Small Business Server 2011 - net use

[zapp1000 10]

Hallo Forum,

 

ich verwende folgedes Kommando:

 

net use z: \\192.168.0.100\share /user:DOM/user1 passwd

 

Auch wenn ich statt DOM den String ABC verwende kann ich mich authentifizieren und auf die Daten zugreifen.
In der ACL ist "jeder" herausgenommen und durch eine Gruppe "filesrvusers" ersetzt worden.

 

Woran kann das liegen?

 

Danke und

Lg,

zapp1000

[Sunny61 773]

Ist der / richtig oder nur ein Fehler beim schreiben? Eigentlich müsste das ein \ sein.

[XP-Fan 215]

Hallo,

 

gemeint ist der Schrägstrich zwischen DOM/user1.

[zapp1000 10]

Hallo,

 

richtig ist natürlich:

 

/user:DOM\user1

 

Danke der Nachfrage.

 

LG,

zapp1000

[XP-Fan 215]

Hallo,

 

welchen Fehler bekommst du denn ?

 

Bei net use z: \\192.168.0.100\share kommt eine Benutzer / Passwortabfrage ?

[zapp1000 10]

Ich bekomme keine Fehlermeldung - es funktioniert, auch wenn ich einen Beliebigen String als Domainnamen angebe.
Wieso ist das so?
Das könnte auf eine Sicherheitsloch hindeuten..

 

 

LG,

zap1000

[Dukel 436]

Wieso Sicherheitsloch? Derjenige muss immer noch den Usernamen und das Passwort kennen.

[Sunny61 773]

Ich bekomme keine Fehlermeldung - es funktioniert, auch wenn ich einen Beliebigen String als Domainnamen angebe.

Wieso ist das so?

Das könnte auf eine Sicherheitsloch hindeuten..

Lass doch das PW weg, dann müssen die Benutzer das PW manuell eingeben.

 

Aber weshalb machst Du das überhaupt so? Wenn der angemeldete Benutzer Mitglied der angegebenen Gruppe ist, brauchst Du das mit der Übergabe der Benutzerdaten gar nicht.

[zapp1000 10]

Wir haben keinen einzigen Client in der Domain hängen, wir verwenden den Server nur als Fileserver, DNS, dhcp, wsus usw. Alle Clients hängen in einer seperaten workgroup.

 

Es kommt mir nur extrem seltsam vor, dass man da mit einem beliebigen Domainnamen hineinkommt. Das kenne ich eingentlich nur vom Linux Samba Server - dem ist der Domainname, je nach konfiguration, auch egal. Aber unter Windows habe ich soetwas nicht nie gehabt.

 

Danke und lg

zapp1000

[Sunny61 773]

Was heißt für dich 'hinein'? Wie sehen die Berechtigungen auf der Freigabe aus? Jeder? Die NTFS-Berechtigungen sehen anders aus? Wer ist Mitglied in der Gruppe 'filesrvusers'? Weshalb sind die Clients nicht in der Domain?

 

Kannst Du mit jedem beliebigen Namen auch Dateien löschen/neu erstellen/verschieben?

[zapp1000 10]

Der SBS fungiert bei uns nur als Fileserver - ist deswegen so:

- ich erspare mir eine komplexes Directory service Restore im Fehlerfall

- alle Leute können sich auch langfristig ohne Server am lokalen System authentifizieren

- ich benötige nur ein simples Filesystembackup, kein SystestateBackup oder ähnliches

- der Server lässt sich leichter ersetzen

 

Die Berechtigungen sehen so aus:

Filesharepermissions

- jeder-vollzugriff

ACLpermissions:

- admin-vollzugriff

- filesrvusers-ändern

- system-vollzugriff

 

Jeder Mitarbeiter ist in der Gruppe filesrvusers.

Ich weiss nicht ob ich Daten manipulieren kann - alleine der Zugriff/"Directory Listing" ist schon zuviel und der funktioniert.

 

LG,

zapp1000

bearbeitet 15. Januar 2013 von zapp1000

[zahni 521]

Ein SBS muss (!) Domain Controller  sein. Ansonsten gibt es so lustige Neustarts.

 

Nein, Deine Vorgehensweise  ist nicht  einfacher. Du glaubst es nur. Spätestens wenn Du unterschiedliche Berechtigungen vergeben willst (musst), stehst Du auf dem Schlauch.

 

Wie kommst Du darauf, dass Du den Server einfacher ersetzen kannst ? Deine NTFS-Berechtigungen sind nach einem Servertausch auch weg.

[GuentherH 61]

.. und um beim Beitrag von zahni zu bleiben. Betreibst du den SBS noch immer unter diesen obskuren Bedingungen? - http://www.mcseboard.de/topic/190515-sbs-2011-schaltet-sich-aus/?do=findComment&comment=1178390

 

LG Günther

[iDiddi 27]

Ich bekomme keine Fehlermeldung - es funktioniert, auch wenn ich einen Beliebigen String als Domainnamen angebe.

Wieso ist das so?

 

Wenn ich mich nicht ganz irre, ist die Angabe des Workgroup-Namens hier völlig irrelevant. Die Angabe ist nur bei einer Domäne erforderlich, die bei Dir ja aller Wahrscheinlichkeit nicht existiert. Wen soll Dein Workgroup-Server denn auch nach dem Benutzer fragen, wenn nicht sich selbst? Und da der Benutzer lokal vorhanden ist, prüft er dessen Zugriffsberechtigungen und ignoriert den Workgroup-Namen.

 

 

Das könnte auf eine Sicherheitsloch hindeuten..

 

Wenn Du Dir so viel Sorgen um die Sicherheit machst, dann würde ich mal schleunigst eine Domäne erstellen. Nur mal so zum drüber nach grübeln: Wo, meinst Du, wird denn bei einer Workgroup der Benutzername und das Passwort gespeichert? Und hast Du schon mal was von Kerberos gehört?

 

Über die lizenztechnischen Schwierigkeiten hat man Dich ja schon ausreichend hingewiesen.

bearbeitet 15. Januar 2013 von iDiddi

[zapp1000 10]

Nur mal so zum drüber nach grübeln: Wo, meinst Du, wird denn bei einer Workgroup der Benutzername und das Passwort gespeichert? Und hast Du schon mal was von Kerberos gehört?

Die lokale SAM Datenbank ist auch verschlüsselt.

 

.. und um beim Beitrag von zahni zu bleiben. Betreibst du den SBS noch immer unter diesen obskuren Bedingungen?

Ich habe den Server neu aufgesetzt und er ist ein DC - nur hat er keine Members. DIe User sind Domainusers und bei "Net use" gibt man die Domain an, da die User ja Domainuser sind. Leider ignoriert er dabei eben den (ich glaube Netbios-)Domain Namen.  Bie dom.local wäre es eben "dom". Mit einem Workgroupnamen hat das nichts zu tun.

 

Danke für die zahlreiche Beteiligung.