Jump to content
Sign in to follow this  
Grisu1982

Passwort in Anmeldescript verstecken.

Recommended Posts

Hallo zusammen,

ich habe mal wieder ein kleines Problem.

Ich soll ein kleines Netzwerk aufbauen mit 5 Clients und einem

Windows 2008 Server als reinen Fileserver.

 

Die Forderung ist, dass KEINE Domane eingerichtet wird.

Derzeit verbinde ich also die Freigaben per BAT Skript im Autostart.

 

Das Problem ist nur, das beim ablaufen des Skript natürlich kurz

das Passwort in Klartext zu sehen ist. Ich habe mal gehört das es

möglich wäre, dass Passwort irgentwie zu verschlüsseln. Also als

md5 oder Array. Klar soo sicher ist es auch nicht. Wenn man sich auskennt

könnte man es auch wieder zurückwandeln, aber es steht dann zumindest nicht direkt in Klartext auf dem Bildschirm.:rolleyes:

 

Ich hab mir jetzt schon die Finger wund gegoogelt aber nichts gefunden.

 

Kennt da jemand eine Möglichkeit oder hat jemand eine andere Idee?

 

Danke

Share this post


Link to post

Guten Morgen,

 

zweierlei:

 

1. Mach eine Domäne. Wirklich. Auch bei 5 Clients. Die Administration wird erheblich einfacher als bei einer zusammengeschusterten Arbeitsgruppe.

 

2. Wenn du wirklich keine Domäne willst (tu's trotzdem ;) ) dann lege die Benutzer der Clients gleichlautend auf dem Server an und definiere die Freigaben entsprechend. Dann brauchst du keine Passwörter im Login-Script. Denn jemand der Google bedienen kann wird sich das Passwort früher oder später aus der Batch rausholen, egal ob irgendwie maskiert oder nicht.

Share this post


Link to post

Danke schonmal.

Ich würde ja auch soooo gerne eine Domane anlegen.:)

Ich hätte dann garantiert einige Probleme weniger. Aber

es besteht eben die Vorderung es ohne Domane zu machen.

 

Es ist ein Netzwerk aus Laptops bei dem definitiv der Anwender

Administrator bleibt. (Auch wenn ich es nicht besonders klug finde)

 

Die Laptops müssen auch ausserhalb dieses Netzwerkes eingesetzt werden können. Das heißt der Anwender müsste sie dann jedesmal wieder neu in die

Domane ein und ausbinden. Auserdem muss gewärleistet sein, dass der Nutzer

jederzeit seine kompletten Netzwerkeinstellungen verändern kann (klar geht auch über GPO).

 

Es muss aber auch gewäleistet sein das jeder Zeit jemand einen absolut unbekanten Laptop mitbringt sich einsteckt und die Netzwerkadresse usw. per DHCP bekommt und eben kein Zugriff auf den Fileserver hat. Maximal, wenn man ihm gewollt das Passwort nennt und ihn freischaltet.

 

Die sicherheit stelle ich derzeit zusätzlich noch einmal mit einer IPtables Firewall sicher mit 4 Netzbereichen. Es handelt sich hier auch nicht um ein standart Büronetzwerk sondern eher um ein mobieles Physikalisches Messlabor.

 

Das Passwort will ich eigentlich nur verstecken damit man es sich als fremder nicht mal eben abgucken kann. Die Leute die Tagtäglich damit arbeiten werden es sowieso kennen.

Share this post


Link to post
Danke schonmal.

Ich würde ja auch soooo gerne eine Domane anlegen.:)

Ich hätte dann garantiert einige Probleme weniger. Aber

es besteht eben die Vorderung es ohne Domane zu machen.

 

Dann überzeuge den Verantwortlichen, es mit Domäne zu machen.

 

Es ist ein Netzwerk aus Laptops bei dem definitiv der Anwender

Administrator bleibt. (Auch wenn ich es nicht besonders klug finde).

 

Du hast recht, ist nicht sonderlich erheblich. Allerdings kann ein Domänenbenutzer durchaus gleichzeitig lokaler Administrator sein.

