asmfreak

Kein Zugriff auf eine Freigabe

Hallo,

ich bin am Ende mit meinem Latein, ich habe alles Mögliche probiert und hoffe, es kann mir jemand den richtigen Tipp geben.

Ich habe einen Win11-PC (Arbeitsplatz-PC) und einen kleinen Win11-NUC, den ich als Backup-Server einsetzen möchte. Beide PCs funktionieren einwandfrei, eine Remoteverbindung zwischen PC und NUC funktioniert ebenfalls ohne Probleme. Zugriff auf Freigaben auf dem MUC ist möglich, das als "Test" freigegebene per USB angeschlossene DAS erscheint im PC-Explorer unter Netzwerk dem NUC-Namen. Insofern alles entspannt.

clipboard-image

Ich möchte nun aber diese Freigabe so abändern, dass nur noch ein spezieller Account auf das DAS Zugriff hat. Dazu habe ich den Account "Backup" auf dem NUC eingerichtet, der Freigabe unter Berechtigungen das "Jeder" entzogen und stattdessen "Backup" mit Schreib- und Leserechten eingetragen. Auch unter Sicherheit wurden "Backup" Schreib- und Leserechte gewährt.

Das Ergebnis: "Test" erscheint auf dem PC immer noch als Freigabe unter Netzwerk und dem NUC-Namen. Aber wenn ich nun versuche, darauf zuzugreifen, erscheint nicht etwa das Fenster zur Angabe des Passworts, sondern die Fehlermeldung

clipboard-image

Weiß jemand Rat? Danke Euch für Eure Zeit und Mühen!
Gruß,
ASMFreak
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilen

Content-ID: 673243

Url: https://administrator.de/forum/nuc-backup-freigabe-zugriff-673243.html

Ausgedruckt am: 27.06.2025 um 13:06 Uhr

Avoton
Avoton 06.06.2025 um 19:33:04 Uhr
Goto Top
Moin,

Evtl. Gespeicherte Anmeldedaten im Tresor von Windows vorhanden?
Heißt dein User gleich wie der User auf dem NUC?

Gruß,
Avoton
ASMFreak
ASMFreak 06.06.2025 um 20:12:10 Uhr
Goto Top
Nee, User heißt nicht gleich und die Anmeldeinformationsverwaltung hat keine Einträge für den NUC

Gruß,
ASMFreak
aqui
aqui 06.06.2025 aktualisiert um 20:14:33 Uhr
Goto Top
Für einen reinen Backup Server wäre es deutlich sinnvoller ein OpenSource NAS wie
https://www.truenas.com
https://www.openmediavault.org
anstatt ein Resourcen fressendes Winblows auf dem NUC zu installieren.
Da sind solche Rechte Einstellungen mit 3 Mausklicks im GUI erledigt!
ASMFreak
ASMFreak 06.06.2025 um 21:09:25 Uhr
Goto Top
Hallo Aqui,

kannst Du nicht wissen: Ich habe drei Linux-NAS im Betrieb und mich daher auch intensiv mit Linux befasst, da auch ich der gebiasten der Meinung war, dass für Backups und NAS solche Systeme besser geeignet sind. Und es stimmt, es waren zwar nicht drei, aber vier Mausklicks, um sie einzurichten. Doch dann rauchte mir ein System ab - Motherboard defekt - und ich kam nicht mehr an die Daten heran. Ich habe darufhin vier Wochen benötigt, um festzustellen: Für mich sind Linux-NAS aus der Welt. Ich will nicht weiter ins Detail gehen, und das mag jeder halten, wie er will - ich verstehe es. Für mich aber steht Sicherheit der Daten im Vordergrund, und wenn ich mit den aktuellen Linux-Distributionen nicht mehr an die Daten herankomme, die mit einer älteren (zwangsweise) erstellt wurden, ist das für mich ein NoGo. Nochmals, bitte um Verständnis, wenn ich mich damit nicht mehr aufhalte und das auch nicht mehr weiter diskutieren möchte: Ich habe mich eingehend mit der Materie auseinandergesetzt und alles Mögliche versucht.

Daher bitte keine wenn auch noch so gut gemeinten Ratschläge, die nichts mit der Frage zu tun haben, die ich gestellt hatte. Winblows, wie Du es abfällig nennst, mag ressourcenfressend sein. Stimmt! Aber ich habe noch eine uralte Floppy aus Windows 3.1-Zeiten (wer kennt das noch?) rumliegen, die ich testhalber mit einem ebenso alten USB-Floppy-Laufwerk unter Win11 24H2 lesen konnte. Mit dem aktuellen Ubuntu kann ich unter Ubuntu 18 erstellte Festplatten nicht mounten, obwohl beide Linux RAID verwenden. Dann doch lieber Ressourcen fressen lassen...

