[sparkle]

Zitat (JuLi LeoNova: 30.01.2006, 12:51)

und Du wirst sehen, das Du auf diesen PC zugriff hast und Ihm nach wunsch das System (soRRy) zerwixxen kannst ...


*ausnahme: Er hat bei der Installation kein Administrator Pw festgelegt ... was ja viele nicht machen!

Unsinn! Wenn man KEIN Passwort für Administrator und/oder Benutzer mit Adminrechten gesetzt hat hat man Zugriff, andernfalls jedoch nicht.

Dieser Beitrag wurde von sparkle bearbeitet: 30. Januar 2006 - 13:01

[JuLi LeoNova]

Ja aber diese kann auf LAN einen verherenden fehler sein ...

JADOCH: StandarT

[Mr_Maniac]

Zitat (JuLi LeoNova: 30.01.2006, 13:00)

Ja aber diese kann auf LAN einen verherenden fehler sein ...

JADOCH: StandarT

Auf welche Art steht die Freigabe denn?
Nein, sorry... Standard ist die Schreibweise, die z.B. viele Trolle bei Heise verwenden...
Korrekt heißt es aber tatsächlich StandarD!

[Win-Fan]

Zitat (Mr_Maniac: 30.01.2006, 14:47)

Korrekt heißt es aber tatsächlich StandarD!

Richtig (Wikipedia hilft hierbei auch oft)

Standar(t) = häufig eine Falschschreibung des Wortes Standard oder seltener eine Falschschreibung des Wortes Standarte.

Standar(d) = eine breit akzeptiertes und angewandtes, formalisiertes oder nicht-formalisiertes Regelwerk, beispielsweise eine einzelne / mehrere Regeln oder eine Norm.

Sina sagte:

Oder legt man sein System irgendwie lahm, wenn man diesen DWort-Wert einträgt?

Man legt sein System dadurch natürlich nicht lahm.
Probleme könnte es z.B. eher in einer Domäne geben, durch fehlende administrative Freigaben.
Übersicht der Probleme, die bei Fehlen von administrativen Freigaben auftreten können

Dieser Beitrag wurde von Win-Fan bearbeitet: 30. Januar 2006 - 15:29

[Rika]

Standard = Art des Stehens, auch im Bezug auf einen semantischen Standpunkt ->
Standard = ein bestimmter Standpunkt

Die Existenz solcher Freigaben ist ein Standpunkt bezüglich der Abwägung zwischen "läuft's out-of-the-box" und "ist out-of-the-box sicher und/oder lässt sich bei Bedarf problemlos abschalten", und zwar IMHO ein schlechter.

[Lofote]

Zitat

Seit wann ist eine Freigabe selbst geschützt und das auch noch durch einen User?

Freigaben werden Benutzerkonten zugeordnet. Du kannst doch festlegen, daß User A und User B auf die Freigabe zugreifen können, jeweils nur mit Kenntnis ihres Passwortes. Und administrative Freigaben sind auf den Admin-Account festgelegt.

Nein eben nicht, da haste nicht weitergelesen. Freigaben haben ACLs. Sie sind NICHT auf User festgelegt. Und die Standardfreigaben haben FullRights für die Gruppe Administratoren, nicht nur den User Administrator.

Und das von dir, Rika, tsts ... Und gleich noch ein Fehler:

Zitat

Oder spielt diese $ Freigabe keine Rolle?

Man braucht sie nur für AD-Domains.

Quatsch! Sie spielt in einer NT-Domäne genauso ne Rolle. Und auf nem Workgroup-Rechner ist sie ebenfalls brauchbar - wenn man das Passwort kennt oder die gleichen Logindaten (Username,Passwort) nimmt, ist sie genauso praktisch.

[Rika]

Zitat

Freigaben haben ACLs. Sie sind NICHT auf User festgelegt.

1. ACLs sind stets auf User festgelegt.
2. Freigaben haben einen eigenen Mechanismus fernab der ACLs des NT-Kernels. Ich kann festlegen, daß nur User A Zugriff auf eine Freigabe hat, aber nur User B hat die Berechtigungen, die Dateien in dieser Freigabe zu lesen.

Zitat

Sie spielt in einer NT-Domäne genauso ne Rolle.

Ja, kann sein. So etwas ist aber eh nicht mehr zeitgemäß.

Zitat

ist sie genauso praktisch.

Ja, aber nur für's versehentliche oder absichtliche Ruinieren des Systems.

[Lofote]

Zitat

1. ACLs sind stets auf User festgelegt.
2. Freigaben haben einen eigenen Mechanismus fernab der ACLs des NT-Kernels. Ich kann festlegen, daß nur User A Zugriff auf eine Freigabe hat, aber nur User B hat die Berechtigungen, die Dateien in dieser Freigabe zu lesen.

