DMZ Ordner share ohne authentifizierung

[spalato]

Hallo,

Ich will auf meinem DMZ Server einen freigegebenen Ordner erstellen auf den ALLE aus dem LAN ohne authentifizierung zugreifen können.

Wenn ich auf dem Server meinen benutzer lokal errichte, brauche ich logischerweise keine authentifizierung aber wenn kein benutzer auf dem server eingerichtet ist, kann ich nicht auf den share ist.

Kann mir da jemand helfen?

vielen dank...

spalato

[IThome]

Das wirst Du mit einem Server nur über das Gastkonto lösen können ... Aber ein aktivierter Gast in der DMZ ?

[spalato]

ich glaube eben nicht.

Habe mal was gehört dass man dies machen kann und wenn ich nun in den lokalen richtlinien schaue dann finde ich folgenden eintrag:

Network Access: Shares that can be accessed anonymously


weis da keiner näher bescheid?

[IThome]

Das sind Shares, auf die anonym zugegriffen wird ... Wenn ein User sich mit einem Share verbindet, ist er nicht anonym ...
Diese Einträge (die sogenannten Nullsession-Shares) kann man via GPO einstellen ...

[spalato]

auch nicht wenn ich in die DMZ zugreife?

aber kannst du mir dann erklären für was dies "Network Access: Shares that can be accessed anonymously" praktisch angewendet werden kann?

[IThome]

Zum Beispiel wenn ein Dienst mit dem lokalen System ausgeführt wird und auf Netzwerkfreigaben zugreifen muss. Ein anderes Beispiel ist der Zugriff auf eine zentral abgespeicherte LMHOSTS-Datei ...

[nerd]

Hi,

was hast du denn genau vor? Vielleicht können wir dir ja dann besser helfen.

Grundsätzlich finde ich es aus Security Sicht keine besonders gute Idee ein Share in der DMZ zu erstellen auf das jeder kommen soll...

(Wie sieht eure Infrastruktur genau aus? Zwei Firewalls und ein Dual Homed Server?, SoHo Firewall mit "DMZ" Port? oder etwas dazwischen?)

Gruß

[spalato]

Ich versuche es euch mal zu erklären.

System: LAN - Firewall mit DMZ Port - DMZ

Ich habe nun einen Pool auf der DMZ auf dem daten sind. Ich habe es so eingerichtet dass ich lokale benutzer auf dem server erstellt habe die gleich heissen wie domänenbenutzer. So muss ich beim share verbinden keinen benutzernamen und PW eingeben.

Nun haben wir aber auch ein selbstentwickeltes programm welches auf diese daten zugrieffen soll und da kann man kein benutzernamen und PW mitgeben. Darum wäre es gut dass ich auf dieses share ohne benutzername und PW zugrieffen kann...

danke für eure hilfe!

[nobex]

Zitat von spalato Nun haben wir aber auch ein selbstentwickeltes programm welches auf diese daten zugrieffen soll und da kann man kein benutzernamen und PW mitgeben. Darum wäre es gut dass ich auf dieses share ohne benutzername und PW zugrieffen kann...

Läuft das Programm als Dienst?
Wenn ja, dann entsprechendes Konto einrichten/anpassen und Dienst unter diesem Konto starten.
Wenn nein (also interaktiv), dann Programm unter angemeldet User mit entspr. Rechten ausführen.
DMZ und anonymer Zugriff = nicht gut

[nerd]

Hi,

sorry wenn ich nur Fragen stelle - aber mir stellen sich bei dem Thema alle Nackenhaare...

Warum steht der Server überhaupt in der DMZ? Sollen da auch externe drauf? Wenn ja gibst du die Daten automatisch auch für ALLE aus dem Internet frei wenn du die authentifizierung des Shares abschaltest!

Gruß