Nichts für Ungut und bitte weder persönlich nehmen noch in den falschen Hals bekommen. Jedem das Betriebssystem, das er bevorzugt - er wird seine Gründe haben und es mag auch für ihn passen. Kein Problem! Ich verachte Linux auch nicht, selbst nach diesem Vorfall. Es ist aber für mich out, und ich werde nach den vier Wochekn Debakel sukzessive die Linux-NAS ersetzen.

Gruß,
ASMFreak
DivideByZero
DivideByZero 06.06.2025 aktualisiert um 22:00:56 Uhr
Goto Top
Moiun,

das kann eigentlich nur eine gecachter Zugriff sein.

Hast Du das mal probiert?

  • Zugriff über IP-Adresse statt Namen
  • neuen Windows-User anlegen und damit versuchen

Gruß

DivideByZero

P.S.:
der Freigabe unter Berechtigungen das "Jeder" entzogen
Was genau hast Du da gemacht?
ASMFreak
ASMFreak 06.06.2025 aktualisiert um 23:54:46 Uhr
Goto Top
Hallo DevideByZero,

Hab' ich probiert, das gleiche Ergebnis.

"Jeder". Ich hatte dem unter Freigabe den Zugriff verweigert. Deine Frage hat mich auf die Idee gebracht, Account Backup könnte ja auch zu Jeder gehören. Also habe ich Jeder entfernt. Und jetzt wird's so richtig weird:

Angesprochen über den ServerNamen: Verweigerung wie üblich:

clipboard-image

Angesprochen über seine IP: Zugriff ohne Passwortabfrage:

clipboard-image

Ich kann gar nicht so dämlich gucken, wie ich mich fühle...

Gruß,
ASMFreak

Edit: In der Anmeldeinformationsverwaltung steht immer noch kein Eintrag...
DivideByZero
DivideByZero 07.06.2025 aktualisiert um 03:31:26 Uhr
Goto Top
Ist ja logisch, Du musst einfach Jeder löschen, nicht verweigern, sonst verweigerst Du eben "jedem" den Zugriff, egal, wer.

Neue Situation : alles neu gestartet und auch mal net * /delete ausgeführt?

Und wie verbindest Du denn? Wenn jetzt nur noch der 1 User in den Berechtigungen der Freigabe steht, solltest Du den in der Anmeldeinformationsverwaltung hinterlegen

Wie sehen denn nun die Berechtigungen der Freigabe genau aus?
ASMFreak
ASMFreak 07.06.2025 um 10:23:19 Uhr
Goto Top
Ja, Hirn einschalten hilft manchmal face-wink

net use * /delete: "Es sind keine Einträge in der Liste"

clipboard-image
clipboard-image

Gruß,
ASMFreak
DivideByZero
DivideByZero 07.06.2025 um 15:47:56 Uhr
Goto Top
Hast Du mal alle beteiligten Geräte neu gestartet, und dann auf dem Win11-PC (Arbeitsplatz-PC) einen neuen Windows-User angelegt, unter diesem angemeldet, und es dann versucht?
ASMFreak
Lösung ASMFreak 07.06.2025 aktualisiert um 17:27:19 Uhr
Goto Top
Den BackupServer hatte ich sogar regelmäßig neu gestartet, den PC bisher nicht - er hibernatet i. d. R.

Aber das scheint insofern hinter dem Problem zu stecken, da ich nun nach dem Neustarten des PCs beim Anklicken des BackupServers unter Netzwerk im Explorer nach Account und Passwort gefragt werde. Danach bekomme ich wie erwartet Zugriff.

Allerdings gibt es ein trotzdem kleines Problem. Wenn ich nach einem Neustart des PC einen falschen Account (z. B. versehentlich den des Admins des Servers) oder ein falsches Passwort (weil vertippt) angebe, wird zwar die Freigabe angezeigt, aber nun geht das Spiel von oben wieder los: Die Fehlermeldung erscheint wieder, und um die korrekten Verbindungsdaten eingeben zu können, muss ich den PC neu starten. Das kann es doch nicht sein?

Daher zunächst: Vielen Dank, zumindest hast Du mir geholfen, einen einigermaßen gangbaren Weg zu finden. Ich weiß nun zwar immer noch nicht, warum das so ist, aber man muss ja nicht immer alles wissen. Vlt. kannst Du mir aber noch einen Tipp geben, wie man die offenbar irgendwo gespeicherten (falschen) Angaben wieder los wird, ohne den PC neu starten zu müssen. Über die Anmeldeinformationsverwaltung scheint es nicht möglich zu sein!

