ingos
Goto Top

Rechnerzugriff über unterschiedliche Subnetze...

Hallo,

ich habe das Problem bei mir an der Arbeit, dass ich nicht auf ein paar bestimmte Rechner übers interne Netz zugreifen kann.
Um mein Problem genauer zu erläutern, muss ich wohl erstmal ein bischen was über unser Netz erzählen.

Da wir bei uns mehrere Tausend Rechner haben, sind diese in unterschiedliche Netze aufgeteilt. Grundsätzlich kann man sagen in ein großes Produktionsnetz und ein großes Personalnetz.
Dies wurde so gemacht, da durch Fremdfirmen schon Viren ins eingene Netz gekommen sind, die gleich alles lahm legten.
An Betriebssystemen ist so ziemlich jede Windows-Version irgendwo in Benutzung, in unserer Abteilung XP, 2000, NT4, 98 und 95. Je nach Herstellerfirma und alter der Anlagen.
Auf welchem System die Server laufen ist mir nicht bekannt.
Nun ist es so, dass man vom Produktionsnetz nicht auf das Personalnetz zugreifen kann, sowie der andere Fall auch nicht geht. Nun gibt es ein paar Rechner aus dem Personalnetz, denen der Zugriff auf das Produktionsnetz gewährt wird. Das Personalnetz besteht mitlerweile (sollte es zumindest) nur aus XP-Rechnern.

Mein Problem ist nun folgendes...
Ich sitze an einem Rechner (Windows XP) im Personalnetz und habe Zugriff auf das Produktionsnetz. Im Produktionsnetz findet momentan bei vielen Anlagen eine Umrüstung auf XP statt, da der Support von 2000 ja eingestellt wird / wurde. Aus diesem Grund ist das Personalnetz auch schon umgestellt. Im Produktionsnetz erfolt nun auch die Umstellung und ältere Systeme mit NT oder 9x werden nun gleich mit gemacht.

Nun gut, ich sitze also an meinem Rechner und will auf meine Anlagen im Produktionsnetz zugreifen.
Bei den Rechnern mit NT4 war dies kein Problem... IP eingegeben, mich als User oder lokalem Admin auf dem NT-Rechner angemeldet und schon hatte ich Zugriff auf die freigegebenen Ordner oder C$, usw.
Bei den Anlagen, die auf XP umgerüstet sind, klappt dies nicht mehr!!!
Ich bekomme kein Anmeldefenster mehr sondern habe direkt Zugriff! Die freigegebenen Ordner kann ich zwar sehen, wenn ich aber drauf zugreifen will, heißt es "keine Berechtigung". Habe schon versucht die Sicherheitseinstellung auf den Rechnern zu ändern, aber auch so klappt es nicht. Zugriff habe ich nur dann, wenn ich die Firewall deaktiviere oder die Leseberechtigung für alle frei gebe! Dies ist aber nicht Sinn und Zweck der Sache, es soll ja nicht jeder auf die Anlagen kommen!
So wie ich die Sache sehe, werde ich auf den Rechnern mit XP als User einer anderen Domäne angemeldet (halt meine Zugangsdaten ins Personalnetz).
Meine Hauptfrage ist nun die, wie kann ich über das Netzwerk eine lokale Anmeldung unter XP erzwingen oder auf den Rechnern so einstellen, dass die Benutzeranmeldung über das Netzwerk automatisch gestartet wird? Die Rechner müssen für den angemeldeten Benutzer normal weiter benutzbar bleiben... kann ja nicht sein dass die Anlage jedesmal steht, wenn ich drauf Zugreifen will.

Wäre froh, wenn mir hier jemand helfen könnte.
Habe schon meinen Admin vom Personalnetz gefragt, aber der konnte mir nicht weiterhelfen. Er selber hat keinen Zugriff auf das Produktionsnetz und beim Personalnetz arbeitet er mit dem Remote-Desktop. Mit diesem möchte ich aber nicht arbeiten, da ich zwischendurch nur mal Zugriff auf einzelne Datein haben muss. Desweitern will ich die nicht alle als Netzwerklaufwerk einbinden, dafür sind es viel zu viele Rechner.
Ich hoffe das ich dies auf die gleiche Art und weise machen kann, wie ich das mit den NT-Rechnern auch habe... Verknüpfung zu dem Rechner im Ordner, Verknüpfung anklicken... am Rechner anmelden... auf die Daten zugreifen und Fenster wieder schließen. Erfahrung mit Windows 2000 mit dem Zugriff habe ich leider nicht, da ich entweder Anlagen habe mit NT4 oder mit XP.

