22
Dos sagt bei net use ... "Access Denied" obwohl mein user in der domäne alle rechte hat! warum?
Hallo leute, ich hatte es hier vor kurzem schonmal erwähnt nur wahrscheinlich im falschen bereich 
wenn ich fragen darf:
also folgendes.
. ein server (W2003) (noch kein DC) mit einer freigabe \\servername\images$
. ein client der per Netzwerkfähigen DOS sich zugriff auf die freigabe gewährt mit einem benutzernamen und passwort das auf dem server ist.
. berechtigungen der freigabe sind nur für den benutzer.
so bis dahin klappt alles.
sobald ich aber aus dem server ein DC mache und sich der gleiche benutzer zugriff auf die freigaben beschaffen will. sagt er mir Access denied.
Ich sitze hier schon extrem lange an irgendwelchen berechtigungen des kontos aber der lässt mich nicht drauf. Wisst ihr warum?
Ich danke euch im vorraus.. für eine antwort wäre ich dankbar.
wenn ich fragen darf:
also folgendes.
. ein server (W2003) (noch kein DC) mit einer freigabe \\servername\images$
. ein client der per Netzwerkfähigen DOS sich zugriff auf die freigabe gewährt mit einem benutzernamen und passwort das auf dem server ist.
. berechtigungen der freigabe sind nur für den benutzer.
so bis dahin klappt alles.
sobald ich aber aus dem server ein DC mache und sich der gleiche benutzer zugriff auf die freigaben beschaffen will. sagt er mir Access denied.
Ich sitze hier schon extrem lange an irgendwelchen berechtigungen des kontos aber der lässt mich nicht drauf. Wisst ihr warum?
Ich danke euch im vorraus.. für eine antwort wäre ich dankbar.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 11037
Url: https://administrator.de/contentid/11037
Ausgedruckt am: 23.11.2024 um 07:11 Uhr
22 Kommentare
Neuester Kommentar
Sitztdu vor den Domänenkonten oder vor lokalen Konten.
Kannst mal die Rechner- und Kontennamen posten?
Danke!
Kannst mal die Rechner- und Kontennamen posten?
Danke!
vor domänenkonten..
??
versteh nicht wozu du jetzt meine rechner und kontonamen haben willst.
Rechner1 (DOS)
Server1(W2K3) mit einem konto namens "dosclient" im AD
??
versteh nicht wozu du jetzt meine rechner und kontonamen haben willst.
Rechner1 (DOS)
Server1(W2K3) mit einem konto namens "dosclient" im AD
Ich versuchs mal zu erklären:
Konstellation ohne DC (mit angenommenen Namen):
Servername: server
Rechnername: client
Benutzer: user
Passwort: code
Wenn du angenommen auf beiden Geräten den gleichen User eingerichtet hast mit gleichem Passwort, dann geht das, weil der Rechnername zwar auch Bestandteil des Usernamens ist, aber es keine Domäne gibt.
Es gibt:
server\user
client\user
beides "lokale" User, da "nur" eine Arbeitsgruppe.
Konstellation mit DC (mit angenommenen Namen):
Servername: server
Rechnername: client
Benutzer: user
Passwort: code
Domäne: domain.xyz
So, jetzt ist das anders. Wieder die Annahme, dass auf beiden Geräten gleiche User existieren.
Jetzt gibt es:
domain\user
server\user
client\user
Wenn du auf dem Server eine Freigabe hast, die dem user "user" zugeordnet ist, bezieht sich das ab jetzt, da Domäne im Spiel, auf den User "domain\user".
Wenn du den Clientrechner nicht in der Domäne angemeldet hast, kann der gar nicht auf die Freigabe kommen, weil er den user "client\user" nutzt und dieser keine Rechte hat.
Um dem User "client\user" die Rechte zu geben, muss erst das Computerkonto auf dem Server eingerichtet sein.
Weisst du jetzt, warum ich die Angaben haben wollte.
Könnte man viel besser erklären.
Gruss
Christian
Konstellation ohne DC (mit angenommenen Namen):
Servername: server
Rechnername: client
Benutzer: user
Passwort: code
Wenn du angenommen auf beiden Geräten den gleichen User eingerichtet hast mit gleichem Passwort, dann geht das, weil der Rechnername zwar auch Bestandteil des Usernamens ist, aber es keine Domäne gibt.
Es gibt:
server\user
client\user
beides "lokale" User, da "nur" eine Arbeitsgruppe.
