Zum Inhalt wechseln


Foto

Passwort in Anmeldescript verstecken.


  • Bitte melde dich an um zu Antworten
26 Antworten in diesem Thema

#1 Grisu1982

Grisu1982

    Newbie

  • 11 Beiträge

 

Geschrieben 08. Dezember 2010 - 08:54

Hallo zusammen,
ich habe mal wieder ein kleines Problem.
Ich soll ein kleines Netzwerk aufbauen mit 5 Clients und einem
Windows 2008 Server als reinen Fileserver.

Die Forderung ist, dass KEINE Domane eingerichtet wird.
Derzeit verbinde ich also die Freigaben per BAT Skript im Autostart.

Das Problem ist nur, das beim ablaufen des Skript natürlich kurz
das Passwort in Klartext zu sehen ist. Ich habe mal gehört das es
möglich wäre, dass Passwort irgentwie zu verschlüsseln. Also als
md5 oder Array. Klar soo sicher ist es auch nicht. Wenn man sich auskennt
könnte man es auch wieder zurückwandeln, aber es steht dann zumindest nicht direkt in Klartext auf dem Bildschirm.:rolleyes:

Ich hab mir jetzt schon die Finger wund gegoogelt aber nichts gefunden.

Kennt da jemand eine Möglichkeit oder hat jemand eine andere Idee?

Danke

#2 Demented Clown

Demented Clown

    Member

  • 274 Beiträge

 

Geschrieben 08. Dezember 2010 - 09:04

Guten Morgen,

zweierlei:

1. Mach eine Domäne. Wirklich. Auch bei 5 Clients. Die Administration wird erheblich einfacher als bei einer zusammengeschusterten Arbeitsgruppe.

2. Wenn du wirklich keine Domäne willst (tu's trotzdem ;) ) dann lege die Benutzer der Clients gleichlautend auf dem Server an und definiere die Freigaben entsprechend. Dann brauchst du keine Passwörter im Login-Script. Denn jemand der Google bedienen kann wird sich das Passwort früher oder später aus der Batch rausholen, egal ob irgendwie maskiert oder nicht.

***Ein Experte ist jemand, den man in letzter Minute hinzuzieht, um einen Mitschuldigen zu haben.***


#3 Grisu1982

Grisu1982

    Newbie

  • 11 Beiträge

 

Geschrieben 08. Dezember 2010 - 09:54

Danke schonmal.
Ich würde ja auch soooo gerne eine Domane anlegen.:)
Ich hätte dann garantiert einige Probleme weniger. Aber
es besteht eben die Vorderung es ohne Domane zu machen.

Es ist ein Netzwerk aus Laptops bei dem definitiv der Anwender
Administrator bleibt. (Auch wenn ich es nicht besonders klug finde)

Die Laptops müssen auch ausserhalb dieses Netzwerkes eingesetzt werden können. Das heißt der Anwender müsste sie dann jedesmal wieder neu in die
Domane ein und ausbinden. Auserdem muss gewärleistet sein, dass der Nutzer
jederzeit seine kompletten Netzwerkeinstellungen verändern kann (klar geht auch über GPO).

Es muss aber auch gewäleistet sein das jeder Zeit jemand einen absolut unbekanten Laptop mitbringt sich einsteckt und die Netzwerkadresse usw. per DHCP bekommt und eben kein Zugriff auf den Fileserver hat. Maximal, wenn man ihm gewollt das Passwort nennt und ihn freischaltet.

Die sicherheit stelle ich derzeit zusätzlich noch einmal mit einer IPtables Firewall sicher mit 4 Netzbereichen. Es handelt sich hier auch nicht um ein standart Büronetzwerk sondern eher um ein mobieles Physikalisches Messlabor.

Das Passwort will ich eigentlich nur verstecken damit man es sich als fremder nicht mal eben abgucken kann. Die Leute die Tagtäglich damit arbeiten werden es sowieso kennen.

#4 zahni

zahni

    Expert Member

  • 16.376 Beiträge

 

Geschrieben 08. Dezember 2010 - 09:59

Sorry,

ich kann in Deinen Ausführungen nichts entdecken, was gegen eine Domäne spricht.

-Zahni

Wen du nicht mit Können beeindrucken kannst, den verwirre mit Schwachsinn!


#5 Demented Clown

Demented Clown

    Member

  • 274 Beiträge

 

Geschrieben 08. Dezember 2010 - 10:04

Danke schonmal.
Ich würde ja auch soooo gerne eine Domane anlegen.:)
Ich hätte dann garantiert einige Probleme weniger. Aber
es besteht eben die Vorderung es ohne Domane zu machen.


Dann überzeuge den Verantwortlichen, es mit Domäne zu machen.

Es ist ein Netzwerk aus Laptops bei dem definitiv der Anwender
Administrator bleibt. (Auch wenn ich es nicht besonders klug finde).


Du hast recht, ist nicht sonderlich erheblich. Allerdings kann ein Domänenbenutzer durchaus gleichzeitig lokaler Administrator sein.