Über eine schnelle Hilfe wäre ich froh, so kann ich es an der Arbeit testen. Von der Arbeit aus habe ich leider keinen Zugriff auf das Internet, dadurch kann ich immer nur nach meinem Arbeitstag von zu Hause aus "meine Fortschritte" mitteilen.

Danke schon mal,
Gruß, Ingo

Content-ID: 20455

Url: https://administrator.de/contentid/20455

Ausgedruckt am: 22.11.2024 um 21:11 Uhr

superboh
superboh 27.11.2005 um 17:53:42 Uhr
Goto Top
Hi,

das ist ganz einfach eine Berechtigungsfrage. Und da müsste Dir derjenige helfen, der die Rechner einrichtet, auf die Du zugreifen willst / musst.

Die erwähnten $-Freigaben sind Administative Freigaben, sprich man darf standardmässig nur darauf zugreifen, wenn man auf dem betreffenden Rechner Adminrechte hat.
Also entweder man ist Domänen-Admin, dann darf man das immer, oder aber der eingene User-Acount ist auf den lokalen Rechnern Mitglied der Gruppe Administratoren.

Spreche doch mal mit dem Admin der die Rechner dort betreut. Er sollte Dir helfen können.

Gruss,
Thomas
IngoS
IngoS 27.11.2005 um 19:27:27 Uhr
Goto Top
Genau dass ist ja das "Problem". Die Anlagen gehören zu meinem Bereich und werden von mir betreut. In unserem Personalnetz gibt es immer bestimmte Personengruppen, die von einem Admin betreut werden. Im Produktionsnetz ist es so, dass man von der Datentechnik eine IP-Adresse zugewiesen bekommt und für die Rechner selber verantwortlich ist. Zwischendurch bekommt man dann noch bescheid, welche neuen Sicherheitsupdates auf die Rechner müssen, auf welche Art und Weise wir die installieren ist "unsere" Sache, da auf jedem Rechner bestimmte Visualisierungen laufen müssen (z.B. Siemens S7 - SPS Steuerung). Aus diesem Grund müssen wir das auch selber steuern, man kann ja nicht einen Rechner updaten und eine Produktionslinie damit für einen bestimmten Moment still legen.

Nun ja, auf den betroffenen Rechnern habe ich deswegen schon geschaut, ob ich was finde, dass ich installieren müsste. Habe aber nichts gefunden.
Wenn ich beim Zugriff auf den Rechner ein Anmeldefenster bekäme, über dass ich mich (lokal) anmelden kann, dann dürfte mein Problem gelöst sein?!
Aber wie bekomme ich dass???

- Fehlt ein bestimmter Dienst, der dafür aktiviert sein muss?
- Könnte mir bei den Einstellungen der Netzwerkkarte ein bestimmtes Protokoll, Client oder Dienst fehlen?

Wie schon gesagt, wenn ich die IP-Adresse einer meiner NT4-Anlagen eingebe, dann bekomme ich auf meinem Rechner ein Anmeldefenster... gebe da User (bzw. Admin) und Passwort des Rechners (auf den ich zugreifen möchte) an und "bin dann drauf", was bedeutet ich kann zum Beispiel eine bestimmte Datenbank öffnen, in der die Störungen der Anlage protokolliert sind.
Bei den Anlagen, bei denen der Rechner mit XP ausgestattet ist, gebe ich auch die IP-Adresse ein und bekomme entweder die Meldung "Zugriff verweigert; Sie haben vermutlich nicht die Rechte auf diesen Rechner zuzugreifen..." oder komme direkt an die Freigegebenen Ordner (bei deaktivierter Firewall). Die Firewall habe ich auch schon so eingestellt bekommen, dass ich zwar die freigegebenen Ordner sehe, aber keinen Ordner öffnen kann. Dies ist klar, da die Rechtevergabe von NTFS mir den Zugriff verwährt. Aber wie bekomme ich es nun hin, dass ich mich als Benutzer auf den Rechner "einwähle"? Wäre es bei dem XP-Rechner nun so, wie es bei dem NT4-Rechner wäre, dann hätte ich die Rechte des lokalen Users (bzw. Admin) und damit auch die Zugriffsrechte auf der HD.

