Dos sagt bei net use ... "Access Denied" obwohl mein user in der domäne alle rechte hat! warum?
Hallo leute, ich hatte es hier vor kurzem schonmal erwähnt nur wahrscheinlich im falschen bereich
wenn ich fragen darf:
also folgendes.
. ein server (W2003) (noch kein DC) mit einer freigabe \\servername\images$
. ein client der per Netzwerkfähigen DOS sich zugriff auf die freigabe gewährt mit einem benutzernamen und passwort das auf dem server ist.
. berechtigungen der freigabe sind nur für den benutzer.
so bis dahin klappt alles.
sobald ich aber aus dem server ein DC mache und sich der gleiche benutzer zugriff auf die freigaben beschaffen will. sagt er mir Access denied.
Ich sitze hier schon extrem lange an irgendwelchen berechtigungen des kontos aber der lässt mich nicht drauf. Wisst ihr warum?
Ich danke euch im vorraus.. für eine antwort wäre ich dankbar.
wenn ich fragen darf:
also folgendes.
. ein server (W2003) (noch kein DC) mit einer freigabe \\servername\images$
. ein client der per Netzwerkfähigen DOS sich zugriff auf die freigabe gewährt mit einem benutzernamen und passwort das auf dem server ist.
. berechtigungen der freigabe sind nur für den benutzer.
so bis dahin klappt alles.
sobald ich aber aus dem server ein DC mache und sich der gleiche benutzer zugriff auf die freigaben beschaffen will. sagt er mir Access denied.
Ich sitze hier schon extrem lange an irgendwelchen berechtigungen des kontos aber der lässt mich nicht drauf. Wisst ihr warum?
Ich danke euch im vorraus.. für eine antwort wäre ich dankbar.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 11037
Url: https://administrator.de/forum/dos-sagt-bei-net-use-access-denied-obwohl-mein-user-in-der-domaene-alle-rechte-hat-warum-11037.html
Ausgedruckt am: 25.12.2024 um 02:12 Uhr
22 Kommentare
Neuester Kommentar
Ich versuchs mal zu erklären:
Konstellation ohne DC (mit angenommenen Namen):
Servername: server
Rechnername: client
Benutzer: user
Passwort: code
Wenn du angenommen auf beiden Geräten den gleichen User eingerichtet hast mit gleichem Passwort, dann geht das, weil der Rechnername zwar auch Bestandteil des Usernamens ist, aber es keine Domäne gibt.
Es gibt:
server\user
client\user
beides "lokale" User, da "nur" eine Arbeitsgruppe.
Konstellation mit DC (mit angenommenen Namen):
Servername: server
Rechnername: client
Benutzer: user
Passwort: code
Domäne: domain.xyz
So, jetzt ist das anders. Wieder die Annahme, dass auf beiden Geräten gleiche User existieren.
Jetzt gibt es:
domain\user
server\user
client\user
Wenn du auf dem Server eine Freigabe hast, die dem user "user" zugeordnet ist, bezieht sich das ab jetzt, da Domäne im Spiel, auf den User "domain\user".
Wenn du den Clientrechner nicht in der Domäne angemeldet hast, kann der gar nicht auf die Freigabe kommen, weil er den user "client\user" nutzt und dieser keine Rechte hat.
Um dem User "client\user" die Rechte zu geben, muss erst das Computerkonto auf dem Server eingerichtet sein.
Weisst du jetzt, warum ich die Angaben haben wollte.
Könnte man viel besser erklären.
Gruss
Christian
Konstellation ohne DC (mit angenommenen Namen):
Servername: server
Rechnername: client
Benutzer: user
Passwort: code
Wenn du angenommen auf beiden Geräten den gleichen User eingerichtet hast mit gleichem Passwort, dann geht das, weil der Rechnername zwar auch Bestandteil des Usernamens ist, aber es keine Domäne gibt.
Es gibt:
server\user
client\user
beides "lokale" User, da "nur" eine Arbeitsgruppe.
Konstellation mit DC (mit angenommenen Namen):
Servername: server
Rechnername: client
Benutzer: user
Passwort: code
Domäne: domain.xyz
So, jetzt ist das anders. Wieder die Annahme, dass auf beiden Geräten gleiche User existieren.
Jetzt gibt es:
domain\user
server\user
client\user
Wenn du auf dem Server eine Freigabe hast, die dem user "user" zugeordnet ist, bezieht sich das ab jetzt, da Domäne im Spiel, auf den User "domain\user".
Wenn du den Clientrechner nicht in der Domäne angemeldet hast, kann der gar nicht auf die Freigabe kommen, weil er den user "client\user" nutzt und dieser keine Rechte hat.