Die Laptops müssen auch ausserhalb dieses Netzwerkes eingesetzt werden können. Das heißt der Anwender müsste sie dann jedesmal wieder neu in die
Domane ein und ausbinden. Auserdem muss gewärleistet sein, dass der Nutzer
jederzeit seine kompletten Netzwerkeinstellungen verändern kann (klar geht auch über GPO).


Die Neueinbindung ist nicht nötig, die Notebooks können auch ausserhalb der Domäne betrieben werden. Als lokaler Admin kann der User ausserdem seine Netzwerkeinstellungen selbst verändern.

Es muss aber auch gewäleistet sein das jeder Zeit jemand einen absolut unbekanten Laptop mitbringt sich einsteckt und die Netzwerkadresse usw. per DHCP bekommt und eben kein Zugriff auf den Fileserver hat. Maximal, wenn man ihm gewollt das Passwort nennt und ihn freischaltet.


Auch kein Problem, mit dem Windows DHCP kannst du das regeln.
Entsprechende Berechtigungen auf dem Server tun ihr übriges dazu.

Das Passwort will ich eigentlich nur verstecken damit man es sich als fremder nicht mal eben abgucken kann. Die Leute die Tagtäglich damit arbeiten werden es sowieso kennen.


Dazu verweise ich nochmal auf das Anlegen der User auf dem Server, das ich in meiner ersten Antwort schon genannt habe.

***Ein Experte ist jemand, den man in letzter Minute hinzuzieht, um einen Mitschuldigen zu haben.***


#6 XP-Fan

XP-Fan

    Moderator

  • 11.237 Beiträge

 

Geschrieben 08. Dezember 2010 - 10:06

Die Laptops müssen auch ausserhalb dieses Netzwerkes eingesetzt werden können.
Das heißt der Anwender müsste sie dann jedesmal wieder neu in die Domane ein und ausbinden.


Was leitet dich denn zu dieser falschen Annahme ?

Gruß und viel Erfolg !

www.ServerHowTo.de - Das MCSEboard.de HowTo Projekt ist online!


#7 Sunny61

Sunny61

    Expert Member

  • 22.089 Beiträge

 

Geschrieben 08. Dezember 2010 - 11:54

Es ist ein Netzwerk aus Laptops bei dem definitiv der Anwender
Administrator bleibt. (Auch wenn ich es nicht besonders klug finde)


Das kannst Du über Gruppenrichtlinien steuern.

Die Laptops müssen auch ausserhalb dieses Netzwerkes eingesetzt werden können. Das heißt der Anwender müsste sie dann jedesmal wieder neu in die
Domane ein und ausbinden.


Das geht selbstverständlich auch als Domain Member. Und nein, es muß nicht jedesmal irgendwas verändert werden. Stichwort Cached Credentials hilft beim suchen.

Auserdem muss gewärleistet sein, dass der Nutzer
jederzeit seine kompletten Netzwerkeinstellungen verändern kann (klar geht auch über GPO).


Genau, regelt man über eine GPO.

Es muss aber auch gewäleistet sein das jeder Zeit jemand einen absolut unbekanten Laptop mitbringt sich einsteckt und die Netzwerkadresse usw. per DHCP bekommt und eben kein Zugriff auf den Fileserver hat. Maximal, wenn man ihm gewollt das Passwort nennt und ihn freischaltet.


Auch das geht mit einer Domain. Dem DHCP-Server ist es egal wer kommt, der vergibt standardmäßig jedem Client eine Adresse.

Das Passwort will ich eigentlich nur verstecken damit man es sich als fremder nicht mal eben abgucken kann. Die Leute die Tagtäglich damit arbeiten werden es sowieso kennen.


Das macht man nicht.
Gruppenrichtlinien: http://www.gruppenrichtlinien.de/

#8 Grisu1982

Grisu1982

    Newbie

  • 11 Beiträge

 

Geschrieben 08. Dezember 2010 - 12:11

Ich habs jetzt über C# gelöst.

Das ganze geht auch versteckt nim Hintergrund.

/// <summary>
/// Disconnects a network drive
/// </summary>
/// <param name="drive">Drive (z.B. L: )</param>
private void MapNetworkDriveDisconnect(string drive)
{
Process p = new Process();
p.StartInfo.FileName = "net";
p.StartInfo.Arguments = string.Format("use {0} /DELETE", drive);
p.StartInfo.UseShellExecute = false;
p.Start();
}
/// <summary>
/// Connects a network drive
/// </summary>
/// <param name="drive">The drive letter (e.g. L: )</param>
/// <param name="server">The UNC path to the remote drive (e.g. \\MyServer\MyPrinter)</param>
/// <param name="user">The User</param>
/// <param name="password">The Password Used For Login</param>
private void MapNetworkDriveConnect(string drive, string server, string user, string password)
{
Process p = new Process();
p.StartInfo.FileName = "net";
p.StartInfo.Arguments = string.Format("use {0} {1} /user:{2} {3}", drive, server, user, password);
p.StartInfo.UseShellExecute = false;
p.Start();
}


Klar ist eine Domain im Standartfall besser aber hier ist es leider ein Sonderfall wo ich es wirklich nicht anders machen kann. Vorallem vor allem weil es noch einige Ausfallebenen gibt bei dem das Netz auch ohne Domaincontroller laufen muss. Auserdem für einen EDV versierten User, ist es kein Problem mit unterschiedlichen Profielen zu arbeiten. (lokal + Domain) aber für einen Schlosser, Becker usw. Nachts um drei halb verschlafen ist das ein Problem.

