mok
Goto Top

Dos sagt bei net use ... "Access Denied" obwohl mein user in der domäne alle rechte hat! warum?

Hallo leute, ich hatte es hier vor kurzem schonmal erwähnt nur wahrscheinlich im falschen bereich face-smile

wenn ich fragen darf:
also folgendes.
. ein server (W2003) (noch kein DC) mit einer freigabe \\servername\images$
. ein client der per Netzwerkfähigen DOS sich zugriff auf die freigabe gewährt mit einem benutzernamen und passwort das auf dem server ist.
. berechtigungen der freigabe sind nur für den benutzer.

so bis dahin klappt alles.

sobald ich aber aus dem server ein DC mache und sich der gleiche benutzer zugriff auf die freigaben beschaffen will. sagt er mir Access denied.
Ich sitze hier schon extrem lange an irgendwelchen berechtigungen des kontos aber der lässt mich nicht drauf. Wisst ihr warum?

Ich danke euch im vorraus.. für eine antwort wäre ich dankbar.

Content-ID: 11037

Url: https://administrator.de/forum/dos-sagt-bei-net-use-access-denied-obwohl-mein-user-in-der-domaene-alle-rechte-hat-warum-11037.html

Ausgedruckt am: 25.12.2024 um 02:12 Uhr

pc-pure
pc-pure 23.05.2005 um 21:47:40 Uhr
Goto Top
Sitztdu vor den Domänenkonten oder vor lokalen Konten.

Kannst mal die Rechner- und Kontennamen posten?

Danke!
moK
moK 23.05.2005 um 21:51:25 Uhr
Goto Top
vor domänenkonten..

??
versteh nicht wozu du jetzt meine rechner und kontonamen haben willst.

Rechner1 (DOS)

Server1(W2K3) mit einem konto namens "dosclient" im AD
pc-pure
pc-pure 24.05.2005 um 03:41:03 Uhr
Goto Top
Ich versuchs mal zu erklären:

Konstellation ohne DC (mit angenommenen Namen):

Servername: server
Rechnername: client
Benutzer: user
Passwort: code

Wenn du angenommen auf beiden Geräten den gleichen User eingerichtet hast mit gleichem Passwort, dann geht das, weil der Rechnername zwar auch Bestandteil des Usernamens ist, aber es keine Domäne gibt.

Es gibt:

server\user
client\user

beides "lokale" User, da "nur" eine Arbeitsgruppe.


Konstellation mit DC (mit angenommenen Namen):

Servername: server
Rechnername: client
Benutzer: user
Passwort: code
Domäne: domain.xyz

So, jetzt ist das anders. Wieder die Annahme, dass auf beiden Geräten gleiche User existieren.

Jetzt gibt es:

domain\user
server\user
client\user

Wenn du auf dem Server eine Freigabe hast, die dem user "user" zugeordnet ist, bezieht sich das ab jetzt, da Domäne im Spiel, auf den User "domain\user".

Wenn du den Clientrechner nicht in der Domäne angemeldet hast, kann der gar nicht auf die Freigabe kommen, weil er den user "client\user" nutzt und dieser keine Rechte hat.

Um dem User "client\user" die Rechte zu geben, muss erst das Computerkonto auf dem Server eingerichtet sein.

Weisst du jetzt, warum ich die Angaben haben wollte.

Könnte man viel besser erklären.

Gruss

Christian
cleudu
cleudu 24.05.2005 um 08:34:38 Uhr
Goto Top
Am besten versuchst du es mit einem Domänen - User und gibst beim Verbinden die Domäne an:
net use x: \\servername\images$ /user:meine domäne\benutzername

Viel Spass beim probieren.
moK
moK 24.05.2005 um 12:32:36 Uhr
Goto Top
ich probier es face-smile danke leute.
nur erstmal arbeiten :'(
moK
moK 24.05.2005 um 16:15:28 Uhr
Goto Top
ne so funktionierts leider nicht.
er sagt mir the option USER:domäne\user is uknown.

für mich heist das die syntax ist falsch.. oder kann das auch was anderees sein?
pc-pure
pc-pure 24.05.2005 um 19:04:32 Uhr
Goto Top
Bei DOS gab es den Parameter /user noch nicht.
pc-pure
pc-pure 25.05.2005 um 01:25:56 Uhr
Goto Top
Vielleicht hilft dir das mir der DOS-Bootdisk.
GisY
GisY 25.05.2005 um 11:50:53 Uhr
Goto Top
Win98 gibt immer den Benutzernamen von Win98 als Parameter bei einem Net use mit.
Du musst auf dem anderen PC diesen User mit dem selben Pw anlegen. Dann gehts!

MfG
pc-pure
pc-pure 25.05.2005 um 20:46:48 Uhr
Goto Top
@GisY

Das geht nicht mehr, wenn er den Server zum DC macht.
moK
moK 28.05.2005 um 20:23:46 Uhr
Goto Top
hab ne idee.. ich hab gerade keine möglichkeit das auszuprobieren.. aber kann es sein das es daran liegt das der rechnername sich nicht automatisch in den AD einträgt? weil halt DOS und nicht XP oder ähnl.