Konstellation mit DC (mit angenommenen Namen):
Servername: server
Rechnername: client
Benutzer: user
Passwort: code
Domäne: domain.xyz
So, jetzt ist das anders. Wieder die Annahme, dass auf beiden Geräten gleiche User existieren.
Jetzt gibt es:
domain\user
server\user
client\user
Wenn du auf dem Server eine Freigabe hast, die dem user "user" zugeordnet ist, bezieht sich das ab jetzt, da Domäne im Spiel, auf den User "domain\user".
Wenn du den Clientrechner nicht in der Domäne angemeldet hast, kann der gar nicht auf die Freigabe kommen, weil er den user "client\user" nutzt und dieser keine Rechte hat.
Um dem User "client\user" die Rechte zu geben, muss erst das Computerkonto auf dem Server eingerichtet sein.
Weisst du jetzt, warum ich die Angaben haben wollte.
Könnte man viel besser erklären.
Gruss
Christian
Am besten versuchst du es mit einem Domänen - User und gibst beim Verbinden die Domäne an:
net use x: \\servername\images$ /user:meine domäne\benutzername
Viel Spass beim probieren.
net use x: \\servername\images$ /user:meine domäne\benutzername
Viel Spass beim probieren.
ich probier es danke leute.
nur erstmal arbeiten :'(
danke leute.nur erstmal arbeiten :'(
ne so funktionierts leider nicht.
er sagt mir the option USER:domäne\user is uknown.
für mich heist das die syntax ist falsch.. oder kann das auch was anderees sein?
er sagt mir the option USER:domäne\user is uknown.
für mich heist das die syntax ist falsch.. oder kann das auch was anderees sein?
Bei DOS gab es den Parameter /user noch nicht.
Vielleicht hilft dir das mir der DOS-Bootdisk.
Win98 gibt immer den Benutzernamen von Win98 als Parameter bei einem Net use mit.
Du musst auf dem anderen PC diesen User mit dem selben Pw anlegen. Dann gehts!
MfG
Du musst auf dem anderen PC diesen User mit dem selben Pw anlegen. Dann gehts!
MfG
hab ne idee.. ich hab gerade keine möglichkeit das auszuprobieren.. aber kann es sein das es daran liegt das der rechnername sich nicht automatisch in den AD einträgt? weil halt DOS und nicht XP oder ähnl.
???
???
Wenn du auf dem Server eine Freigabe hast,
die dem user "user" zugeordnet
ist, bezieht sich das ab jetzt, da
Domäne im Spiel, auf den User
"domain\user".
Wenn du den Clientrechner nicht in der
Domäne angemeldet hast, kann der gar
nicht auf die Freigabe kommen, weil er den
user "client\user" nutzt und
dieser keine Rechte hat.
Um dem User "client\user" die
Rechte zu geben, muss erst das Computerkonto
auf dem Server eingerichtet sein.
Denke mal, dass ich das schon vor Ewigkeiten so eingetragen hab.die dem user "user" zugeordnet
ist, bezieht sich das ab jetzt, da
Domäne im Spiel, auf den User
"domain\user".
Wenn du den Clientrechner nicht in der
Domäne angemeldet hast, kann der gar
nicht auf die Freigabe kommen, weil er den
user "client\user" nutzt und
dieser keine Rechte hat.
Um dem User "client\user" die
Rechte zu geben, muss erst das Computerkonto
auf dem Server eingerichtet sein.
Gruss
Christian
ja nur das ding ist es funktioniert nicht... gibt es ne neuree version von NET.EXE weil die kennt den domäne\user syntax nich...
frage.... hat jemand nen 2000 server drauf und sowas mal ausprobiert.. also anmeldungen von alten dos maschinen?
ja, hab ich nicht erst einmal gemacht. In der System.ini muss z.B. defiiert sein, daß du dich an der Domäne anmelden willst.
gukst du hier: http://www.lsg.musin.de/Admin/tcpip/startdisketten/die_konfigurationsda ...
gukst du hier: http://www.lsg.musin.de/Admin/tcpip/startdisketten/die_konfigurationsda ...
Hallo mok,
sorry wenn ich mich einclinke.
Dein Problem ist die Standard Security Policy für Domaincontroller unter Windows Server 2003.
Für eine Verbindung mit einem Dos Client auf Windows Server 2003 Domaincontroller musst du folgende Richtlinien setzen:
Starte unter Verwaltung: Sicherheitsrichtlinie für Domänencontroller,
Dann wechsle auf: Windows Einstellungen...Sicherheitseinstellungen...Lokale Richtlinien...Sicherheitsoptionen.