Hoffe ich konnte mein Problem so schildern, dass man mein Problem nachvollziehen kann?!

Könnte mir nun einer sagen "aktivieren diesen oder jenen Dienst, dann kannst Du Dich aus dem Netzwerk lokal an den Rechner anmelden", dann sollte mir wohl schon geholfen sein?!

Gruß, Ingo
superboh
superboh 28.11.2005 um 00:52:57 Uhr
Goto Top
Hallo,

zuerst mal noch ein paar Fragen:
- die Rechner stehen in der gleichen Domäne wie Deiner auch?
- Du bist als Domänen-User angemeldet oder als lokaler User?
- Wenn Du auf einen andern Rechner zugreifst, gibtst Du dann in der Adresszeile des Explorers nur den Rechnernamen, sprich die IP an? Oder was genau gibst Du ein?

Normalerweise ist auf allen Rechnern ja die lokale Platte C als C$ (D als D$ usw. ) freigegeben. Auf diese sog. administrativen Standardfreigaben darf man mit Adminrechten zugreifen. Also wenn Du z.B. per \\RECHNERNAME\c$ auf einen Rechner zugreifen willst, dann sollte eine Abfrage kommen, in der Du dann den lokalen Admin + Passwort eingeben kannst. Habe das eben nochmal getestet, als Domänenuser auf einen anderen Rechner zugreifen.

Die Firewall muss "Datei und Druckerfreigaben" durchlassen.

Gruss,
Thomas
IngoS
IngoS 28.11.2005 um 07:17:39 Uhr
Goto Top
zuerst mal noch ein paar Fragen:
- die Rechner stehen in der gleichen
Domäne wie Deiner auch?

Nein, das Produktionsnetz und das Personalnetz befinden sich in unterschiedlichen Domänen.

- Du bist als Domänen-User angemeldet
oder als lokaler User?

Auf dem Rechner, auf dem ich angemeldet bin, bin ich als Domänen-User angemeldent. Auf den Rechner, auf den ich zugreifen möchte, möchte ich als lokaler User zugreifen.

- Wenn Du auf einen andern Rechner
zugreifst, gibtst Du dann in der Adresszeile
des Explorers nur den Rechnernamen, sprich
die IP an? Oder was genau gibst Du ein?

Ja, ich gebe die IP an. Bei NT4-Rechnern bekomme ich das Anmeldefenster, bei den XP-Rechnern sehe ich entweder die freigegebenen Ordner oder werde direkt gesperrt (je nach Firewall).
Wenn ich alles frei gebe, dann komme ich zwar drauf, aber JEDER soll halt keinen Zugriff auf die Anlagen haben.


Mit den Standartfreigaben des Admin habe ich es auch schon versucht, da habe ich das gleiche Problem wie oben beschrieben... entweder Zugriff OHNE Anmeldung oder komme nicht auf den Rechner (halt je nach Firewall). Meine Vermutung ist halt die, das der Rechner, auf den ich zugreifen möchte, mich als der Domänen-User anmeldet, mit dem ich im Netzwerk angemeldet bin?!?


Gruß, Ingo
superboh
superboh 28.11.2005 um 07:33:11 Uhr
Goto Top
Also wenn die Datei und Druckerfreigabe nicht freigeschaltet ist, dann geht gar nichts. Dann blockt der Rechner die eingehene Anforderung ab. Wenn Du die Freischaltest heisst das aber nicht dass jeder an Daten des Rechners kommt.
Da ist dann ja immer noch eine Freigabe auf die man zugreifen muss und da muss man dann erst noch die Berechtigung haben dafür bzw. das Kennwort des Admins kennen. Falls das jeder kennt, dann ist alles andere sowieso kein Schutz.

