Windows 98 Client in 2003er Umgebung
So lassen sich auch noch alte Windows 98 Clients (vernünftig) in einer Windows 2003 Domäne betreiben.
Um besagte Downlevel Client dazu zu bringen System- und gruppenbasierende Sicherheitsrichtlinien zu übernehmen sind ein paar weitere kleine Kniffe notwendig.
Netzwerk/Konfiguration
Netzwerk/Zugriffssteuerung
0 = Lan Manager (LM) bzw. NTLM Authentifizierung
3 = NTLM2 Authentifizierung
Siehe KB Artikel (Q239869)
Systemrichtlinienverwendung
Gruppenrichtlinien und Systemrichtlinien-Editor installieren
Am Besten wird dies über eine Systemrichtlinie (Config.pol in der Netlogon Freigabe des DC) realisiert, wobei hier (weitere) wichtige Änderungen explizit beschrieben werden.
0 = Anmeldung optional
1 = Anmeldung obligat
Im Abschnitt [Options]:
Die Dateiattribute anschließend wieder auf schreibgeschützt und versteckt setzen.
Da die Einstellungen der Sicherheitsrichtlinien über Poledit permanent sind – d.h. eine Einstellung muss explizit wieder aktiviert werden sobald einmal deaktiviert - ist eine andere Logik als bei den Gruppenrichtlinien ab 2000 zu verwenden.
Der Aufbau im Überblick:
Aus einem unerfindlichen Grunde wird die Gruppe der Domänen-Admins nicht erkannt und dem Administrator die Rechte des Standardbenutzers zugewiesen. Aus diesem Grunde wird der Administrator als Benutzer und nicht die Gruppe der Administratoren gelistet.
Für den Standardbenutzer wird alles deaktiviert, selbst die Ausführung von Programmen. Für die Gruppe der Domänen-Benutzer werden die erforderlichen Rechte explizit aktiviert und der Administrator erhält explizit alle Rechte. Der einfachste und schnellste Umgang ist folgender:
Directory Services Client Update for Windows 98
One unsuccessful logon attempt may trigger the default Windows NT lockout policy
How To Create a System Policy Setting in Microsoft Windows Server 2003
How to enable NTLM 2 authentication
How to enable Windows 98/ME/NT clients to logon to Windows 2003 based Domains
Require Windows 98 Clients to Logon to the Domain
Group Policies and Windows 98
Using Poledit Policy Editor to help secure Windows 95-98-ME computers
Using Your Domain Account Windows 98
Inhaltsverzeichnis
Problem
Windows 98 PC in Windows 2003 Server Domäne. Anmeldung gegen den DC wird verweigert bzw. kann übersprungen werden. Netzwerklaufwerke können nicht verbunden werden, Zugriffsrechte sind nur rudimentär abgebildet und die Systemrichtlinien in der config.pol werden nicht angewandt. An den Clients können alle Einstellungen geändert werden.Ursache
Anmelden kann man sich gegen Windows Server 2003 anscheinend ausschließlich digital signiert. Entweder man schaltet die Authentifizierungsmethode auf den Server um (DO NOT!) oder auf den betreffenden Downlevel Clients.Um besagte Downlevel Client dazu zu bringen System- und gruppenbasierende Sicherheitsrichtlinien zu übernehmen sind ein paar weitere kleine Kniffe notwendig.
Lösung
Um Windows98 unbeaufsichtigt zu Installieren muss entweder eine Diskette mit der msbatch.ini während des Setup im Laufwerk liegen oder die msbatch.ini in das Win98 Verzeichnis auf der Installations-CD kopiert werden. Bei Installation mithilfe der beigefügten Version der msbatch.ini werden die Änderungen und Additionen an der Registry automatisch vorgenommen. Weiters sind die Konfigurationen bis auf die Installation des DS Clients und Systemrichtlinieneditors inkludiert. Vorsichtshalber ist die Korrektheit der Einstellungen auch "händisch" zu überprüfen, da die Verarbeitung der msbatch.ini uU. fehlerträchtig und inkonsistent sein kann.Netzwerkkonfigurationen Ändern
Diese beiden Punkte müssen unbedingt geändert werden sodass die Policy angewandt wird.Netzwerk/Konfiguration
Primäre Netzwerkanmeldung: Client für Microsoft-Netzwerke
Netzwerk/Zugriffssteuerung
Zugriffssteuerung auf Benutzerebene aktivieren
Benutzer- und Gruppenliste beziehen: [DOMAIN]
Benutzer- und Gruppenliste beziehen: [DOMAIN]
Directory Services Client installieren
Es funktioniert ebenso ohne separate Installation dieses Updates. Die Beschriebenen Symptome (Konto nach einmalig fehlgeschlagener Anmeldung gesperrt) treten für gewöhnlich nicht auf, sodass das einspielen dieses Hotfixes von Nöten wäre.DS-Client für Windows 98 (5.0.2920.5)
Update nicht mehr online verfügbar, nur noch auf Anfrage.
Siehe KB Artikel (KB323455)
Update nicht mehr online verfügbar, nur noch auf Anfrage.
