28
Kann mich mit Phantasiedomäne an Server anmelden
Hallo Gemeinde,
folgendes Phänomen habe ich bei einem Windows Server 2012 R2:
Der Server ist Domänenkontroller. Normalerweise meldet sich ein Benutzer wie folgt an: domäne\benutzer
In diesem Fall kann ich mich jedoch mit jeder x-beliebigen Domäne anmelden z.B. labersülz\benutzer oder ljkiouölöasdf\benutzer
Ich suche schon eine Weile nach einer Erklärung, bin jedoch noch nicht fündig geworden.
Vielleicht weiß einer von Euch mehr.
Grüße aus München
Ramper
folgendes Phänomen habe ich bei einem Windows Server 2012 R2:
Der Server ist Domänenkontroller. Normalerweise meldet sich ein Benutzer wie folgt an: domäne\benutzer
In diesem Fall kann ich mich jedoch mit jeder x-beliebigen Domäne anmelden z.B. labersülz\benutzer oder ljkiouölöasdf\benutzer
Ich suche schon eine Weile nach einer Erklärung, bin jedoch noch nicht fündig geworden.
Vielleicht weiß einer von Euch mehr.
Grüße aus München
Ramper
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 287402
Url: https://administrator.de/contentid/287402
Ausgedruckt am: 25.11.2024 um 03:11 Uhr
28 Kommentare
Neuester Kommentar
Moin.
Wo meldest Du Dich an, am Client oder am Server selbst? An einer Freigabe oder interaktiver PC-Logon? Darf natürlich in keinem Fall gehen. Der einzige Fall, wo ich das mal gesehen habe, war ein gehackter Rechner, der jedes Kennwort/jeden Nutzer annahm.
Wo meldest Du Dich an, am Client oder am Server selbst? An einer Freigabe oder interaktiver PC-Logon? Darf natürlich in keinem Fall gehen. Der einzige Fall, wo ich das mal gesehen habe, war ein gehackter Rechner, der jedes Kennwort/jeden Nutzer annahm.
Servus,
danke für die schnelle Reaktion.
Die Anmeldung erfolgt über Remotedesktopprotokoll, funktioniert sowohl mit einem normalen User, als auch als Administrator.
Der Server wurde wohl ganz neu aufgesetzt.
danke für die schnelle Reaktion.
Die Anmeldung erfolgt über Remotedesktopprotokoll, funktioniert sowohl mit einem normalen User, als auch als Administrator.
Der Server wurde wohl ganz neu aufgesetzt.
Es gibt dafür keine Erklärung.
Was war die letzte Änderung?
Was war die letzte Änderung?
Hier gerade mal getestet, im RDP-Client kannst du eine andere Domäne im Usernamen angeben, ist dem Server wurscht, der versucht es dann mit der Default-Domain und dem Usernamen nach dem Backslash.
Works as MS designed it
Gruß jodel32
Works as MS designed it
Gruß jodel32
Soso. Hier nicht.
Jodel, was hast Du da gedreht?
Jodel, was hast Du da gedreht?
Nüscht, brand new plain 2012R2 Domain Zugriff via RDP (Admin-Mode)
mal eben getestet, hier geht so was auch nicht! mstsc lässt mich nicht in den frischen ws2k12r2 mit "fantasie-domain"
Geht hier ebenfalls in einer brandneuen VM.
Komisch so viele unterschiedliche Ergebnisse ?? Da muss es wohl irgendwo eine FallBack-Variable geben ...hmm
Gruß grexit
Komisch so viele unterschiedliche Ergebnisse ?? Da muss es wohl irgendwo eine FallBack-Variable geben ...hmm
Gruß grexit
Nüscht kann wohl nicht sein, denn mit "nüscht" geht nicht mal RDP. NLA an?
Edit: und welches mstsc? Hier Win10->2012 R2.
Edit: und welches mstsc? Hier Win10->2012 R2.
klar, und JA.
Könnte natürlich sein das Win7 hier ne Macke hat, werde W10 gleich mal testen ...
Edit: und welches mstsc? Hier Win10->2012 R2.
latest von Windows 7Könnte natürlich sein das Win7 hier ne Macke hat, werde W10 gleich mal testen ...
Gerade getestet. Win7 -> Server2008R2
Hat ebenfalls ohne weiteres funktioniert
Hat ebenfalls ohne weiteres funktioniert
Also:
NLA auf dem Server aktiviert. Bei allen die jeweils aktuellste mstsc.
- WIN10 Enterprise (kein Domänenmitglied) > 2012R2 = GEHT mit Phantasie-Domain
- WIN10 Enterprise (Domänenmitglied) > 2012R2 = GEHT mit Phantasie-Domain
- WIN7 (kein Domänenmitglied) > 2012R2 = GEHT mit Phantasie-Domain
NLA auf dem Server aktiviert. Bei allen die jeweils aktuellste mstsc.
Es fällt als Unterschied zu meinem System auf, dass kein Schlossicon bei Dir in der Verbindungsleiste zu sehen ist. Sollte eingerichtet werden, so dass dort steht "The identity of the remote computer was verified by using a server certificate and kerberos". Sollte aber nichts damit zu tun haben.
