2
Win 98 und Server 2003
Hallo Alle,
Kann mir jemand erklären, wie ich Win 98 rechner mit Server 2003 Verbinden kann?
Danke
Kann mir jemand erklären, wie ich Win 98 rechner mit Server 2003 Verbinden kann?
Danke
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 20553
Url: https://administrator.de/contentid/20553
Ausgedruckt am: 22.11.2024 um 21:11 Uhr
2 Kommentare
Neuester Kommentar
in wie fern willst du die denn miteinander verbinden? freigaben usw. ist alles kein prob. oder dachtes du mehr an vpn mit zertifikaten usw.?
Problem
Windows 98 PC in Windows 2003 Server Domäne. Anmeldung gegen den DC wird verweigert bzw. kann übersprungen werden. Netzwerklaufwerke können nicht verbunden werden, Zugriffsrechte sind nur rudimentär abgebildet und die Systemrichtlinien in der config.pol werden nicht angewandt. An den Clients können alle Einstellungen geändert werden.
Ursache
Anmelden kann man sich gegen Windows Server 2003 anscheinend ausschließlich digital signiert. Entweder man schaltet die Authentifizierungsmethode auf den Server um (DO NOT!) oder auf den betreffenden Downlevel Clients.
Um besagte Downlevel Client dazu zu bringen System- und gruppenbasierende Sicherheitsrichtlinien zu übernehmen sind ein paar weitere kleine Kniffe notwendig.
Lösung
Diese beiden Punkte müssen unbedingt geändert werden sodass die Policy angewandt wird.
Es funktioniert ebenso ohne separate Installation dieses Updates. Die Beschriebenen Symptome (Konto nach einmalig fehlgeschlagener Anmeldung gesperrt) treten für gewöhnlich nicht auf sodass das einspielen dieses Hotfixes von Nöten wäre.
Ort: HKLM\System\CurrentControlSet\Control
Typ: DWORD
Name: LMCompatibility
Wert: 3
0 = Lan Manager (LM) bzw. NTLM Authentifizierung
3 = NTLM2 Authentifizierung
Siehe KB Artikel (Q239869)
Siehe KB Artikel (KB814598)
### Zusätzliches ?hardening? der Clients ###
Um unbefugte Anmeldungen oder Änderung am System zu unterbinden können die Clients noch weiter abgesichert werden.
Am Besten wird dies über eine Systemrichtlinie (Config.pol in der Netlogon Freigabe des DC) realisiert, wobei hier (weitere) wichtige Änderungen explizit beschrieben werden.
Der Anmeldedialog kann in der Standardinstallation übergangen werden. Das Verhalten kann durch erstellen folgenden Wertes in der Registry geändert werden:
Ort: HKLM\Network\Logon
Typ: DWORD
Name: MustBeValidated
Wert: 1
0 = Anmeldung optional
1 = Anmeldung obligat
Aktiviert die Signatur für SMB Pakete sofern Client und Server dies unterstützen.
Ort: HKLM\System\CurrentControlSet\Services\VxD\VNetsup
Typ: DWORD DWORD
Name: EnableSecuritySignature RequireSecuritySignature
Wert: 1 0
Durch drücken der Taste F8 zu Beginn des Bootvorganges von Windows kann selbiges z.B. im Abgesicherten Modus gestartet und die Sicherheitsrichtlinien umgangen werden. Um dies zu unterbinden sind an der Datei msdos.sys (zu finden im Wurzelverzeichnis der installationspartition) zwei Einträge hinzuzufügen.
Im Abschnitt [Options]:
BootKeys=0
BootSafe=0
Die Dateiattribute anschließend wieder auf schreibgeschützt und versteckt setzen.
Hoffe damit geholfen zu haben
Michael
Windows 98 PC in Windows 2003 Server Domäne. Anmeldung gegen den DC wird verweigert bzw. kann übersprungen werden. Netzwerklaufwerke können nicht verbunden werden, Zugriffsrechte sind nur rudimentär abgebildet und die Systemrichtlinien in der config.pol werden nicht angewandt. An den Clients können alle Einstellungen geändert werden.