Um dem User "client\user" die Rechte zu geben, muss erst das Computerkonto auf dem Server eingerichtet sein.
Weisst du jetzt, warum ich die Angaben haben wollte.
Könnte man viel besser erklären.
Gruss
Christian
Wenn du auf dem Server eine Freigabe hast,
die dem user "user" zugeordnet
ist, bezieht sich das ab jetzt, da
Domäne im Spiel, auf den User
"domain\user".
Wenn du den Clientrechner nicht in der
Domäne angemeldet hast, kann der gar
nicht auf die Freigabe kommen, weil er den
user "client\user" nutzt und
dieser keine Rechte hat.
Um dem User "client\user" die
Rechte zu geben, muss erst das Computerkonto
auf dem Server eingerichtet sein.
Denke mal, dass ich das schon vor Ewigkeiten so eingetragen hab.die dem user "user" zugeordnet
ist, bezieht sich das ab jetzt, da
Domäne im Spiel, auf den User
"domain\user".
Wenn du den Clientrechner nicht in der
Domäne angemeldet hast, kann der gar
nicht auf die Freigabe kommen, weil er den
user "client\user" nutzt und
dieser keine Rechte hat.
Um dem User "client\user" die
Rechte zu geben, muss erst das Computerkonto
auf dem Server eingerichtet sein.
Gruss
Christian
ja, hab ich nicht erst einmal gemacht. In der System.ini muss z.B. defiiert sein, daß du dich an der Domäne anmelden willst.
gukst du hier: http://www.lsg.musin.de/Admin/tcpip/startdisketten/die_konfigurationsda ...
gukst du hier: http://www.lsg.musin.de/Admin/tcpip/startdisketten/die_konfigurationsda ...
Hallo mok,
sorry wenn ich mich einclinke.
Dein Problem ist die Standard Security Policy für Domaincontroller unter Windows Server 2003.
Für eine Verbindung mit einem Dos Client auf Windows Server 2003 Domaincontroller musst du folgende Richtlinien setzen:
Starte unter Verwaltung: Sicherheitsrichtlinie für Domänencontroller,
Dann wechsle auf: Windows Einstellungen...Sicherheitseinstellungen...Lokale Richtlinien...Sicherheitsoptionen.
Hier musst du die folgenden zwei Policies deaktivieren (nicht deffiniert funktioniert nicht)
Domänenmitglied: Daten des sicheren Kanals digital verschlüsselm oder signieren...
Microsoft-Netzwerk (Server): Kommunikation digital signieren (immer)
Viel Spass Gruss Thomas
sorry wenn ich mich einclinke.
Dein Problem ist die Standard Security Policy für Domaincontroller unter Windows Server 2003.
Für eine Verbindung mit einem Dos Client auf Windows Server 2003 Domaincontroller musst du folgende Richtlinien setzen:
Starte unter Verwaltung: Sicherheitsrichtlinie für Domänencontroller,
Dann wechsle auf: Windows Einstellungen...Sicherheitseinstellungen...Lokale Richtlinien...Sicherheitsoptionen.
Hier musst du die folgenden zwei Policies deaktivieren (nicht deffiniert funktioniert nicht)
Domänenmitglied: Daten des sicheren Kanals digital verschlüsselm oder signieren...
Microsoft-Netzwerk (Server): Kommunikation digital signieren (immer)
Viel Spass Gruss Thomas
mit der Änderung wird wie der Schüssel schon sagt für die verbindung keine Digitale Signierung mehr als Bedingung vorausgesetzt wird und keine verschlüsselung stattfindet. Auf die Funktion deiner XP Clients hat dies keinen Einfluss, lediglich auf die Sicherheit der Netzwerkverbindungen. Kannst ja wenn du keine Verbindung mehr mit DOS Clients aufbaust die Policie wieder aktivieren.
wirf mal einen Blick in:
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/gpmc/g ...
hab allerdings noch nie mit vb in Policie rumgeturnt
Aber warum der Aufwand, eine anständige Firewall zum Internet wäre besser. Die Policies musst du z.B. wenn du Linux einsetzt eh deaktivieren.
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/gpmc/g ...
hab allerdings noch nie mit vb in Policie rumgeturnt
Aber warum der Aufwand, eine anständige Firewall zum Internet wäre besser. Die Policies musst du z.B. wenn du Linux einsetzt eh deaktivieren.
Das Stichwort um das es hier geht heisst "SMB-Signing".
Ich glaub das lass ich aber wen anders erklären.. guckst du hier: http://www.gruppenrichtlinien.de/index.html?/HowTo/SMB_signing.htm
Ich glaub das lass ich aber wen anders erklären.. guckst du hier: http://www.gruppenrichtlinien.de/index.html?/HowTo/SMB_signing.htm