12
Zugriff von DOS auf Freigaben von Server 2008
Zugriff von Client mit DOS kann nicht auf Freigaben von Server 2008 zugreiffen
Liebe Community
Ich verwende eine DOS-Bootdiskette zum rauf- und runterladen von Ghost Images auf die Clients. Bis jetzt hatte ich einen PC mit WinXP und einer Freigabe (Images$) im Zuge einer Umstrukturierung wurde mir dieser durch einen Windows Server 2008 ersetzt. Nun wollte ich einfach wieder eine Freigabe erstellen und die Bootdisk (DOS) weiter verwenden, jedoch kommt jetzt nach einer Passwortabfrage folgender Fehler beim verbinden mit dem Laufwerk:
Ich verbinde das Laufwerk folgendermassen:
Weiss jemand wie ich eine simple Freigabe auf dem Server erstellen kann?
MfG
computermerlae
Infos:*
Diskette: Windows Millenium (Version 4.90.3000)
Server: Windows Server 2008 Standart SP 1
Freigabe: auf HD D:\ mit rechtsklick auf Freigabe dann diverse Benutzer hinzugefühgt (Administrator, Administratoren, BATCH, Jeder, Prä-Windows 2000 kompatibler Zugriff)
Liebe Community
Ich verwende eine DOS-Bootdiskette zum rauf- und runterladen von Ghost Images auf die Clients. Bis jetzt hatte ich einen PC mit WinXP und einer Freigabe (Images$) im Zuge einer Umstrukturierung wurde mir dieser durch einen Windows Server 2008 ersetzt. Nun wollte ich einfach wieder eine Freigabe erstellen und die Bootdisk (DOS) weiter verwenden, jedoch kommt jetzt nach einer Passwortabfrage folgender Fehler beim verbinden mit dem Laufwerk:
Error 5: Access has been denied.Ich verbinde das Laufwerk folgendermassen:
net use i: \\server\freigabe und habe auch schon das Passwort vom Administrator und anderen Benutzern eingegeben. Leider ohne Erfolg. Weiss jemand wie ich eine simple Freigabe auf dem Server erstellen kann?
MfG
computermerlae
Infos:*
Diskette: Windows Millenium (Version 4.90.3000)
Server: Windows Server 2008 Standart SP 1
Freigabe: auf HD D:\ mit rechtsklick auf Freigabe dann diverse Benutzer hinzugefühgt (Administrator, Administratoren, BATCH, Jeder, Prä-Windows 2000 kompatibler Zugriff)
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 118833
Url: https://administrator.de/contentid/118833
Ausgedruckt am: 22.11.2024 um 02:11 Uhr
12 Kommentare
Neuester Kommentar
Ergänzend möchte ich noch sagen, dass ich hier im Forum gelesen habe, dass man in den Gruppenrichtlinien folgendes ändern soll, was jedoch auch nicht half.
dort soll man den Eintrag
Gruppenrichtlinien > Computerconfiguration > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionendort soll man den Eintrag
Microsoft-Netzwerk (Server): Kommunikation digital signieren (immer) deaktivieren.
Hallo,
möchtest du jetzt eine Freigabe erstellen oder ein bereits existierende Freigabe als Netzlaufwerk hinzufügen ?
Das konnte ich jetzt nciht eindeutig heraus lesen ;)
möchtest du jetzt eine Freigabe erstellen oder ein bereits existierende Freigabe als Netzlaufwerk hinzufügen ?
Das konnte ich jetzt nciht eindeutig heraus lesen ;)
Hallo Elektroluke
danke für deine rasche Antwort.
Ich möchte auf dem Server eine Freigabe (z.B. Images) erstellen und via Client (DOS) per Laufwerkzuordnung zugreifen.
LG
computermerlae
danke für deine rasche Antwort.
Ich möchte auf dem Server eine Freigabe (z.B. Images) erstellen und via Client (DOS) per Laufwerkzuordnung zugreifen.
LG
computermerlae
Hab jetzt gerade keinen 2008 Server zur Hand.
Schgau mal ob es eine Richtlinie "LAN Manager-Authentifizierungsebene" gibt. Die stell auf "LM- und NTLM-Antworten senden"
Schgau mal ob es eine Richtlinie "LAN Manager-Authentifizierungsebene" gibt. Die stell auf "LM- und NTLM-Antworten senden"
Hallo meinereiner
Danke für deine Antwort. Ich habe deine Einstellungen übernommen und erneut versucht von Client aus ein Netzlaufwerk zu verbinden (net use i: \\server\images). Es kommt dann die Passwortabfrage und trotz diversen Passwörtern die ich probiert habe kommt immer noch der Fehler
Hier ein Bild der aktuellen Einstellungen der Sicherheitsoptionen:
Bild:Bild
Danke für deine Antwort. Ich habe deine Einstellungen übernommen und erneut versucht von Client aus ein Netzlaufwerk zu verbinden (net use i: \\server\images). Es kommt dann die Passwortabfrage und trotz diversen Passwörtern die ich probiert habe kommt immer noch der Fehler
Access has been denied.Hier ein Bild der aktuellen Einstellungen der Sicherheitsoptionen:
Bild:Bild
kein Bild zu sehen
Doch jetzt seh ichs
Doch jetzt seh ichs
Google bringt mich hier hin:
http://social.technet.microsoft.com/Forums/en-US/winservercore/thread/8 ...
Da sind diese Regkeys aufgeführt. Die würde ich mal checken und ggf anpassen.