Hier musst du die folgenden zwei Policies deaktivieren (nicht deffiniert funktioniert nicht)
Domänenmitglied: Daten des sicheren Kanals digital verschlüsselm oder signieren...
Microsoft-Netzwerk (Server): Kommunikation digital signieren (immer)
Viel Spass Gruss Thomas
sorry wenn ich mich einclinke.
Dein Problem ist die Standard Security Policy für Domaincontroller unter Windows Server 2003.
Für eine Verbindung mit einem Dos Client auf Windows Server 2003 Domaincontroller musst du folgende Richtlinien setzen:
Starte unter Verwaltung: Sicherheitsrichtlinie für Domänencontroller,
Dann wechsle auf: Windows Einstellungen...Sicherheitseinstellungen...Lokale Richtlinien...Sicherheitsoptionen.
Hier musst du die folgenden zwei Policies deaktivieren (nicht deffiniert funktioniert nicht)
Domänenmitglied: Daten des sicheren Kanals digital verschlüsselm oder signieren...
Microsoft-Netzwerk (Server): Kommunikation digital signieren (immer)
Viel Spass Gruss Thomas
gut probier ich gleich mal aus.. kannste mir auch sagen was genau ich damit tue?... gibt das nachteile gegenüber meinen xp clients?
mit der Änderung wird wie der Schüssel schon sagt für die verbindung keine Digitale Signierung mehr als Bedingung vorausgesetzt wird und keine verschlüsselung stattfindet. Auf die Funktion deiner XP Clients hat dies keinen Einfluss, lediglich auf die Sicherheit der Netzwerkverbindungen. Kannst ja wenn du keine Verbindung mehr mit DOS Clients aufbaust die Policie wieder aktivieren.
ist es möglich ein VB script zu schreiben das mir die beiden policies deaktiviert und wieder aktiviert...???
wirf mal einen Blick in:
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/gpmc/g ...
hab allerdings noch nie mit vb in Policie rumgeturnt
Aber warum der Aufwand, eine anständige Firewall zum Internet wäre besser. Die Policies musst du z.B. wenn du Linux einsetzt eh deaktivieren.
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/gpmc/g ...
hab allerdings noch nie mit vb in Policie rumgeturnt
Aber warum der Aufwand, eine anständige Firewall zum Internet wäre besser. Die Policies musst du z.B. wenn du Linux einsetzt eh deaktivieren.
super leute super... ich habs endlich geschafft auszuprbieren und.. es geht das erleichtert mich so. naja aber nochmal zum punkt sicherheit. so wie ich das verstehe besteht keine verschlüsslung mehr zwischen client und server? oder hab ich da was nicht begriffen...?
naja.. wenn dies so ist... ist das dann nur eine gefährdung bei mir im netz (alles was ich hier so localrumstehen habe) oder kann man da auch unfug ausm internet anstellen.. ich bin mir einer Hardwarefirewall ausgerüstet ... mehr nicht.. bin gerade dabei ne ipcop FW aufzusetzen... imo.. hab ich die FW von Router... Das erwähne ich weil " thominocker" meinte das ne firewall reicht.. aber nichts ist sicher...
meine konkrete frage ist.. was kann mir passieren..?
ich danke schonmal im vorraus.. und nochmal danke für den tip mit den policies...
DANKE!!!!
das erleichtert mich so. naja aber nochmal zum punkt sicherheit. so wie ich das verstehe besteht keine verschlüsslung mehr zwischen client und server? oder hab ich da was nicht begriffen...?naja.. wenn dies so ist... ist das dann nur eine gefährdung bei mir im netz (alles was ich hier so localrumstehen habe) oder kann man da auch unfug ausm internet anstellen.. ich bin mir einer Hardwarefirewall ausgerüstet ... mehr nicht.. bin gerade dabei ne ipcop FW aufzusetzen... imo.. hab ich die FW von Router... Das erwähne ich weil " thominocker" meinte das ne firewall reicht.. aber nichts ist sicher...
meine konkrete frage ist.. was kann mir passieren..?
ich danke schonmal im vorraus.. und nochmal danke für den tip mit den policies...
DANKE!!!!
Das Stichwort um das es hier geht heisst "SMB-Signing".
Ich glaub das lass ich aber wen anders erklären..
guckst du hier: http://www.gruppenrichtlinien.de/index.html?/HowTo/SMB_signing.htm
Ich glaub das lass ich aber wen anders erklären..
guckst du hier: http://www.gruppenrichtlinien.de/index.html?/HowTo/SMB_signing.htm