Wie schon gesagt haben auf die Standard-Freigaben aber nur Administratoren Zugriff. Wie kommt es dass Du nicht nacheinem Passwort gefragt wirst? Wie ist der Rechner denn konfiguriert? Bzw. reden wir von XP Pro oder Home? Ich hoffe mal Pro ...

Dann schalte mal die "Einfache Dateifreigabe" aus. Ausserdem sollte der Admin schon ein Passwort haben und kein leeres. Dann dürftest Du nur dann noch ohne Passwortabfrage auf die Rechner kommen, wenn Du mit Deinem User in der Domäne des Zielrechners Domain-Adminrechte hast.

Gruss,
Thomas
IngoS
IngoS 28.11.2005 um 19:17:56 Uhr
Goto Top
Datei und Druckerfreigabe ist aktiv und Ordner sind auch freigegeben. Einfache Dateifreigabe ist auch deaktiv. Mit Netzwerken, IP-Adressen, usw. habe ich auch keine Probleme (bin Kommunikationselektroniker Fa. Informationstechnik und mache momentan eine Weiterbildung zum Elektrotechniker mit dem Schwerpunkt Computer- und Netzwerktechnik).

Die Frage "Wieso wirst Du nicht nach einem Passwort gefragt?" beschreibt mein Problem eigentlich ziemlich gut!!! Genau dass weis ich nicht! Deswegen meine Frage nach einem Dienst, der eventuell fehlen könnte?

Ist XP Pro, allerdings mit einem "Schönheitsfehler"... es ist die "Mehrsprachenversion". D.h. GUI und alle Standartsachen Deutsch, viele Einstellungen Englisch. SP2 sowie manche Updates muss ich die Englischen Versionen installieren, da es für diese Version keien separaten Support gibt, usw...
Wir hätten lieber auch eine "normal Deutsche" Version gehabt, aber die Siemens Panel PCs werden leider mit dieser Version ausgeliefert.

Gruß, Ingo
superboh
superboh 29.11.2005 um 06:58:58 Uhr
Goto Top
Hi,

ein Dienst oder so was ist das nicht.
Für welchen User sind diese Verzeichnisse auf den Rechnern denn freigegeben? Gibt es lokal angelegte User auf diesen Rechnern?

Ich hab nochmal ein bissel mit Zugriffen aus anderen Domänen rumgespielt ...

Wenn dem lokalen System der User der per \\IP-Adresse zugreifen will bekannt ist, sprich es ist ein User gleichen Names lokal angelegt, dann kommt die Abfrage nach User + Passwort nicht.
Kennt der Rechner den User aber nicht, dann kommt die Abfrage.

Haben die beiden Domänen denn eine Vertrauensstellung? Und gibt es in der Produktions-Domäne einen Useraccount mit dem gleichen Namen wie Deiner? Wenn ja, hat der das gleiche Kennwort? Ist der Domain-Admin dort?

Gruss,
Thomas
IngoS
IngoS 29.11.2005 um 22:07:21 Uhr
Goto Top
In dem Personalnetz läuft alles über Domän-User.

Im Produktionsnetz gibt es nur die lokale Computeranmeldung und alle Rechner sind im Produktionsnetz mit einer festen IP vergeben/verbunden.

Die Verzeichnisse auf den Rechnern sind auch für "normale" User freigegeben, da vor Ort eventuell mal jemand drauf zugreifen muss, der keine Admin-Rechte hat.

Die lokalen User-Namen (Produktionsnetz) sind nicht identisch mit den Person-Useren aus dem Personalnetz. Einen Domain-Admin gibt es im Produktionsnetz nicht. Es gibt einmal die Datentechnik, die für die Vernetzung (und IP-Adress-Vergabe) zuständig ist. Dann haben wir noch die "IT-Security", die sich mit den Sicherheitsupdates beschäftigen und dafür sorge tragen, dass die einzelnen Abteilungen diese auch zum einspielen erhalten.