#9 Cybquest

Cybquest

    Expert Member

  • 1.882 Beiträge

 

Geschrieben 08. Dezember 2010 - 12:34

Na ja, also wenn's nur drum geht, dass man die Scriptausführung nicht offen sieht, tät's auch jedes Mini-VBS-Script oder eine Batch-Ausführung mittels START /MIN oder so...

Darf ich raten: Du hattest noch nie mit einer Domäne zu tun?
My name is Frank, you can say you to me.

#10 Dukel

Dukel

    Board Veteran

  • 9.244 Beiträge

 

Geschrieben 08. Dezember 2010 - 12:36

Wenn man es richtig macht funktioniert das Netzwerk Zeitweise auch ohne DC (siehe Notebooks).
Wozu sollte man 2 Profile benötigen? Wenn eine Domäne steht nutzt man nur noch das Domänenprofil.

#11 Grisu1982

Grisu1982

    Newbie

  • 11 Beiträge

 

Geschrieben 08. Dezember 2010 - 13:00

Ich hab schon einige Netzwerke mit Domanen gebaut.
Bis jetzt auf Windows 2003 Sever. In diesem Fall auf eine Domain
zu verzichten hat schon seinen Grund. Ansteuerung von Messgeräten,
die Server sind alle bis sie gebraut werden AUS da das Netzwerk in einem Auto durch die gegend fährt. Erkläre einem nicht Iler der von Beruf Becker ist
und das ganze bedienen soll, erstmal wie er das ganze Netzwerk hochfärt.
Was ist wenn aufgrund der Ausgeschalteten Rechnern die Systemzeiten extrem Stark abweichen die SIDs nicht mehr stimmen usw....


Deswegen ist das ganze so einfach wie möglich gehalten.

#12 Sunny61

Sunny61

    Expert Member

  • 22.089 Beiträge

 

Geschrieben 08. Dezember 2010 - 18:39

Auserdem für einen EDV versierten User, ist es kein Problem mit unterschiedlichen Profielen zu arbeiten. (lokal + Domain) aber für einen Schlosser, Becker usw. Nachts um drei halb verschlafen ist das ein Problem.


Er kann auch Offline das Domain Profil verwenden. Nochmal zum mitschreiben: Cached Credtials ist das Stichwort zur Suche in der MS-KB.
Gruppenrichtlinien: http://www.gruppenrichtlinien.de/

#13 Sunny61

Sunny61

    Expert Member

  • 22.089 Beiträge

 

Geschrieben 08. Dezember 2010 - 18:40

I
Was ist wenn aufgrund der Ausgeschalteten Rechnern die Systemzeiten extrem Stark abweichen die SIDs nicht mehr stimmen usw....


Bei so viel fehlenden Grundlagenwissen solltest Du besser keine Domain erstellen/installieren/administrieren.
Gruppenrichtlinien: http://www.gruppenrichtlinien.de/

#14 Grisu1982

Grisu1982

    Newbie

  • 11 Beiträge

 

Geschrieben 09. Dezember 2010 - 12:20

Was nützt dir eine Domain, wenn der Benutzer sich nicht mehr anmelden kann,
weil die Systemzeiten zuweit auseinander laufen und somit der Onkel Kerberos
nicht mehr mitspielt.

Ausderdem kommen in dem Netz NT4.0, Vista und Windows 7 Maschienen zum Einsatz. Das wäre dann besonders spaßig in einer Domain unter einen Hut zu bekommen.:D

Darauf, welche Betriebssysteme zum Einsatz kommen, habe ich leider auch keinen Einfluss. Wenn der Hersteller eines 200€ teuren Messgerät sagt es läuft nur mit NT4.0 dann ist es so.... Wenn ich ganz extrem Pesch hab kommt demnächst noch DOS6.22 zum Einsatz.:rolleyes:

Und ich denke nach einem Wirtschaftsinformatik Studium mit CCNA dürfte
ich genung Grundwissen haben. :D

#15 Dr.Melzer

Dr.Melzer

    Moderator

  • 26.221 Beiträge

 

Geschrieben 09. Dezember 2010 - 12:25

Und ich denke nach einem Wirtschaftsinformatik Studium mit CCNA dürfte
ich genung Grundwissen haben. :D


Was hat ein Studium der Wirtschaftsinformatik und ein CCNA mit dem Wissen um Windows Domänen zu tun?

Was du hier schreibst deutet darauf hin dass du eben nicht genug Grundwissen dafür hast...
Never argue with an idíot, they drag you down to their level and beat you with experience!