Naja, ich werde in einer Stunde nochmal meine VM zu Hause befragen.
Naja, ich werde in einer Stunde nochmal meine VM zu Hause befragen.
Zitat von @DerWoWusste:
Es fällt als Unterschied zu meinem System auf, dass kein Schlossicon bei Dir in der Verbindungsleiste zu sehen ist. Sollte eingerichtet werden, so dass dort steht "The identity of the remote computer was verified by using a server certificate and kerberos". Sollte aber nichts damit zu tun haben.
Auch nach Zertifikatsvertrauen mit Schloss (hatte das Cert zum Test-Zeitpunkt im System noch nicht eingerichtet) das selbe Spiel, hat also keinen Einfluss wie du vermutet hast.Es fällt als Unterschied zu meinem System auf, dass kein Schlossicon bei Dir in der Verbindungsleiste zu sehen ist. Sollte eingerichtet werden, so dass dort steht "The identity of the remote computer was verified by using a server certificate and kerberos". Sollte aber nichts damit zu tun haben.
Naja, ich werde in einer Stunde nochmal meine VM zu Hause befragen.
Alles klar
Hallo zusammen,
könnte es sein das hier ein Missverständnis vorliegt.
Also hier funktioniert die Verwendung einer Phantasiedomain nur wenn man per RDP im Verwaltungsmodus auf einen Server zugreift.
Sobald der Server im "echten" Terminalserver-Modus läuft wird das hier auch verweigert.
Scheint auch beim TO so zu sein, wenn er schreibt, dass er auf einen DC zugreift,
der kann ja aus Prinzip schon kein echter TerminalServer sein.
Grüße Uwe
könnte es sein das hier ein Missverständnis vorliegt.
Also hier funktioniert die Verwendung einer Phantasiedomain nur wenn man per RDP im Verwaltungsmodus auf einen Server zugreift.
Sobald der Server im "echten" Terminalserver-Modus läuft wird das hier auch verweigert.
Scheint auch beim TO so zu sein, wenn er schreibt, dass er auf einen DC zugreift,
der kann ja aus Prinzip schon kein echter TerminalServer sein.
Grüße Uwe
Das Verhalten ist bei mir (win10->2012R2) wie folgt:
auf einem Server mit "echter" TS-Rolle kannn ich Nutzer sdkjfghkwjeg\Administrator anmelden, nicht aber ilefheiwuf\andererNutzer.
Auf einem DC ohne echte TS-Rolle kann ich ilefheiwuf\andererNutzer jedoch anmelden (und natürlich auch sdkjfghkwjeg\Administrator).
Warum, ist mir nicht klar.
auf einem Server mit "echter" TS-Rolle kannn ich Nutzer sdkjfghkwjeg\Administrator anmelden, nicht aber ilefheiwuf\andererNutzer.
Auf einem DC ohne echte TS-Rolle kann ich ilefheiwuf\andererNutzer jedoch anmelden (und natürlich auch sdkjfghkwjeg\Administrator).
Warum, ist mir nicht klar.
Hoi,
das geht in der Tat. Is ja mal Lustig. Das hat bestimmt einen sauwichtigen Microsoft Grund, warum das so ist. Könnt mir vorstellen, dass die NSA den Domain-Namen nicht mehr kennen muss, denn xxxxxxxx\Administrator geht meistens
das geht in der Tat. Is ja mal Lustig. Das hat bestimmt einen sauwichtigen Microsoft Grund, warum das so ist. Könnt mir vorstellen, dass die NSA den Domain-Namen nicht mehr kennen muss, denn xxxxxxxx\Administrator geht meistens
Warum, ist mir nicht klar.
Wow da haben wir ja einen echten Kracher ausgegraben 
So viel zum Thema neu aufgesetzte frische Systeme zeigen alle das gleiche Verhalten
...Lass uns das mal im Technet fragen ... Die Jungs aus Redmond müssens ja wissen, hoffentlich
-edit- Frage mal zusätzlich ins Technet gepostet:
https://social.technet.microsoft.com/Forums/de-DE/d9c1c3f5-f9e4-4f1b-929 ...
Wunderbar!
Bin ja gespannt, was da rauskommt!
Grüße aus München
Ramper
Bin ja gespannt, was da rauskommt!
Grüße aus München
Ramper
Moin,
habs gerade mal getestet und das funktioniert bei allen Windows Servern die wir haben mit dem Administrator!
@colinardo:
Super vielen Dank, da bleib ich mal mit dran!
Vielleicht solltest du nochmal klar stellen, dass es sich nicht nur im Terminalserver handelt sondern um alle möglichen sowie DCs.
VG
Val
habs gerade mal getestet und das funktioniert bei allen Windows Servern die wir haben mit dem Administrator!
@colinardo:
Super vielen Dank, da bleib ich mal mit dran!
Vielleicht solltest du nochmal klar stellen, dass es sich nicht nur im Terminalserver handelt sondern um alle möglichen sowie DCs.
VG
Val
Hab es gerade mal direkt an der Console des Domaincontrollers getestet, dort wird man dann glücklicherweise doch abgelehnt, aber meldet man sich am gleichen Server per RDP an ist die Domain irrelewant. Irgendwie sinnfrei.