Was meinst Du genau mit "Haben die beiden Domänen denn eine Vertrauensstellung?"? Das Personalnetz hat eine 10.208.xxx.xxx IP, das Produktionsnetz 10.172.xxx.xxx, beide mit einer Subnet 255.255.254.0. Der Rechner an dem ich sitze (Personalnetz als Domän-User) ist für das Produktionsnetz geroutet. Den Rechner finden ist auch alles kein Problem, nur der Zugriff auf den Rechner.

Könnte es sein, dass der Rechner sich die Namen "merkt", die versuchen auf "ihn" zuzugreifen? Ähnlich einem Cookie, so dass aus diesem Grund keine Anmeldung-Abfrage kommt?


Gruß, Ingo
superboh
superboh 29.11.2005 um 23:32:23 Uhr
Goto Top
Hi

Die Verzeichnisse auf den Rechnern sind auch
für "normale" User
freigegeben, da vor Ort eventuell mal jemand
drauf zugreifen muss, der keine Admin-Rechte
hat.
Genau das interessiert mich, wie genau sieht diese Freigabe aus? Kannst Du das mal bitte posten? Weil daran liegt es wahrscheinlich. Mit geht es nicht um Usernamen, da kannst Du ruhig Egon, Klaus und Emma nehmen.

Einen Domain-Admin
gibt es im Produktionsnetz nicht.
Wie geht das? Dachte es ist eine Domäne? Dann muss es einen geben.

Was meinst Du genau mit "Haben die
beiden Domänen denn eine
Vertrauensstellung?"? Das Personalnetz
Eine Vertrauenstellung bedeutet, dass sich ein Domänen User aus Domäne A an einem Rechner der Domäne B anmelden kann, weil sich die Domänen "vertrauen". Zu sehen ist das am einfachsten in der Anmeldemaske. Dort kann man ja im Feld "Domäne" bzw. "anmelden an" zwischen der Anmeldung am Rechner selbst (lokal) und der Anmeldung an der Domäne auswählen. Wenn es eine Vertrauenstellung gibt, dann steht hier auch die 2. Domäne zur Auswahl.

Könnte es sein, dass der Rechner sich
die Namen "merkt", die versuchen
auf "ihn" zuzugreifen?
Nein.

Gruss,
Thomas
IngoS
IngoS 30.11.2005 um 16:06:56 Uhr
Goto Top
Hallo Thomas,

> Die Verzeichnisse auf den Rechnern sind
auch
> für "normale" User
> freigegeben, da vor Ort eventuell mal
jemand
> drauf zugreifen muss, der keine
Admin-Rechte
> hat.
Genau das interessiert mich, wie genau sieht
diese Freigabe aus? Kannst Du das mal bitte
posten? Weil daran liegt es wahrscheinlich.
Mit geht es nicht um Usernamen, da kannst Du
ruhig Egon, Klaus und Emma nehmen.
Die genauen Freigaben notier ich mir morgen an der Arbeit, poste ich dann morgen Nachmittag.


> Einen Domain-Admin
> gibt es im Produktionsnetz nicht.
Wie geht das? Dachte es ist eine
Domäne? Dann muss es einen geben.
Da habe ich mich mit den Begriffen schlecht ausgedrückt. Im Personalnetz gibt es mehrere Domänen, zwischen denen es auch eine Vertrauensstellung gibt. Kann mich auf jeden Fall von jedem Rechner aus (die im Personalnetz sind) in meiner Domäne anmelden.
Das Produktionsnetz hat selber KEINE Domäne, sondern ein eigenständiges Netz! Es gibt zwar welche, die sich um die Server, IP vergabe, usw. kümmern, aber keinen Domän-Admin. Vom Produktionsnetz kann man auch nicht ins Personalnetz zugreifen (wegen eventuell nicht Vertrauenswürdigen Fremdfirmen ), sondern nur vom Personalnetz ins Produktionsnetz, und dann auch nur, wenn die IP für das Produktionsnetz eine Freigabe hat (was an meinem Rechner der Fall ist).

Gruß, Ingo