Gruß,
ASMFreak

Edit: Ich habe im Server einmal die Freigabe gelöscht und unter anderem Namen neu angelegt. Nach dem Hinweis, dass da noch ein Benutzer verbunden sei (!) und die Verbindung gelöst würde, was ich abgenickt habe, zeigte sich, nachdem ich die Freigabe erneut eingerichtet hatte, auf dem PC diese neue Freigabe - allerdings mit dem Problem von oben!
BiberMan
BiberMan 07.06.2025 aktualisiert um 17:39:35 Uhr
Goto Top
Da hat einer Gast-Anmeldungen aktiviert ... => gpedit.msc / secpol.msc
Computer Configuration > Administrative Templates > Network > Lanman Workstation
ASMFreak
ASMFreak 07.06.2025 um 17:39:12 Uhr
Goto Top
Hallo BiberMan,

ich nicht! Wer aber dann? Kannst Du bitte etwas konkreter werden? Ich verstehe nicht, was Du meinst und wo ich das ändern könnte - secpol ist groß...

Gruß,
ASMFreak
BiberMan
BiberMan 07.06.2025 aktualisiert um 17:46:29 Uhr
Goto Top
ich nicht! Wer aber dann?
Malware, dein Nachbar, Tante Käthe ...
Kannst Du bitte etwas konkreter werden? Ich verstehe nicht, was Du meinst und wo ich das ändern könnte
Google is your friend ... yours not?
https://learn.microsoft.com/de-de/windows-server/storage/file-server/ena ...
gpedit.msc => Computer Configuration > Administrative Templates > Network > Lanman Workstation > Enable insecure guest logons => auf "deactivate" stellen

Oder besser am Remote-Server Gastanmeldungen gleich ganz deaktivieren, das musst dort jemand aktiviert haben.
ASMFreak
ASMFreak 07.06.2025 um 17:46:30 Uhr
Goto Top
Danke!

clipboard-image

Da ist nichts aktiviert.
BiberMan
BiberMan 07.06.2025 aktualisiert um 17:52:19 Uhr
Goto Top
Da ist nichts aktiviert.
Doch, auch wenn dort nichts aktiviert ist, der Gast-Zugriff des Clients ist per Default aktiviert, wenn der Server das dann anbietet macht der Client das automatisch. Deswegen am Client das mal auf Deaktiviert stellen.

Wenn Sie diese Richtlinieneinstellung aktivieren oder nicht konfigurieren, lässt der SMB-Client unsichere Gastanmeldungen zu.

clipboard-image

Am Server sollte das Gastkonto natürich deaktiviert werden, dann passiert sowas auch nicht das sich ein Client als Gast authentifiziert! Das hat da wohl jemand aktiviert, wer weiß der Geier ... s.o.
ASMFreak
ASMFreak 07.06.2025 aktualisiert um 17:57:25 Uhr
Goto Top
Lass Tante Käthe aus dem Spiel, die ist noch blöder als ich und mein Nachbar pennt. Und, nein, google ist nicht mein Freund. Gastkonten sind deaktiviert!

javascript:void(0);


Edit: Habe ich deaktiviert, Problem bleibt.
clipboard-image
BiberMan
BiberMan 07.06.2025 aktualisiert um 18:03:34 Uhr
Goto Top
Zeig auch mal die restlichen Settings des secpol des Servers.
Stell den Client mal bitte wie oben geschrieben um und starte neu, dann siehst du was passiert.

p.s. Um gecachte Credentials im Explorer los zu werden zusätzlich zu "net use * /del" => net session /del und klist purge ausführen dann den Explorer-Prozess killen damit der Desktop leer wird und dann über Taskmanager STRG+SHIFT+ESC => "Neuen ask ausführen" einen neuen Explorer starten. Dann sollten sie weg sein, falls welche gespeichert waren.

In der Anmeldeinfiormationsverwaltung müssen nat. auch alle Creds betreffend Remote-Ziel gelöscht werden.
ASMFreak
ASMFreak 07.06.2025 um 18:05:41 Uhr
Goto Top
javascript:void(0);

javascript:void(0);

javascript:void(0);

Der NUC wurde komplett neu aufgesetzt, es sollten also alle Standardeinstellungen von Win11 stehen.
clipboard-image
clipboard-image
clipboard-image
ASMFreak
ASMFreak 07.06.2025 um 18:09:45 Uhr
Goto Top
"net use * /del" => net session /del und klist purge ausführen dann den Explorer-Prozess killen damit der Desktop leer wird und dann über Taskmanager STRG+SHIFT+ESC => "Neuen ask ausführen"

hilft leider nicht!
BiberMan
BiberMan 07.06.2025 aktualisiert um 18:54:34 Uhr
Goto Top
Tja dann haben deine Kisten ein ernstes Problem. Das eine Freigabe mit falschen Credentials trotzdem am Client aufgelistet wird ist absolut nicht normal wenn der Gastzugriff komplett gesperrt ist. Das ist kein Verhalten was out of the box nach einem Clean-Install so ist, da muss an den Settings manipuliert worden sein, evt. auch durch eine Drittanbieter-Software.

