hoygrodo
Goto Top

Zugriff auf Netzwerkfreigabe in einer Domäne unter Windows 2000 Server funktioniert auch ohne Domänenzugehörigkeit.

Hallo!

In einem Domänen-Netzwerk mit W2K-Domäncontrollern ist es bei uns scheinbar möglich, dass sich Benutzer mit ihren privaten Notebooks (also nicht Mitglied der Domäne!) in unserem Netzwerk anschließen und Ordnerfreigaben verwenden, auf die sie eigentlich nicht ohne Benuzter-/Kennwort-Abfrage zugreifen dürften.

Die Freigaben sind für Jeder mit Vollzugriff eingerichtet und anschliessend sind die Berechtigungen über NTFS-Berechtigungen vergeben worden.

Es scheint auch einen Unterschied zu machen, wie man die Freigabe aufruft:
a)
Gibt man die IP-Adresse und dann den Freigabenamen ein, so wird kein Passwort abgefragt.
b)
Gibt man den vollen Servernamen mit Domänenbezeichnung ein, so wird das Passwort abgefragt.

Welche Möglichkeiten haben wir, dieses Problem in den Griff zu kriegen - es handelt sich ja scheinbar um ein größeres Sicherheitsproblem.

Vielen Dank im voraus für Eure Hilfe!

HoyGroDo

Content-ID: 131626

Url: https://administrator.de/forum/zugriff-auf-netzwerkfreigabe-in-einer-domaene-unter-windows-2000-server-funktioniert-auch-ohne-131626.html

Ausgedruckt am: 26.12.2024 um 02:12 Uhr

DerWoWusste
DerWoWusste 14.12.2009 um 10:51:34 Uhr
Goto Top
Moin.
Was mich an der Frage doch sehr stört, ist das "scheinbar". Du musst Dir zunächst sicher sein, was da läuft - nimm eine Testinstallation ohne Domänenzugehörigkeit und dann probier's selbst. Was Nutzer berichten, ist erstmal mit Vorsicht zu genießen.
Speichern Sie zum Beispiel ihr Kennwort ein, so ist das Verhalten wohl kein Wunder. Wenn eingestellt ist, dass die Domänennutzer sich überall anmelden können, dann natürlich auch an ihren Notebooks.
HoyGroDo
HoyGroDo 14.12.2009 um 11:15:22 Uhr
Goto Top
Ersteinmal Danke für die schnelle Antwort face-smile

Das war missverständlich - geprüft habe ich es schon. Habe einen x-beliebigen Privat-Rechner genommen, der noch nie an unserem Netzwerk angschlossen war. Sobald ich dort über die IP-Adresse eines Servers eine Freigabe aufrufe, sind alle darin enthaltenen Ordner und Dateien änderbar.

HoyGroDo
Venator
Venator 14.12.2009 um 12:06:30 Uhr
Goto Top
Hallo HoyGroDo,

meines Wissens steht die NTFS Freigabe immer über der Netzwerkfreigabe. Das heisst, das du keinen ZUgriff erhalten solltest, wenn du auf NTFS eben keine Rechte hast. Da das dennoch geht, gestattet dir NTFS wohl die Zugriffsrechte.

Daher stellt sich mir die Frage, wie sich der Client authentifiziert. Wenn du über die Domänenbezeichnung gehst, fragt er wohl die Domänenberechtigungen ab und verlangt eine Authentifizierung. Kann es daher sein, das sich der Client, wenn du über die IP-Adresse gehst als "Gerät" authentifiziert und dann evtl. einen Benutzer bei euch zugewiesen bekommt der entsprechende Berechtigungen hat? Ich meine vor langer Zeit für W2k in diese Richtung mal was gelesen zu haben, bin mir aber nicht sicher.

Ich würde noch folgendes Testen um die Sicherheit halbwegs aufrecht zu erhalten. Was passiert wenn du die "Jeder-Freigabe" heraus nimmst und bereits in der Freigabe Rechte vergibst? Zum anderen würde ich mal schauen, was passiert wenn du einen Ordner mit einer "Jeder-Freigabe" anlegst und diesem Ordner auf NTFS eben keine Berechtigungen erteilst. Kommst du dann via Freigabe trotzdem noch rein?

Leider nichts genaues, aber vielleicht ein paar Ideen.
Liebe Grüße,
Boris
DerWoWusste
DerWoWusste 14.12.2009 um 12:56:16 Uhr
Goto Top
Also.
Dass es über die IP geht und nicht über den Namen, ist kurios und nicht erklärbar, dies muss ein Defekt sein. Wo Du jetzt ansetzen kannst, ist erstmal schwierig. Grundsätzlich zu Deiner Info: Jeder bedeutet nicht jeder weltweit. Solltest Du also nicht am Server eingestellt haben, dass auch der anonymous Login wie jeder behandelt wird, dann darf das nicht funktionieren. Dass es sich dann auch noch unterschiedlich verhält, ist ein Witz.

Kontrollier also mit rsop.msc am Server, ob der Server Policies übernommen hat, die anonymous Rechte einräumen.
"Network access: Let Everyone permissions apply to anonymous users" heißt eine solche Policy.