perren

Regkeys gesetzt, Server neu gestartet, Client neu gestartet: Immer noch Passwortabfrage,

Danke Zahni, ich werde das testen.

Ich möchte ab dringend von diesem Vorgehen abraten. Diese Funktion ist aus gutem Grund deaktiviert.

Stichworte? Falls es Gründe sind, die bspw. schwer absehbare technische- oder Berechtigungsfallen zur Folge haben, interessiert mich das. Soziale Dinge oder GMP/Revisionsbezogene Sachen jetzt weniger.

Vielleicht eine dumme Frage: Hilft diese TechNet-Seite evtl. weiter?

Danke, leider hilft es nicht. Nach 2 Minuten Wartezeit erscheint mir wieder das Anmeldefenster :( Ich habe mal die Erklärung zu der lokalen Richtlinie hier reinkopiert.

Netzwerkzugriff: Die Verwendung von "Jeder"-Berechtigungen für anonyme Benutzer ermöglichen

 

Diese Sicherheitseinstellung bestimmt, welche zusätzlichen Berechtigungen für anonyme Verbindungen mit dem Computer gewährt werden.

 

Windows ermöglicht anonymen Benutzern die Ausführung bestimmter Aktivitäten, z. B. das Aufzählen der Namen von Domänenkonten und Netzwerkfreigaben. Dies ist z. B. zweckmäßig, wenn ein Administrator Benutzern in einer vertrauten Domäne ohne gegenseitige Vertrauensstellung Zugriff gewähren möchte. Die SID von "Jeder" wird standardmäßig aus dem für anonyme Verbindungen erstellten Token entfernt. Daher gelten die der Gruppe "Jeder" gewährten Berechtigungen nicht für anonyme Benutzer. Wenn diese Option eingestellt ist, können anonyme Benutzer nur auf die Ressourcen zugreifen, für die ihnen explizit Berechtigungen erteilt wurden.

 

Wenn diese Richtlinie aktiviert ist, wird die SID von "Jeder" dem für anonyme Verbindungen erstellten Token hinzugefügt. In diesem Fall können anonyme Benutzer auf alle Ressourcen zugreifen, für die der Gruppe "Jeder" Berechtigungen gewährt wurden.

 

Standardeinstellung: Deaktiviert

Mit Workgroups habe ich in der Beziehung keine Erfahrung... Deiner Anmerkung entnehme ich, dass Windows immer versucht, einen nicht eindeutigen Benutzernamen vorrangibg mit "ZIEL\Benutzername" zu ergänzen? (Mit Ziel=Workgroup oder Domainname). Danke...

?!? Ich meine, es ist mir unverständlich, dass jemand mit anderer SID, also ein völlig anderer Nutzer, aber gleichem Passwort, auf dieselbe Ressource zugreifen kann. So doof kann Windows aber eigentlich nicht sein ;) Meine Vermutung ist aber, dass ich in dem Moment, wo ich alles auf dem Share machen durfte, in Wirklichkeit nicht als der lokale Administrator, sondern als der Domänenadmin unterwegs war. Also Windows intern den Administrator auf contoso\administrator ergänzt hat. Alles Vermutungen.

Hallo,

ich will erreichen, dass XP-Clients, die nicht Mitglied der Domäne sind, auf ein Share zugreifen können, ohne Benutzername und Passwort zu haben. Ich dachte, diese Spezialidentität "ANONYMOUS-ANMELDUNG" sei dafür das Mittel der Wahl. Also habe ich sowohl auf das Share als auch in der ACL dieses mit Lesen berechtigt.

Trotzdem erscheint beim Client ein Passwortdialog beim Aufruf der Freigabe: Warum?

Danke

Michael

EDIT: Es gibt dann noch die lokale Sicherheitsrichtlinie "Netzwerkzugriff: Freigaben, auf die anonym zugegriffen werden kann" auf dem Client, jedoch nützt es auch nichts. Nach gefühlten 2 Minuten Bedenkzeit (wo kommen bloß die verfluchten Netzwerktimeouts immer her) meldet sich wieder ein Anmeldefenster.