Gott, ist das der Rika, denn ich kenne!?!? Der so auf Exaktheit ausgelegt ist und bei niemand anders tolerieren, dass er was nicht 100% weiss!? Und der redet so einen Stuss daher!?

1. Vollkommener SChwachsinn, eine ACL ist eine Liste, mehr nicht. Da steht drin, A kann X machen. Das muss auch im AD kein User sein, sondern kann jedes Objekt sein. Z.B. kannst du Domain Controller Rechte geben, das sind Computeraccounts und keine Useraccounts.
2. Freigaben-ACLs werden in der Registry gespeichert und vom Server-Dienst verwaltet. Trotzdem sind das ACLs!! Das die vom NT-Kernal verwaltet werden, hat nie jemand behauptet (und ist auch kein Muss dafür, dass es ACLs sind)!
3. Wenn eine Freigabe einem User zugeordnet wären, wären sie exakt EINEM User zugeordnet, und eben nicht mehreren. Z.B. ist der Besitz einer Datei oder eines Verzeichnis eine Zuordnung - hier gibt es exakt eine SID (die einem Benutzer oder einer Gruppe entspricht), die den Besitz hat. Eine ACL ist aber eben eine LISTE (wie der Name schon sagt), und keine Zuordnung.
Eine Liste ORDNET zwei Dinge zueinander. Aber die Dinge selbst sind (ohne die Liste) nicht zueinander zugeordnet. Soviel Logik solltest du doch noch aufbringen können, oder? <rolleyes>
Wenn du etwas Datenbanksprache verstehst, dann lass es mich anders erklären: Eine Zuordnung ist eine 1:n-Beziehung. Eine Liste eine m:n-Beziehung (die auch in der Datenbank immer mit einer weiteren Tabelle - also analog zu dieser Liste - implementiert wird).
Und 4. Nochmals: In keiner ACL der Standardfreigaben wird je der eingebaute Administrator explizit erwähnt. Es wirden immer FullRights auf die Administratoren-GRUPPE (die ham ne ganz andere SID!) gegeben, der der eingebaute Administrator natürlich auch angehört.

Du lässt nach, Rika, wirklich...

Zitat

ist sie genauso praktisch.

Ja, aber nur für's versehentliche oder absichtliche Ruinieren des Systems.

Schwachsinn. Nur weil du keinerlei Idee hast, wo das verwendet werden kann. In einer Kleinfirma mit zwei Arbeitsrechnern und ohne Server z.B. ist das mehr als vernünftig, vorausgesetzt, die Passwörter von den Usern, die lokale Adminrechte auf den Systemen haben, sind strong.
Aber offensichtlich hast du es mit der Realität tatsächlich sehr selten zu tun!?

Dieser Beitrag wurde von Lofote bearbeitet: 31. Januar 2006 - 16:16

[Rika]

Zitat

2. Freigaben-ACLs werden in der Registry gespeichert und vom Server-Dienst verwaltet. Trotzdem sind das ACLs!! Das die vom NT-Kernal verwaltet werden, hat nie jemand behauptet (und ist auch kein Muss dafür, dass es ACLs sind)!

Das ist der entscheidende Punkt. Die ACL für die Administrativen Freigaben ist Allow:(lokaler Buildin-Admin, dessen Passwort). Die SID ist bekannt, man braucht nur das Passwort.

Zitat

Wenn eine Freigabe einem User zugeordnet wären,

== der User hat einen Eintrag in der ACL

Zitat

In keiner ACL der Standardfreigaben wird je der eingebaute Administrator explizit erwähnt.

Muss er auch nicht, denn das wird intern auch über Named Pipes realisiert.
Wenn der Builtin-Admin keinn Passwort gesetzt hat, dann unterbindet WinXP die Admin-Freigaben grundsätzlich, für jeden Benutzer in der Admin-Gruppe.

Zitat

z.B. ist das mehr als vernünftig

Nein, ist es nicht.
1. Der Zugriff ist zu breit, d.h. zu wenig spezifisch.
2. Wenn mal Vollzugriff will, dann legt man sich dafür eine eigene Freigabe an und nimmt eben nicht den vordefinierten Müll, der allerlei Komplikationen verursacht.

[sparkle]

Zitat (Rika: 31.01.2006, 16:26)

2. Wenn mal Vollzugriff will, dann legt man sich dafür eine eigene Freigabe an und nimmt eben nicht den vordefinierten Müll, der allerlei Komplikationen verursacht.