 

Die Laptops müssen auch ausserhalb dieses Netzwerkes eingesetzt werden können. Das heißt der Anwender müsste sie dann jedesmal wieder neu in die

Domane ein und ausbinden. Auserdem muss gewärleistet sein, dass der Nutzer

jederzeit seine kompletten Netzwerkeinstellungen verändern kann (klar geht auch über GPO).

 

Die Neueinbindung ist nicht nötig, die Notebooks können auch ausserhalb der Domäne betrieben werden. Als lokaler Admin kann der User ausserdem seine Netzwerkeinstellungen selbst verändern.

 

Es muss aber auch gewäleistet sein das jeder Zeit jemand einen absolut unbekanten Laptop mitbringt sich einsteckt und die Netzwerkadresse usw. per DHCP bekommt und eben kein Zugriff auf den Fileserver hat. Maximal, wenn man ihm gewollt das Passwort nennt und ihn freischaltet.

 

Auch kein Problem, mit dem Windows DHCP kannst du das regeln.

Entsprechende Berechtigungen auf dem Server tun ihr übriges dazu.

 

Das Passwort will ich eigentlich nur verstecken damit man es sich als fremder nicht mal eben abgucken kann. Die Leute die Tagtäglich damit arbeiten werden es sowieso kennen.

 

Dazu verweise ich nochmal auf das Anlegen der User auf dem Server, das ich in meiner ersten Antwort schon genannt habe.

Share this post


Link to post

Die Laptops müssen auch ausserhalb dieses Netzwerkes eingesetzt werden können.

Das heißt der Anwender müsste sie dann jedesmal wieder neu in die Domane ein und ausbinden.

 

Was leitet dich denn zu dieser falschen Annahme ?

Share this post


Link to post

Es ist ein Netzwerk aus Laptops bei dem definitiv der Anwender

Administrator bleibt. (Auch wenn ich es nicht besonders klug finde)

 

Das kannst Du über Gruppenrichtlinien steuern.

 

Die Laptops müssen auch ausserhalb dieses Netzwerkes eingesetzt werden können. Das heißt der Anwender müsste sie dann jedesmal wieder neu in die

Domane ein und ausbinden.

 

Das geht selbstverständlich auch als Domain Member. Und nein, es muß nicht jedesmal irgendwas verändert werden. Stichwort Cached Credentials hilft beim suchen.

 

Auserdem muss gewärleistet sein, dass der Nutzer

jederzeit seine kompletten Netzwerkeinstellungen verändern kann (klar geht auch über GPO).

 

Genau, regelt man über eine GPO.

 

Es muss aber auch gewäleistet sein das jeder Zeit jemand einen absolut unbekanten Laptop mitbringt sich einsteckt und die Netzwerkadresse usw. per DHCP bekommt und eben kein Zugriff auf den Fileserver hat. Maximal, wenn man ihm gewollt das Passwort nennt und ihn freischaltet.

 

Auch das geht mit einer Domain. Dem DHCP-Server ist es egal wer kommt, der vergibt standardmäßig jedem Client eine Adresse.

 

Das Passwort will ich eigentlich nur verstecken damit man es sich als fremder nicht mal eben abgucken kann. Die Leute die Tagtäglich damit arbeiten werden es sowieso kennen.

 

Das macht man nicht.

Share this post


Link to post

Ich habs jetzt über C# gelöst.

 

Das ganze geht auch versteckt nim Hintergrund.

 

/// <summary>

/// Disconnects a network drive

/// </summary>

/// <param name="drive">Drive (z.B. L: )</param>

private void MapNetworkDriveDisconnect(string drive)

{

Process p = new Process();

p.StartInfo.FileName = "net";

p.StartInfo.Arguments = string.Format("use {0} /DELETE", drive);

p.StartInfo.UseShellExecute = false;

p.Start();

}

/// <summary>

/// Connects a network drive

/// </summary>

/// <param name="drive">The drive letter (e.g. L: )</param>

/// <param name="server">The UNC path to the remote drive (e.g. \\MyServer\MyPrinter)</param>

/// <param name="user">The User</param>

/// <param name="password">The Password Used For Login</param>

private void MapNetworkDriveConnect(string drive, string server, string user, string password)

