[splinter263]

Hallo!
Ich habe mir heute ein ganz neues Windows Server 2003 System aufgesetzt.
So, jetzt habe ich drei Benutzer: User1, User2, User3

Und auch drei Ordner die ich mit verschiedenen Rechten versehen will: Allgemein, User1, User2

So, ich habe auch die Dateifreigabe per Assistenten installiert und auch bei Berechtigung bei den Ordner die User eingetragen.
So, wenn ich aber jetzt von anderen PCs auf den Server mittels "\\SERVER" verbinde, fragt er garnicht nach einem Benutzernamen und Passwort, jedenfalls jetzt nicht mehr.

Beim 1.MAL wo ich von einem PC verbunden habe, hat er danach gefragt, aber ich hab auch schon den PC neugestartet und gereinigt, aber trotzdem fragt er jetzt NICHT MEHR nach Benutzernmane und Passwort. Kann man das irgendwo einstellen?
MFG

[Decay]

Kann das sein, dass unter den NTFS-Berechtigungen noch "Jeder" eingetragen ist (mit zu vielen Berechtigungen)?
Und schau auch mal bitte in den Freigabeberechtigungen nach.

[Stefan_der_held]

nunja.... allgemein gilt eigentlich folgendes:

1. Freigabe "Jeder" (vollzugriff natürlich DEAKTIVIEREN)

2. NTFS-Berechtigungen den Usern zuordnen

Wenn du nicht/nichtmehr nach einen Passwort gefragt wirst, können folgende Fälle eingetreten sein:

1. Dein Benutzerkonto auf dem Rechner mit dem du dich einwählst hat den gleichen namen/gleiches passwort
2. Auf dem Server existiert kein Passwort (mehr)
3. das eingegebene Passwort wurde auf den einwählenden Rechner gespeichert

Dieser Beitrag wurde von Stefan_der_held bearbeitet: 15. Oktober 2007 - 08:14

[QuentinT]

also bei den freugaeberechtugungen würde ich den vollzugriff auf jeden fall für admins lassen, die die ACL bearbeiten müssen, falls du sowas hast, ansonsten nur die authentifizierten benutzer.

ich würde des weiteren auch nicht die Gruppe jeder benutzen sondern die Gruppe Authentifizierte benutzer und bei dieser Vollzugriff deaktivieren.

[Decay]

Zitat (QuentinT: 19.10.2007, 12:21)

also bei den freugaeberechtugungen würde ich den vollzugriff auf jeden fall für admins lassen, die die ACL bearbeiten müssen, falls du sowas hast, ansonsten nur die authentifizierten benutzer.

ich würde des weiteren auch nicht die Gruppe jeder benutzen sondern die Gruppe Authentifizierte benutzer und bei dieser Vollzugriff deaktivieren.

Das würde ich aber nicht auf die Freigabeberechtigungen setzen, sonder auf die NTFS-Berechtigungen. Die lassen sich viel filigraner und restriktiver einstellen.

[QuentinT]

Also ich weiss ja nicht, aber welcher User benötigt denn mehr als Ändern Rechte in einer Freigabe?

Man sollte die Freigabe immer schon soweit zu machen wie möglich, also keinem jeder Vollzugriff erteilen... so hab ich es zumindest gelernt...

die Gruppe jeder sollte auch nur verwendet werden, wenn man den account gast benötigt, ansonsten sollte man nur authentifizierte Benutzer verwenden...

Also eigentlich reicht es den authentifizierten Benutzern das Recht Ändern zu geben...
Und den Admins, falls sie remote die ACL bearbeiten sollen die Berechtigung Vollzugriff erteilen...

Wie ist das denn bei euch geregelt Decay?

Natürlich muss danach noch die ACL der NTFS Berechtigungen bearbeitet werden, da wie du schon sagst sie wesentlich differenzierbarere einzustellen ist...

[Decay]

Warum sollte man schon in der Freigabe die Berechtigung einschränken?
Das wäre, wenn überhaupt, bei nicht domänenbezogene Netzwerke gut.
Aber hier spielt ein Server mit und ich gehe auch davon aus, dass eine Domäne bestehen wird.

Also sind da die NTFS-Berechtigungen weitaus wichtiger.

[QuentinT]

weil man wenn man in der freigabe vollzugriff hat, man anderen berechtigungen wegnehmen kann, so dass diese nicht mehr zugreifen können...

[Antimon]

Wenn es XP Clients sind Systemsteuerung -> Verwaltung -> Lokale Sicherheitsrichtlinie -> Lokale Richtlinien -> Sicherheitsoptionen ->

Netzwerkzugriff: Modell gemeinsame Nutzung und Sicherheitsmodell für lokale Konten auf "Klassisch - lokale Benutzer authentifizieren sich als sie selbst" stellen

Und, solltest Du riskanterweise Benutzer ohne Passwort verwenden den Eintrag

Konten: Lokale Kontenverwendung von leeren Kennwörtern auf Konsolenanmeldung beschränken auf deaktiviert stellen.

Denn so wie Du es beschreibst gehe ich nicht davon aus, dass Du eine Domäne aufgesetzt hast und die PCs auch entsprechend in der Domäne sind und die Benutzer sich an der Domäne anmelden, denn dann würde der Server nicht nach dem Benutzer fragen wenn Du über \\Server auf die Freigabe zugreifst

[Decay]

Zitat (QuentinT: 01.11.2007, 12:01)

weil man wenn man in der freigabe vollzugriff hat, man anderen berechtigungen wegnehmen kann, so dass diese nicht mehr zugreifen können...

Das macht überhaupt keinen Sinn.
Immerhin sind alle soweit im Netzwerk eingebunden und das bestimmt nicht ohne Grund.
Und wenn ich etwas in NTFS verbiete interessiert absolut nicht, ob die Freigabenberechtigungen voll offen sind oder eingeschränkt.
Ich komme so ohne weiteres da nicht dran und gut.
AD und Konsorten erledigen den Rest, um den Man in the Middle abzuhalten.
Also wofür auf Freigaben schon einschränken? Ich habe dann immer zwei Baustellen, an den ich nachsehen muss, wenn etwas nicht funzt mit den Freigaben.
So weiß ich, dass ich nur auf NTFS-Ebene nachschauen brauche.

[QuentinT]

@decay
Okay, du hast recht, mein Fehler!!!
Hab was durcheinander geworfen...