Uwe, die unterschiedlichen Verhaltensweisen konnten wir doch klären. Ich denke bei jedem hier ist es nun wie von mir unter Kann mich mit Phantasiedomäne an Server anmelden beschrieben (ich hatte bei meinen vorigen Tests in der Firma keinen DC, sondern einen TS genommen, weil ich mir nicht vorstellen konnte, dass es einen Unterschied macht)
Bleibt nur noch die Frage, warum überhaupt.
Bleibt nur noch die Frage, warum überhaupt.
Es macht auch keine Unterschied, ob man mit mstsc, oder mstsc /admin auf den Server will. Bei meinem 2008R2 Terminalserver wird man als Terminaluser allerdings abgeleht, jedoch als Administrator ist die Domain wiederrum wurschd.
was wir noch nicht hatten: Verbindungen zum Client hin.
2012R2->10 (beide Domain-joined) geht nicht, weder mit sonstwas\administrator noch anderen Nutzern.
2012R2->10 (beide Domain-joined) geht nicht, weder mit sonstwas\administrator noch anderen Nutzern.
Hallo in die Runde.
Jetzt war ich aber neugierig und habs getestet, weil ich das nicht glauben konnte.
Und siehe da : Der Administrator braucht keine bzw. irgendeine Domain.
Gibt es da vielleicht eine Gruppenrichtlinieneinstellung, die das verhindert ?
Hab noch nicht genau nachgeschaut.
Ich finde das aber schon sehr sicherheitsrelevant - schließlich dürften bei falscher Anmeldedomain auch die Richtlinien nicht greifen.
Jetzt war ich aber neugierig und habs getestet, weil ich das nicht glauben konnte.
Und siehe da : Der Administrator braucht keine bzw. irgendeine Domain.
Gibt es da vielleicht eine Gruppenrichtlinieneinstellung, die das verhindert ?
Hab noch nicht genau nachgeschaut.
Ich finde das aber schon sehr sicherheitsrelevant - schließlich dürften bei falscher Anmeldedomain auch die Richtlinien nicht greifen.
Zitat von @miscmike:
Ich finde das aber schon sehr sicherheitsrelevant - schließlich dürften bei falscher Anmeldedomain auch die Richtlinien nicht greifen.
Nein, der User gibt zwar eine andere Domain an, bekommt aber seine zum Usernamen und Passwort passende zugewiesen, d.h. die Eingabe der Phantasiedomain wird ignoriert, und wird mit der Domain angemeldet in der sich sein Account befindet..Ich finde das aber schon sehr sicherheitsrelevant - schließlich dürften bei falscher Anmeldedomain auch die Richtlinien nicht greifen.
D.h. GPOs betrifft das dann nicht.
Hallo zusammen,
ja auch bei uns (2008 R2 Standard, DC) ist dies möglich.
Mir ist aufgefallen, dass der User, welcher sich Romote unter Angabe einer fiktiven Domäne anmelden möchte, sich im Vorfeld bereits einmal Lokal an dem Server angemeldet gewesen sein muss! Danach wird das Benutzerprofil auf dem Server als Typ "Lokal" ausgewiesen, was beim Benutzer Administrator ja Standard ist bzw. sogar so sein muss damit er ggf. der Server wieder Herabstufen kann.
Vielleicht hilft die kleine Anregung ja weiter, um die richtige Erklärung für dieses Verhalten zu finden.
Gruß
Jörg Schlarmann
ja auch bei uns (2008 R2 Standard, DC) ist dies möglich.
Mir ist aufgefallen, dass der User, welcher sich Romote unter Angabe einer fiktiven Domäne anmelden möchte, sich im Vorfeld bereits einmal Lokal an dem Server angemeldet gewesen sein muss! Danach wird das Benutzerprofil auf dem Server als Typ "Lokal" ausgewiesen, was beim Benutzer Administrator ja Standard ist bzw. sogar so sein muss damit er ggf. der Server wieder Herabstufen kann.
Vielleicht hilft die kleine Anregung ja weiter, um die richtige Erklärung für dieses Verhalten zu finden.
Gruß
Jörg Schlarmann
Bei aller Neugierde: wirklich sicherheitsrelevant ist dies nicht.
An DCs kann sich kein Nutzer anmelden by default, und wenn einer das Adminkennwort hat, ja dann wird er wohl auch wissen, wie die richtige Domäne heißt und muss nicht labersülz\administrator versuchen. Am TS kann sich so eh kein Nutzer mit labersülz anmelden, sondern nur der Admin. Recht irrelevant, das Ganze, deshalb wohl noch nie groß hochgekocht.
An DCs kann sich kein Nutzer anmelden by default, und wenn einer das Adminkennwort hat, ja dann wird er wohl auch wissen, wie die richtige Domäne heißt und muss nicht labersülz\administrator versuchen. Am TS kann sich so eh kein Nutzer mit labersülz anmelden, sondern nur der Admin. Recht irrelevant, das Ganze, deshalb wohl noch nie groß hochgekocht.