{

Process p = new Process();

p.StartInfo.FileName = "net";

p.StartInfo.Arguments = string.Format("use {0} {1} /user:{2} {3}", drive, server, user, password);

p.StartInfo.UseShellExecute = false;

p.Start();

}

 

 

Klar ist eine Domain im Standartfall besser aber hier ist es leider ein Sonderfall wo ich es wirklich nicht anders machen kann. Vorallem vor allem weil es noch einige Ausfallebenen gibt bei dem das Netz auch ohne Domaincontroller laufen muss. Auserdem für einen EDV versierten User, ist es kein Problem mit unterschiedlichen Profielen zu arbeiten. (lokal + Domain) aber für einen Schlosser, Becker usw. Nachts um drei halb verschlafen ist das ein Problem.

Share this post


Link to post

Na ja, also wenn's nur drum geht, dass man die Scriptausführung nicht offen sieht, tät's auch jedes Mini-VBS-Script oder eine Batch-Ausführung mittels START /MIN oder so...

 

Darf ich raten: Du hattest noch nie mit einer Domäne zu tun?

Share this post


Link to post

Wenn man es richtig macht funktioniert das Netzwerk Zeitweise auch ohne DC (siehe Notebooks).

Wozu sollte man 2 Profile benötigen? Wenn eine Domäne steht nutzt man nur noch das Domänenprofil.

Share this post


Link to post

Ich hab schon einige Netzwerke mit Domanen gebaut.

Bis jetzt auf Windows 2003 Sever. In diesem Fall auf eine Domain

zu verzichten hat schon seinen Grund. Ansteuerung von Messgeräten,

die Server sind alle bis sie gebraut werden AUS da das Netzwerk in einem Auto durch die gegend fährt. Erkläre einem nicht Iler der von Beruf Becker ist

und das ganze bedienen soll, erstmal wie er das ganze Netzwerk hochfärt.

Was ist wenn aufgrund der Ausgeschalteten Rechnern die Systemzeiten extrem Stark abweichen die SIDs nicht mehr stimmen usw....

 

 

Deswegen ist das ganze so einfach wie möglich gehalten.

Share this post


Link to post
Auserdem für einen EDV versierten User, ist es kein Problem mit unterschiedlichen Profielen zu arbeiten. (lokal + Domain) aber für einen Schlosser, Becker usw. Nachts um drei halb verschlafen ist das ein Problem.

 

Er kann auch Offline das Domain Profil verwenden. Nochmal zum mitschreiben: Cached Credtials ist das Stichwort zur Suche in der MS-KB.

Share this post


Link to post
I

Was ist wenn aufgrund der Ausgeschalteten Rechnern die Systemzeiten extrem Stark abweichen die SIDs nicht mehr stimmen usw....

 

Bei so viel fehlenden Grundlagenwissen solltest Du besser keine Domain erstellen/installieren/administrieren.

Share this post


Link to post

Was nützt dir eine Domain, wenn der Benutzer sich nicht mehr anmelden kann,

weil die Systemzeiten zuweit auseinander laufen und somit der Onkel Kerberos

nicht mehr mitspielt.

 

Ausderdem kommen in dem Netz NT4.0, Vista und Windows 7 Maschienen zum Einsatz. Das wäre dann besonders spaßig in einer Domain unter einen Hut zu bekommen.:D

 

Darauf, welche Betriebssysteme zum Einsatz kommen, habe ich leider auch keinen Einfluss. Wenn der Hersteller eines 200€ teuren Messgerät sagt es läuft nur mit NT4.0 dann ist es so.... Wenn ich ganz extrem Pesch hab kommt demnächst noch DOS6.22 zum Einsatz.:rolleyes:

 

Und ich denke nach einem Wirtschaftsinformatik Studium mit CCNA dürfte

ich genung Grundwissen haben. :D

Share this post


Link to post
Und ich denke nach einem Wirtschaftsinformatik Studium mit CCNA dürfte

ich genung Grundwissen haben. :D

 

Was hat ein Studium der Wirtschaftsinformatik und ein CCNA mit dem Wissen um Windows Domänen zu tun?

 

Was du hier schreibst deutet darauf hin dass du eben nicht genug Grundwissen dafür hast...

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...