Ursache
Anmelden kann man sich gegen Windows Server 2003 anscheinend ausschließlich digital signiert. Entweder man schaltet die Authentifizierungsmethode auf den Server um (DO NOT!) oder auf den betreffenden Downlevel Clients.
Um besagte Downlevel Client dazu zu bringen System- und gruppenbasierende Sicherheitsrichtlinien zu übernehmen sind ein paar weitere kleine Kniffe notwendig.
Lösung
- Es wird ein aktualisierter Directory Services Client benötigt (KB323455).
- Ein paar EInstellungen müssen geändert werden.
Netzwerkkonfigurationen ändern
Netzwerk/Konfiguration
- Primäre Netzwerkanmeldung: Client für Microsoft-Netzwerke
Netzwerk/Zugriffssteuerung
- Zugriffssteuerung auf Benutzerebene aktivieren
- Benutzer- und Gruppenliste beziehen: [DOMAIN]
Directory Services Client installieren
Es funktioniert ebenso ohne separate Installation dieses Updates. Die Beschriebenen Symptome (Konto nach einmalig fehlgeschlagener Anmeldung gesperrt) treten für gewöhnlich nicht auf sodass das einspielen dieses Hotfixes von Nöten wäre.
DS-Client für Windows 98 (5.0.2920.5)
Update nicht mehr online verfügbar, nur noch auf Anfrage. Siehe KB Artikel (KB323455)NTLM2 Authentifizierung erzwingen
Ort: HKLM\System\CurrentControlSet\Control
Typ: DWORD
Name: LMCompatibility
Wert: 3
0 = Lan Manager (LM) bzw. NTLM Authentifizierung
3 = NTLM2 Authentifizierung
Siehe KB Artikel (Q239869)
Systemrichtlinienverwendung
Systemsteuerung/Kennwörter/Benutzerprofile
- Benutzer können die Vorgabe und ? aktivieren
- Einstellungen für Benutzerprofile beides deaktiviert
Gruppenrichtlinien und Systemrichtlinien-Editor installieren
- Systemsteuerung/Software/Windows Setup -> Diskette -> Pfad ist 98CD\tools\reskit\netadmin\poledit.
Siehe KB Artikel (KB814598)
### Zusätzliches ?hardening? der Clients ###
Um unbefugte Anmeldungen oder Änderung am System zu unterbinden können die Clients noch weiter abgesichert werden.
Am Besten wird dies über eine Systemrichtlinie (Config.pol in der Netlogon Freigabe des DC) realisiert, wobei hier (weitere) wichtige Änderungen explizit beschrieben werden.
Anmeldung erzwingen
Der Anmeldedialog kann in der Standardinstallation übergangen werden. Das Verhalten kann durch erstellen folgenden Wertes in der Registry geändert werden:
Ort: HKLM\Network\Logon
Typ: DWORD
Name: MustBeValidated
Wert: 1
0 = Anmeldung optional
1 = Anmeldung obligat
SMB Signatur aktivieren
Aktiviert die Signatur für SMB Pakete sofern Client und Server dies unterstützen.
Ort: HKLM\System\CurrentControlSet\Services\VxD\VNetsup
Typ: DWORD DWORD
Name: EnableSecuritySignature RequireSecuritySignature
Wert: 1 0
Alternativer Windows Start verhindern
Durch drücken der Taste F8 zu Beginn des Bootvorganges von Windows kann selbiges z.B. im Abgesicherten Modus gestartet und die Sicherheitsrichtlinien umgangen werden. Um dies zu unterbinden sind an der Datei msdos.sys (zu finden im Wurzelverzeichnis der installationspartition) zwei Einträge hinzuzufügen.
Im Abschnitt [Options]:
BootKeys=0
BootSafe=0
Die Dateiattribute anschließend wieder auf schreibgeschützt und versteckt setzen.
Hoffe damit geholfen zu haben
Michael