EDIT2: Thema ist aus Versehen falsch gewählt. Es geht um W2K8R2

Ja! Ist meine Testumgebung, wo alle dasselbe Passwort haben... Aber die User haben doch andere SIDs, das wäre ja irgendwie der Hammer. Oder?

EDIT: Auf jeden Fall löst Deine Frage das Problem, danke schon mal.

Hallo,

wie kann das nur sein? Ich finde die Quelle einer Berechtigung nicht.

Server01: W2K8R2

- c:\homes\ mit Userverzeichnissen darunter

- c:\homes\ ist als "homes" freigegeben.

Gleich zu den ACLs: Die Vererbung aus c:\ wurde gestoppt und nicht dort hineingenommen. Ab c:\homes\ habe ich jetzt zu Testzwecken nur noch Domänen-Administratoren berechtigt und dies hineinvererbt. Domänen-Admins haben nur "CN=Administrator,CN=Users,DC=contoso,DC=com" als Member.

XP-Client:

- Anmeldung als lokaler Administrator -definitiv!

- \\server01\homes\ ->> der lokale Administrator kann da schalten und walten wie er will?! Er kann sogar alles löschen.

- Der lokale Administrator ist Mitglied der lokalen Gruppe "Administratoren" - mehr nicht.

Vielleicht kann mir jemand den richtigen Weg weisen :) Oder habe ich etwas nicht verstanden?

Danke,

Michael

Wie dort geschriebn, kannst Du ab Windows 2000 die "deep share implementation" benutzen. Natürlich solltest Du trotzdem den User auf seinem Unterverzeichnis entsprechend berechtigen. Sonst könnten andere Benutzer darauf Zugriff erlangen. Die Berechtigungen kannst Du natürlich erst vergeben, wenn die Benutzer angelegt sind.

Und die Benutzereigenschaft "Basisverzeichnis" beim Benutzerobjekt kann ich wiederum erst setzen, wenn das Verzeichnis angelegt ist :( - zumindest in der GUI. Wie es mit dsmod aussieht, weiß ich gerade nicht...

Ich glaube, ich suche wieder Netware ;) Da ist es so, dass ich einen User anlege, darin den Weg zum übergeordneten Homeverzeichnis weise, und es legt dann einen Unterordner für den User an, samt korrekten Berechtigungen.

Chrome schaue ich mir skeptisch an, da mir die Datenkracke Google zu sehr implementiert ist.

Wenn Du einen ganz genauen Blick auf Chrome wirfst wirst Du feststellen, dass das ein Browser ist :) meinjanur,

Michael

Hallo Zahni, danke für die Antwort,

Normalerweise wird Homepath nicht befüllt, sondern enthält ein "\". Ist zumindest hier so.[ Schau mal hier, was unter "Windows 2000" steht: %HOMEPATH% and %HOMESHARE% Variables Are Resolved Incorrectly

Relevant ist "homedrive" und "Homeshare".

Mit den Daten wird automatisch ein "net use" gemacht.

Ich stelle mir gerade die Situation "100 Leute anlegen mit Basisverzeichnis" vor. Muss ich tatsächlich vor der Nutzererstellung: über ein Skript nicht nur alle Basisverzeichnisse anlegen, sondern diese auch individuell berechtigen?

Die Varibalen dürfen sleber natürlich nicht mit eine Variablen befüllt werden. Die Vorgabe in der GUI ist nur eine Ausfüllhilfe für das Formular und wird durch den jeweiligen Usernamen ersetzt.

Klar.

Hallo,

und vielen Dank für Deine Gegenfragen.

- woher weist Du, das "70-640" Dich das fragt ?

Das Buch "Konfigurieren von Windows Server 2008 Active Directory - Original Microsoft Training für Examen 70-640, m. 2 CD-ROMs: Praktisches Selbststudium und Prüfungsvorbereitung [Gebundene Ausgabe]" verlangt das Setzen von Basisverzeichnissen in einer Übungsaufgabe.