Siehe KB Artikel (KB323455)
NTLM2 Authentifizierung erzwingen (wird mit Win98.reg/msbatch.ini automatisch geändert)
Ort: HKLM\System\CurrentControlSet\Control
Typ: DWORD
Name: LMCompatibility
Wert: 3
3 = NTLM2 Authentifizierung
Siehe KB Artikel (Q239869)
Systemrichtlinienverwendung
Systemsteuerung/Kennwörter/Benutzerprofile
Benutzer können die Vorgabe und ... aktivieren
Einstellungen für Benutzerprofile beides deaktiviert
Benutzer können die Vorgabe und ... aktivieren
Einstellungen für Benutzerprofile beides deaktiviert
Gruppenrichtlinien und Systemrichtlinien-Editor installieren
Systemsteuerung/Software/Windows Setup "Diskette" Pfad ist 98CD\tools\reskit\netadmin\poledit.
Siehe KB Artikel (KB814598)
Siehe KB Artikel (KB814598)
Zusätzliches "hardening" der Clients
Um unbefugte Anmeldungen oder Änderung am System zu unterbinden können die Clients noch weiter abgesichert werden.Am Besten wird dies über eine Systemrichtlinie (Config.pol in der Netlogon Freigabe des DC) realisiert, wobei hier (weitere) wichtige Änderungen explizit beschrieben werden.
Anmeldung erzwingen
Der Anmeldedialog kann in der Standardinstallation übergangen werden. Das Verhalten kann durch erstellen folgenden Wertes in der Registry geändert werden:Ort: HKLM\Network\Logon
Typ: DWORD
Name: MustBeValidated
Wert: 1
1 = Anmeldung obligat
SMB Signatur aktivieren
Aktiviert die Signatur für SMB Pakete sofern Client und Server dies unterstüzen.Ort: HKLM\System\CurrentControlSet\Services\VxD\VNetsup
Typ: DWORD DWORD
Name: EnableSecuritySignature RequireSecuritySignature
Wert: 1, 0
Alternativer Windows Start verhindern
Durch drücken der Taste F8 zu Beginn des Bootvorganges von Windows kann selbiges z.B. im Abgesicherten Modus gestartet und die Sicherheitsrichtlinien umgangen werden. Um dies zu unterbinden sind an der Datei msdos.sys (zu finden im Wurzelverzeichnis der installationspartition) zwei Einträge hinzuzufügen.Im Abschnitt [Options]:
- BootKeys=0
- BootSafe=0
Die Dateiattribute anschließend wieder auf schreibgeschützt und versteckt setzen.
Config.pol
Folgend die Konfiguration der Sicherheitsrichtlinien. Es ist anzuraten die Poledit-Version auf der Windows 98 CD zu nutzen.Da die Einstellungen der Sicherheitsrichtlinien über Poledit permanent sind – d.h. eine Einstellung muss explizit wieder aktiviert werden sobald einmal deaktiviert - ist eine andere Logik als bei den Gruppenrichtlinien ab 2000 zu verwenden.
Der Aufbau im Überblick:
- Standardbenutzer (Vorgabe)
- Alle Benutzer die in keiner anderen Gruppe oder explizit angegeben werden.
- Standardcomputer (Vorgabe)
- Alle Computer die in keiner anderen Gruppe oder explizit angegeben werden.
- Domänen-Benutzer
- Administrator
Aus einem unerfindlichen Grunde wird die Gruppe der Domänen-Admins nicht erkannt und dem Administrator die Rechte des Standardbenutzers zugewiesen. Aus diesem Grunde wird der Administrator als Benutzer und nicht die Gruppe der Administratoren gelistet.
Für den Standardbenutzer wird alles deaktiviert, selbst die Ausführung von Programmen. Für die Gruppe der Domänen-Benutzer werden die erforderlichen Rechte explizit aktiviert und der Administrator erhält explizit alle Rechte. Der einfachste und schnellste Umgang ist folgender:
- Alle nötigen Einschränkungen des Standardbenutzers und - Computers festlegen.
- Hierarchisch nach oben sukzessive den vorgehenden Benutzer kopieren und die benötigten Rechte erteilen.
Weitere Quellen und Referenzen
Generell sei natürlich auf http://support.microsoft.com und http://technet.microsoft.com verwiesen (ein Quell schier unendlichen Wissens ;)Directory Services Client Update for Windows 98
One unsuccessful logon attempt may trigger the default Windows NT lockout policy
How To Create a System Policy Setting in Microsoft Windows Server 2003
How to enable NTLM 2 authentication
How to enable Windows 98/ME/NT clients to logon to Windows 2003 based Domains
Require Windows 98 Clients to Logon to the Domain
Group Policies and Windows 98
Using Poledit Policy Editor to help secure Windows 95-98-ME computers
Using Your Domain Account Windows 98
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 20607
Url: https://administrator.de/tutorial/windows-98-client-in-2003er-umgebung-20607.html
Ausgedruckt am: 23.12.2024 um 07:12 Uhr
2 Kommentare
Neuester Kommentar