???
pc-pure
pc-pure 28.05.2005 um 21:08:26 Uhr
Goto Top
Wenn du auf dem Server eine Freigabe hast,
die dem user "user" zugeordnet
ist, bezieht sich das ab jetzt, da
Domäne im Spiel, auf den User
"domain\user".

Wenn du den Clientrechner nicht in der
Domäne angemeldet hast, kann der gar
nicht auf die Freigabe kommen, weil er den
user "client\user" nutzt und
dieser keine Rechte hat.

Um dem User "client\user" die
Rechte zu geben, muss erst das Computerkonto
auf dem Server eingerichtet sein.


Denke mal, dass ich das schon vor Ewigkeiten so eingetragen hab.

Gruss

Christian
moK
moK 28.05.2005 um 21:28:43 Uhr
Goto Top
ja nur das ding ist es funktioniert nicht... gibt es ne neuree version von NET.EXE weil die kennt den domäne\user syntax nich...
moK
moK 29.05.2005 um 13:22:37 Uhr
Goto Top
frage.... hat jemand nen 2000 server drauf und sowas mal ausprobiert.. also anmeldungen von alten dos maschinen?
meinereiner
meinereiner 29.05.2005 um 18:39:00 Uhr
Goto Top
ja, hab ich nicht erst einmal gemacht. In der System.ini muss z.B. defiiert sein, daß du dich an der Domäne anmelden willst.
gukst du hier: http://www.lsg.musin.de/Admin/tcpip/startdisketten/die_konfigurationsda ...
thominocker
thominocker 04.06.2005 um 12:30:27 Uhr
Goto Top
Hallo mok,

sorry wenn ich mich einclinke.

Dein Problem ist die Standard Security Policy für Domaincontroller unter Windows Server 2003.

Für eine Verbindung mit einem Dos Client auf Windows Server 2003 Domaincontroller musst du folgende Richtlinien setzen:

Starte unter Verwaltung: Sicherheitsrichtlinie für Domänencontroller,

Dann wechsle auf: Windows Einstellungen...Sicherheitseinstellungen...Lokale Richtlinien...Sicherheitsoptionen.

Hier musst du die folgenden zwei Policies deaktivieren (nicht deffiniert funktioniert nicht)

Domänenmitglied: Daten des sicheren Kanals digital verschlüsselm oder signieren...
Microsoft-Netzwerk (Server): Kommunikation digital signieren (immer)

Viel Spass Gruss Thomas
moK
moK 04.06.2005 um 17:23:54 Uhr
Goto Top
gut probier ich gleich mal aus.. kannste mir auch sagen was genau ich damit tue?... gibt das nachteile gegenüber meinen xp clients?
thominocker
thominocker 04.06.2005 um 18:27:12 Uhr
Goto Top
mit der Änderung wird wie der Schüssel schon sagt für die verbindung keine Digitale Signierung mehr als Bedingung vorausgesetzt wird und keine verschlüsselung stattfindet. Auf die Funktion deiner XP Clients hat dies keinen Einfluss, lediglich auf die Sicherheit der Netzwerkverbindungen. Kannst ja wenn du keine Verbindung mehr mit DOS Clients aufbaust die Policie wieder aktivieren.
moK
moK 04.06.2005 um 18:32:32 Uhr
Goto Top
ist es möglich ein VB script zu schreiben das mir die beiden policies deaktiviert und wieder aktiviert...???
thominocker
thominocker 04.06.2005 um 18:58:00 Uhr
Goto Top
wirf mal einen Blick in:
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/gpmc/g ...
hab allerdings noch nie mit vb in Policie rumgeturnt
Aber warum der Aufwand, eine anständige Firewall zum Internet wäre besser. Die Policies musst du z.B. wenn du Linux einsetzt eh deaktivieren.
moK
moK 07.06.2005 um 16:51:34 Uhr
Goto Top
super leute super... ich habs endlich geschafft auszuprbieren und.. es geht face-smile das erleichtert mich so. naja aber nochmal zum punkt sicherheit. so wie ich das verstehe besteht keine verschlüsslung mehr zwischen client und server? oder hab ich da was nicht begriffen...?
naja.. wenn dies so ist... ist das dann nur eine gefährdung bei mir im netz (alles was ich hier so localrumstehen habe) oder kann man da auch unfug ausm internet anstellen.. ich bin mir einer Hardwarefirewall ausgerüstet ... mehr nicht.. bin gerade dabei ne ipcop FW aufzusetzen... imo.. hab ich die FW von Router... Das erwähne ich weil " thominocker" meinte das ne firewall reicht.. aber nichts ist sicher...

meine konkrete frage ist.. was kann mir passieren..?
ich danke schonmal im vorraus.. und nochmal danke für den tip mit den policies...

DANKE!!!!
meinereiner
meinereiner 07.06.2005 um 17:13:19 Uhr
Goto Top
Das Stichwort um das es hier geht heisst "SMB-Signing".
Ich glaub das lass ich aber wen anders erklären.. face-wink guckst du hier: http://www.gruppenrichtlinien.de/index.html?/HowTo/SMB_signing.htm