- Warum kann der Username keine Freigabe sein ?

Stimmt, er kann es. Macht man ("man" im Sinne von best practice) bestimmt nicht so, oder? (Also 1000 User, 1000 Shares ;))

- Was dei ganzen Variablen (%xxx%) damit zu tun haben sollen, ist mir ein Rätsel

- Zur Erinnerung: Du hast schon einen ähnlichen Thread: https://www.mcseboard.de/windows-server-forum-78/dsadd-user-hmdir-username-aufgeloest-170872.html

Na ja, da gehts darum, dass dsadd nicht wie erwartet funktioniert.

Um hier im 70-640-Buch weiterzukommen habe ich nun halt Hand angelegt. Ein "Homes"-Verzeichnis angelegt, freigegeben, die User-Verzeichnisse von Hand angelegt, diese berechtigt und dann das "Basisverzeichnis" in den Userobjekten gesetzt.

Gerade der Punkt "Verzeichnisse von Hand anlegen und berechtigen" macht mich stutzig. Für mehrere Nutzer müsste man das ja dann skripten.

Hallo,

70-640 verlangt von mir, mittels GUI den Basisordner für 3 User zu befüllen. Basisordner, das ist doch der, wohin "%homedir% auf dem Client zeigt, richtig?

"\\server01\%username%\documents". Da fehlt mir schon mal ein Freigabename. Nun, ich könnte ja c:\users\ auf dem Server als "users" freigeben und dann das Basisverzeichnis auf \\server01\users\%username%\documents zeigen lassen.

Ich glaube aber, so ein Basisverzeichnis nimmt man nicht, um es auf etwas im Client- oder Serverseitigen %userprofile% zeigen zu lassen, sondern einen anderen Netzlaufwerk, oder?

"Documents" aber muss doch auch erstmal existieren, bevor ich das als Basisverzeichnis beim User eintragen kann und jetzt frage ich mich natürlich, ob ich irgendwas grundsätzlich nicht ganz verstanden habe. Denn angenommen, ich wollte mittels Batch einen ganzen Haufen User mit diesem Attribut anlegen, müsste ich vorher ja die Basisverzeichnisse erstmal anlegen, richtig?

Ich hoffe ich rede nicht zu wirr :)

Ist das folgende Korrekt?

- Basisverzeichnis = %homedir%

- == das, wo halt Applikationen idR per Default hinschreiben

- wg. Backup usw. wählt man Netzlaufwerk

- in der Form \\server\share[\folder]

- muss vor dem User anlegen da sein

Danke!

EDIT: Ich glaube, statt %homedir% meine ich %homepath%.

Danke für den Hinweis. DNS ist auch ein Thema, in das man sich gut einarbeiten sollte; ich werde mir mal das MS-Press-Buch zu 70-642 auch kaufen und es mit zu Rate ziehen. Ich kann mir dann ja immer noch überlegen, ob ich erst 640 oder 642 prüfen lassen will.

Außerdem hat es sich als günstig erwiesen, erst die 642 zu absolvieren.

Kannst Du das begründen? Ich dachte, 70-640 sei relativ unabhängig davon...

Gibts. HP EliteBook 8540w -> 16 GB RAM mit 4 mal 4 GB RAM.

4 Bänke gibts öfter, klar. Ich meinte es so: "hoffentlich wird es ... Speicherriegel mit 8 GB oder mehr geben". Also ein Modul mit 8 GB...

Was heißt "mit zweitem PC getestet"? Auch von außen? Oder hast Du da vom LAN aus angegriffen?

Du musst schon Details vom Router hier angeben, NATed er korrekt zum Server? Was sagt evt. Telnet von innen und von außen? Ausserdem würde ich den Dienst nicht an das externe Interface hängen, sondern da openssl/ein VPN dazwischenpacken (nicht ganz trivial).

Danke Euch. Ein Faß aufzumachen ist hier nicht nötig. Es hätte ja sein können, dass es allgemein zugängliche und vielleicht leicht anonymisierte Listen bei MS gibt, deswegen meine Frage.