Der letzte Beitrag auf der Seite könnte IMO auch was bringen.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa - restrictanonymous = 0
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa - restrictanonymoussam = 0
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa - everyoneincludesanonymous = 1
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa - nolmhash = 0
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa - lmcompatibilitylevel = 0
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters - requiresecuritysignature =0
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters - requiresecuritysignature = 0
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters - restrictnullsessaccess = 0
http://social.technet.microsoft.com/Forums/en-US/winservercore/thread/8 ...
Da sind diese Regkeys aufgeführt. Die würde ich mal checken und ggf anpassen.
Der letzte Beitrag auf der Seite könnte IMO auch was bringen.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa - restrictanonymous = 0
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa - restrictanonymoussam = 0
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa - everyoneincludesanonymous = 1
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa - nolmhash = 0
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa - lmcompatibilitylevel = 0
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters - requiresecuritysignature =0
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters - requiresecuritysignature = 0
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters - restrictnullsessaccess = 0
Siehe auch http://netbootdisk.com/win2003.htm
Check alle Serverrichtlinien (secpol.msc), die digitale Signatur beinhalten.
Check alle Serverrichtlinien (secpol.msc), die digitale Signatur beinhalten.
Vielen Dank Euch allen für die nette Hilfe.
Der Link von meinereiner zu Microsoft Technet enthielt die Lösung des Problems. Ganz unten im besagten Beitrag wir beschrieben was zu machen ist.
Ich habe die Lösung hier mal ins Deutsche übersetzt: (Grundlage: Windows SBS 2008 (x64) de)
danach den Server neu starten oder in der Konsole mit gpupdate /force die Gruppenrichtlinien aktualisieren und beim Benutzer welcher zugriff haben soll das Passwort neu setzten.
Bei mir funktioniert es jetzt mit "
Vielen Dank allen die mitgeholfen haben!
Liebe Grüsse
computermerlae
Der Link von meinereiner zu Microsoft Technet enthielt die Lösung des Problems. Ganz unten im besagten Beitrag wir beschrieben was zu machen ist.
Here's what I did to solve this problem, hope it works for you. Set the following group policy settings:Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options: Network Security: Do not store LAN Manager hash value on next password change - SET TO DISABLE Network Security: LAN Manager authentication level - SET TO SEND LM & NTLM - USE NTLM v2 IF NEGOTIATEDRefresh group policy by restarting the computer or typing gpupdate /force in the run dialog box.Reset the password on the user account. The password needs to be reset so that it stores the older LAN Manager hash value.Hope this helps someone.Ich habe die Lösung hier mal ins Deutsche übersetzt: (Grundlage: Windows SBS 2008 (x64) de)
In den Gruppenrichtlinien die "Default Domain Policy" bearbeiten.Unter Computerkonfiguration - Richtlinien - Windows-Einstellungen - Sicherheitseinstellungen - Lokale Richtlinien - Sicherheitsoptionenmüssen folgende Einstellungen angepasst werden:1. Netzwerksicherheit: Keine LAN Manager-Hashwerte für nächste Kennwortänderung speichern.- als deaktiviert setzten.2. Netzwerksicherheit: LAN Manager-Authentifizierungsebene- Hacken setzt und "Nur NTLMv2 Antworten senden" auswählen.danach den Server neu starten oder in der Konsole mit gpupdate /force die Gruppenrichtlinien aktualisieren und beim Benutzer welcher zugriff haben soll das Passwort neu setzten.
Bei mir funktioniert es jetzt mit "
net use i: \\server\freigabe passwort" wunderbar.Vielen Dank allen die mitgeholfen haben!
Liebe Grüsse
computermerlae
Zu Eurer Aufklärung, siehe auch Laufwerk mappen von DOS zu einen Windows XP-Rechner
Computermerlae, es ist nur 1) nötig, denn es wird gegen den Hash authentifiziert. NTLMv2 kann DOS nicht, wenn ich mich nicht täusche - 2) zu setzen bedeutet also sogar eine Verschärfung (die aber nichts bewirkt, da wie gesagt der Hash auch noch zur Authentifizierung genutzt werden kann).
Wichtig ist vielmehr, nicht nur 1) zu setzen, sondern auch den Hash zu erzeugen, sprich, direkt danach für das zugreifende Konto ein neues Kennwort zu setzen.
Computermerlae, es ist nur 1) nötig, denn es wird gegen den Hash authentifiziert. NTLMv2 kann DOS nicht, wenn ich mich nicht täusche - 2) zu setzen bedeutet also sogar eine Verschärfung (die aber nichts bewirkt, da wie gesagt der Hash auch noch zur Authentifizierung genutzt werden kann).
Wichtig ist vielmehr, nicht nur 1) zu setzen, sondern auch den Hash zu erzeugen, sprich, direkt danach für das zugreifende Konto ein neues Kennwort zu setzen.
Danke für die Korrektur. Ich fragte mich sowieso schon, ob die Einstellungen bez. Sicherheit nicht ein "no go" sind.
Der Hash ist kein No Go. Um den zu "ernten" musst Du nämlich schon Admin auf dem System sein.
Wozu die Policy also nur zu gebrauchen ist: lokale Admins davon abzuhalten, den Hash, den ein anderer Admin, evtl. Domänenadmin hinterlassen hat, auszulesen, nach Hause zu tragen und zu brute-forcen.
Wozu die Policy also nur zu gebrauchen ist: lokale Admins davon abzuhalten, den Hash, den ein anderer Admin, evtl. Domänenadmin hinterlassen hat, auszulesen, nach Hause zu tragen und zu brute-forcen.
