen? Da der Platz beschränkt ist, dachte ich an einen älteren AIO (M72/M73) oder einen Tiny...oder würde es auch ein Thin Client tun (Futro S540)? Ich denke da im Moment im Kreis. Internetanbindung ist nominell bei 1 GBit, mehr als 100 Mbit wird die Leitung aber nicht hergeben - da nutzt auch der AX Router im selben Raum wenig.

Kurz gefasst:
1. Beschränkter Zugang zu Dateien über Share möglich und realisierbar?
2. Welche Hardware würdet ihr dafür nutzen? Möglichst DAU-sicher natürlich (sonst müsste man auch auf die Dateien nicht so gut aufpassen)

Danke für alle Ideen!

 

[martina]

Für die erste Variante wäre eine pragmatische Lösung ein USB-DVD. Da kann nichts gelöscht werden.

 

[Lufo]

Nextcloud, PDF-Dateien in Ordner, Ordner über Link freigeben. Ggf. Passwort für Ordner-Freigabe einrichten.
Nextcloud kann man auch bei diversen Hosting-Anbietern betreiben, sodass keine Hardware vor Ort nötig ist.

 

[Sir Charles82]

Nextcloud wäre eine Idee, aber das Ganze soll quasi nur in diesem Raum an diesem Gerät abrufbar sein. Eventuell noch an einem 2. Gerät, aber eben physisch nur in diesem Raum.

 

[mtu]

Nextcloud wäre eine Idee, aber das Ganze soll quasi nur in diesem Raum an diesem Gerät abrufbar sein. Eventuell noch an einem 2. Gerät, aber eben physisch nur in diesem Raum.

Klingt, als müsste da erstmal eine Grundsatz-Entscheidung her, wie sehr der Kram nun am Netz hängen soll oder nicht.

Wenn die Dateien nur in dem Raum™ existieren sollen, spielst Du sie halt auf einen Rechner, der dort steht und offline ist. Wenn sie aber aus der Ferne „aufgespielt“ werden sollen, muss der entsprechende Rechner mindestens mal am LAN hängen. Und wenn es am Ende doch einen Fern-Zugang geben soll, brauchst Du eine ganz andere Lösung.

 

[Lufo]

OK, mit dieser Ergänzung ist es etwas klarer. Du kannst ja einen lokalen Ordner oder ein Netzwerk-Share einrichten, wo der entsprechende Gast-Benutzer nur lesende Rechte hat.

 

[ggrohmann]

Für die erste Variante wäre eine pragmatische Lösung ein USB-DVD. Da kann nichts gelöscht werden.

Kartenleser und die Karte mit Schreibschutz per Schreibschutzschalter versehen. Das ganze auf der Rückseite einstöpseln.

 

[Sir Charles82]

Wäre vielleicht auch gut, aber Rückseite schützt leider gar nicht. Wir hatten Mal wenn da, der hatte kein WLAN am Laptop und die hat dann einfach das LAN Kabel beim dort stehenden Desktop abgezogen und eingestöpselt...und kein Unrechtsbewußtsein.

Ich nehme an, als Zugriffsgerät geht vom Pi400 bis zum Gaming-PC alles?

 

[xxxx]

Wenn Du´s wirklich *physikalisch* absichern willst, ist es keine besonders gute Idee, die Dateien vor Ort vorzuhalten. Da gibt es auch bei einem ordentlich aufgesetzten Rechner viele Möglichkeiten, nicht erwünschten Blödsinn zu machen.
Hängt natürlich davon ab,
1. wie "eingestuft" diese PDFs sind
2. welche Personen mit welchen Intentionen und mit welchem (kriminellen) Potential Zugang zu diesem Rechner haben.

TLDR:
Eventuell doch eine Netzwerklösung in Betracht ziehen.

 

[Sir Charles82]

Die PDFs liegen schon auf einem Share, deswegen wäre ein "Umspielen" von Share zu Share möglich.

Es handelt sich um Dokumente, die aus Datenschutzgründen noch nicht öffentlich im Internet sein sollten.

An und für sich gibt's in dem Raum eine Aufsicht, das sollte allzu kriminelle Triebe bändigen...

Je geringer der Wartungsaufwand ist, desto besser. Wenn ich jede Woche den Satz an PDFs neu aufspielen muss, weil irgendwer den Unterschied zwischen Kopieren und Verschieben schon wieder nicht verstanden hat....

 

[Aiphaton]

Naja, wenn es nicht allzu häufig angepasst werden muss, was dort liegt, fände ich ehrlichgesagt einen schreibgeschütztes physisches Gerät, verbaut im Inneren des PCs, ggf. mit Schloss für fast das beste. Dann muss der PC nicht im Netz hängen, damit keine Möglichkeit Screenshots zu verschicken, keine Gefahr von Virenbefall usw.. Es kann auch niemand Dinge hin und her verschieben, obwohl es nicht gewollt ist. Müsste, soweit ich weiß, auch USB-Sticks mit physischem Schalter, wobei die immer seltener werden. Sonst gibt es auch sowas: https://www.kingston.com/de/usb-flash-drives/ironkey-vp50-encrypted

(halt intern verbauen. Mir ist klar, dass ein Gehäuse und ein Schloss nicht allzu sicher sind - aber wenn da noch ne Aufsichtsperson da ist, sollte der das schon auffallen, wenn da jemand einen PC auseinander nimmt. Zumindest eher als nur einen Screenshot ziehen und verschicken).