Wenn es aber um Mitbewerber und sozusagen "Amtsanmaßung" ginge, wäre die Sache eine andere :D

Du hast noch nie einen Exchange 2007/2010 im Betrieb gesehen, oder? ;)

So isses, ist nicht in meinem "Portfolio" ;)

Ach ja, adminpak, ich entsinne mich :) Danke, Yusuf.

Dass es anders geht, ist mir schon klar. In der Prüfungsvorbereitung habe ich aber sozusagen "akademisches Interesse", dass etwas funktioniert.

Hallo,

ich habe gelegentlich mit jemandem zu tun, der von einer bekannten deutschen Firma, sagen wir mal "abgestellt" wurde, kurz vor der Rente. Er hat primär keine IT-Aufgaben, nervt mich aber immer mit irgendwelchem pseudoschlauen Quatsch.

In seinen Ausdrucken ist immer ein MCSE-Logo, jedoch (und ich bin normalerweise nicht mißgünstig! Habe schon viele fähige Leute kennengelernt, weit weg vom Klischee "Turnschuhadmin") hat er meiner Meinung nach zumindest eine komische Vorstellung von den Dingen. Will für Trafficsteuerung und Contentfilterung Zonealarm auf Clients installieren (also wenn WWW filtern mache ich natürlich wenn überhaupt auf dem Squid); steht total auf ccleaner und so Tuning-Zeugs. Also das ist echt nicht mein Umgang. Vielleicht bin ich ja auch altmodisch, aber mein Ansatz ist immer "so nah an der Hardware wie möglich, so wenig komplex wie möglich, so viele Bordmittel wie möglich".

Ob und was Zertifikate bedeuten, ist natürlich höchst unterschiedlich, soviel ist klar. Jetzt interessiert mich aber schon, ob sich nachvollziehen lässt, ob jemand tatsächlich Zertifikate bekommen hat. Lässt es sich nachvollziehen?-)

Danke

Micha

Ich bin beinahe schockiert, aber nicht verwundert... Liegts am Exchange-Server, dass die Mindestanforderungen so hoch sind? Ich habe ja eine Testumgebung mit Win2K8 R2 in einer VM; dieser kommt (zunächst mal) so mit einem GB RAM aus.

Sehr ernüchternd, die Mindestanforderungen. Hoffentlich wirds in Zukunft noch Speicherriegel für Notebooks mit 8 oder mehr GBs geben (ich habe nur zwei Bänke) :)

Hallo,

prinzipiell müsste es doch möglich sein, o.g. Befehle auf einem Client zu starten, wenn sie vorhanden wären. Man könnte bspw. ja auf die Idee kommen, Erzeugung von irgendwelchen Queries über das AD zu delegieren. Man will ja vielleicht nicht, dass jemand, der die Aufgabe bekommt, aber an einem Client sitzt, entsprechend einer Rechte Userobjekte einzeln in der mmc aufruft und von Hand aufschreibt ;)

Was ist hier eigentlich best practise? Verlangen solche Vorhaben unbedingt eine interaktive/Remote-Desktop-Anmeldung auf dem Server? Auch einen Denkfehler meinerseits schließe ich nicht aus.

Danke!

Micha

Warum willst Du bei hmdir eine Variable übergeben ?

Trage doch einfach das Gleiche wie bei samid ein.

Gerade beim Scripting ist das doch interessant. Man kann ja mit dsquery einen Haufen User finden und mit einer Pipe zum Beispiel in dsmod reinbringen. Stellt Euch vor, Ihr wolltet zum Beispiel für alle User einer OU die E-Mailadresse ändern und bräuchtet sowas wie $username$@neuemaildomain.

Ja @Dunkelmann, bei %username% hätte ich auch gedacht, dass der User des aktuellen Kontextes genommen wird. Komischerweise aber nicht. Ich bin in einer Powershell und wie beschrieben steht als Ergebnis dann im Userobjekt in der GUI auch %username% so da drin.