Anscheinend nur bei dir, denn wie es scheint hat hier noch niemand (eingeschlossen mir, Fehlbedienungen seitens anderen mal ausgeschlossen) Probleme damit gehabt.

Dieser Beitrag wurde von sparkle bearbeitet: 31. Januar 2006 - 16:38

[Rika]

Achso? Eine offensichtliche Komplikation ist, daß es sich nur durch Setzen eines Registry-Eintrages und Neustart des Server-Dienstes deaktivieren bzw. wieder aktivieren lässt.
Oder daß es sich generell auf alle Laufwerke und nicht nur auf das Systemlaufwerk bezieht.

[Lofote]

Zitat

Wenn eine Freigabe einem User zugeordnet wären,

== der User hat einen Eintrag in der ACL

NÄÄÄK, 1:n und m:n sind nicht das selbe. Frage nen Datenbankspezialisten. Eine Runde aussetzen

Zitat

2. Wenn mal Vollzugriff will, dann legt man sich dafür eine eigene Freigabe an und nimmt eben nicht den vordefinierten Müll, der allerlei Komplikationen verursacht.

NÄÄÄK. Leider das Prinzip von Remote-Zugriff und -Verwaltung nicht verstanden. Eine weitere Runde aussetzen.

Dieser Beitrag wurde von Lofote bearbeitet: 31. Januar 2006 - 17:12

[Rika]

Zitat

NÄÄÄK, 1:n und m:n sind nicht das selbe.

Selber NÄÄÄK, denn darum geht's nicht. Niemand hat ausgeschlossen, daß eine Freigabe nicht mehreren Prinzipalen zugeordnet sein kann.

Zitat

NÄÄÄK. Leider das Prinzip von Remote-Zugriff und -Verwaltung nicht verstanden.

Du missbrauchst eine interne Verwaltungsmaßnahme für deine Zwecke, obwohl es eine eigene genauso täte und sich nicht mit der internen beißt.
Ich glaube eher, daß du da etwas nicht verstanden hast.

[Lofote]

Zitat

ZITAT
NÄÄÄK, 1:n und m:n sind nicht das selbe.

Selber NÄÄÄK, denn darum geht's nicht. Niemand hat ausgeschlossen, daß eine Freigabe nicht mehreren Prinzipalen zugeordnet sein kann

Oje, nicht mal zugeben kann ers, dass er falsch lag ... Ist dann ein user einem Verzeichnis auch zugeordnet, nur weil er in der ACL drinsteht? Irgendwie hast du das Listenprinzip immer noch nicht kapiert. Wenn ich auf eine Einkaufsliste für mehrere Personen Milch draufschreibe, heisst dass ncoh lange nicht, dass die Milch mir zugeordnet ist - und umgekehrt - ich habe nur selber Bedarf dran.. Aber Rika hat halt gerne nur selber recht, und gibt keine Fehler zu - is scho ok, solche Leute gibts halt auch ...

Zitat

Du missbrauchst eine interne Verwaltungsmaßnahme für deine Zwecke, obwohl es eine eigene genauso täte und sich nicht mit der internen beißt.
Ich glaube eher, daß du da etwas nicht verstanden hast.

NÄK. Die Standardfreigaben sind keine interne Verwaltungsmaßnahme. Windows selbst braucht sie auch nicht, auch nicht in einer Domäne. Sie sind für den Admin gemacht -deshalb heissen sie auch "Administrative Freigaben" und nicht "Systemfreigabe", damit er ohne (vollkommen unnötigen!) Aufwand auf die Laufwerke zugreifen kann.
Versuch doch mal die Berechtigungen zu ändern - was kommt? "Diese Freigabe ist für ADMINISTRATIVE ZWECKE eingerichtet. [...]". Was glaubst du warum die administrativ heisst? Was glaubst du warum sie der Administratorengruppe und eben NICHT nur dem System freigegeben sind?

Ich verwende also in meinem Beispiel die Freigaben exakt dafür, wofür sie gemacht sind: Direktzugriff auf ein Laufwerk oder das Windowsverzeichnis (ADMIN$) für administrative Zwecke.

Aber kannst mir ja irgendwann mal erklären, was an diesen Verwaltungsmassnahmen so intern sein soll... (autsch)

[Rika]

Zitat

Windows selbst braucht sie auch nicht, auch nicht in einer Domäne.

Hatten wir nicht weiter oben gerade das Gegenteil festgestellt?

Zitat

Aber kannst mir ja irgendwann mal erklären, was an diesen Verwaltungsmassnahmen so intern sein soll... (autsch)

Auch das wurde oben bereits benannt.