Ansonsten wäre vermutlich der Gang zum Datenschutzbeauftragen am sinnvollsten. Scheinen ja sehr sensitive Daten zu sein (extra PC mit Aufsicht usw.), da wäre eine rechtliche Absicherung sicher immer sinnvoll.

 

[Sir Charles82]

[,...]
Ansonsten wäre vermutlich der Gang zum Datenschutzbeauftragen am sinnvollsten. Scheinen ja sehr sensitive Daten zu sein (extra PC mit Aufsicht usw.), da wäre eine rechtliche Absicherung sicher immer sinnvoll.

Es sind personenbezogene Daten von Leuten, die vielleicht noch leben. Es ist aber kein extra PC mit Aufsicht, es ist ein Lesesaal, wo jemand aufpasst, dass die Archivalien nicht davon getragen, neu geordnet etc. werden.

Der würde dann auf diesen Zugang zum digitalen Lesesaal mit den Stücken, die aber nur bei uns einzusehen sind, aufpassen. ;⁠-⁠)

 

[morini22]

Wie sieht denn eure IT-Umgebung aus : Win , Linux oder Server ?
Vielleicht wäre ja solch ein AIO von Dell eine Möglichkeit : https://www.ebay.de/itm/204213315405 .
Ist W10/W11 kompatibel ,und im Kioskmodus einigermaßen vor "Vandalismus" geschützt ( https://learn.microsoft.com/de-de/windows/configuration/kiosk-single-app ).

Gruss Uwe

 

[xxxx]

einen schreibgeschütztes physisches Gerät

Einigermaßen empfehlenswert sind hier die "Kanguru Flash"-Geräte. Sauber vergossen in Metallgehäuse, mit mechanischem Schreibschutzschalter, USB3. Aber schlecht erhältlich in Deutschland; momentan gibt´s hierzulande nur die "Blue"-Serie (bei Ama...).

 

[Sir Charles82]

An Kiosk hab ich auch gedacht, aber Kiosk beschränkt -glaub ich - auf eine App. In dem Fall wohl der PDF Reader der Wahl - wobei dann eine PDF als Inhaltsverzeichnis für die anderen PDFs fungieren müsste.

Unsere IT ist natürlich Windows-lastig, da aber dieser PC nicht in unserer Domain hängen müsste, könnte es wohl auch ein Linux- Gerät sein.

Danke für den Hinweis auf die Känguru Flash Geräte.

 

[martina]

Wenn ihr "handwerklich" die Möglichkeit habt: PC und Verkabelung im abgeschlossenen Schreibtischschrank oder Schublade.
Dann nur noch Maus, Taastatur und Bildschirm auf dem Tisch und niemand kommt mehr an die Schnittstellen, um etwas zu kopieren.

 

[qwali]

Vielleicht habe ich die Aufgabe falsch verstanden - aber das ist doch hinreichend einfach mit Boardmitteln zu lösen?

1. Dateien in ein lokales Verzeichnis packen, Schreibrechte für "Benutzer" entziehen - damit können nur noch Admins oder ausgewählte Nutzer die Dateien verändern.
2. Windows 10 -> Kioskmodus einrichten -> eingeschränkten Nutzer einrichten
3. Edge als Kioskanwendung auswählen (interaktiv) und als Startseite "file://Pfad zu Ordner" angeben.

Der im Edge integrierte PDF / Bildbetrachter löst den Rest - keine Schreibrechte, Benutzer ist maximal "behindert" und Ausfüllen/Ausdrucken ist weiterhin möglich.

PS: Autologon von Sysinterals löst die automatische Anmeldung wenn gewünscht

 

[Sir Charles82]

@martina : das kommt dann wohl in einem weiteren Schritt

@qwali: würde das auch eine Verästelung nach "unten" erlauben? Also ich hab eine Haupt-PDF, da sind die anderen, in Unterordnern liegenden PDFs aufgezählt?

@morini22 : in die Richtung AIO werde ich schauen, ist der potent genug?

 

[qwali]

@martina : das kommt dann wohl in einem weiteren Schritt

@qwali: würde das auch eine Verästelung nach "unten" erlauben? Also ich hab eine Haupt-PDF, da sind die anderen, in Unterordnern liegenden PDFs aufgezählt?

@morini22 : in die Richtung AIO werde ich schauen, ist der potent genug?

Ja, es macht eine schlichte Ordnerauflistung inkl. unter Ordner (und der Möglichkeit nach oben zu laufen - also sinnvollerweise keine wichtigen Dateien auf dem System)

 

[morini22]

Der Dell AIO schafft W10/W11 ist aber keine Rakete ,aber zum PDF-Anzeigen/Edge sollte das locker reichen .
Als Laufwerk einfach eine kleine SATA-M2-SSD fürs Betriebssystem und eventuell den RAM auf 8 GB erweitern (Ein SoDimm DDR4 Slot vorhanden ).

Gruss Uwe