Wieso tippst du eigentlich das Passwort von Hand ein, das hinterlegt man bei einer Arbeitsgruppe im Tresor für das Backupkonto unter dem das Skript läuft, dann gibt es ein Vertippen nicht, oder willst du bei jedem Backup das Kennwort von Hand eintippen?
DivideByZero
DivideByZero 07.06.2025 um 18:18:19 Uhr
Goto Top
Offenbar hapert es da an ein paar Basics... Neustarten hatte ich ja schon recht früh ins Feld gebracht, da waren schlicht Deine Versuche gecached. Also: alles neu starten, dann bist Du frisch.

Und dann überlegen, was Du willst. Denn "eigentlich" kann es da kein ständiges Vertippen geben, oder stellst Du jedes Mal händisch die Verbindung her, wenn der PC neu startet?

Du solltest entweder
  • auf dem Arbeitsplatz-PC in der Anmeldeinformationsverwaltung die Daten des Users Backup fest hinterlegen (für den Server \\BACKUPSERVER)
oder
  • ein geeignetes Backupprogramm nutzen (z.B. Veeam Agent), in dem die Anmeldedaten einmalig eingegeben und hoffentlich gut verschlüsselt werden.
Dann ist das Vertippen-Problem gelöst.
Und möglichst nur 1 Verbindung (IP oder DNS), nicht beides parallel.
DivideByZero
DivideByZero 07.06.2025 um 18:19:55 Uhr
Goto Top
Zitat von @ASMFreak:
"net use * /del" => net session /del und klist purge ausführen dann den Explorer-Prozess killen damit der Desktop leer wird und dann über Taskmanager STRG+SHIFT+ESC => "Neuen ask ausführen"
hilft leider nicht!

Hast Du irgendein Skript da laufen beim Systemstart, das Verbindungen herstellt mit falschen oder ohne Zugangsdaten?
ASMFreak
ASMFreak 07.06.2025 um 19:05:14 Uhr
Goto Top
Zitat von @DivideByZero:
Hast Du irgendein Skript da laufen beim Systemstart, das Verbindungen herstellt mit falschen oder ohne Zugangsdaten?
Nein.
Zitat von @BiberMan:
Das ist kein Verhalten was out of the box nach einem Clean-Install so ist, da muss an den Settings manipuliert worden sein, evt. auch durch eine Drittanbieter-Software.
Ich kann nich tmehr sagen, als dass das NUC mit einer aktuellen Win11-iso via Rufus auf eine SSD gespielt wurde.
Wieso tippst du eigentlich das Passwort von Hand ein, das hinterlegt man bei einer Arbeitsgruppe im Tresor dann gibt es ein Vertippen nicht, oder willst du bei jedem Backup das Kennwort von Hand eintippen?
Nein, natürlich nicht, die Bemerkung bezog sich nur auf den Versuch nach dem Neustart.
Zitat von @DivideByZero:
Du solltest entweder
  • auf dem Arbeitsplatz-PC in der Anmeldeinformationsverwaltung die Daten des Users Backup fest hinterlegen (für den Server \\BACKUPSERVER)
Dann brauche ich den Backup-Accountnicht nicht , weil dann jeder, der am PC sitzt, auf die Freigabe zurückgreifen kann.
oder
  • ein geeignetes Backupprogramm nutzen (z.B. Veeam Agent), in dem die Anmeldedaten einmalig eingegeben und hoffentlich gut verschlüsselt werden.
Darauf soll es ja hinauslaufen! Dazu brauche ich aber den Backup-Account

Egal! Ich danke Euch auf jeden Fall für Eure Geduld, Zeit und Mühe.

Gruß,
ASMFreak
BiberMan
BiberMan 07.06.2025 aktualisiert um 19:12:49 Uhr
Goto Top
weil dann jeder, der am PC sitzt, auf die Freigabe zurückgreifen kann.

Nein eben nicht, das Kennwort gehört in einem separaten lokalen Konto in dessen Tresor hinterlegt welches eben nicht jeder der am PC sitzt nutzen können sollte. Credentials sind nicht automatisch für jeden auf dem Rechner verfügbar sondern befinden sich immer im jeweiligen User-Profil.
Das Backup-Skript startet man dann mit diesen separaten Credentials z.B. über den Task-Scheduler.
DivideByZero
DivideByZero 07.06.2025 um 20:16:59 Uhr
Goto Top