TobiasNYSE 10 Geschrieben 21. April 2006 Melden Teilen Geschrieben 21. April 2006 Hallo, folgendes Szenario: Windows 2000 Server als RAS/VPN Server mit Zertifikatsgestützter (EAP) Einwahl über PPTP. Nun möchte ich mich als Admin zur Fernadministration auf dem Server per VPN einwählen, klappt alles vorbildlich (ping, Namensaüflösung). Kann mich auch per Remote Desktop von meinem heimischen Rechner einloggen. Das problem ist folgendes, ich kann auf keine Freigaben zugreifen (Sie haben keine Berechtigung diese Netzwerk. . . Zugriff verweigert). Ich sehe aber die Domäne mit den Computern/servern und die Freigegebenen Recourcen. Die Benutzerrechte sind soweit alle richtig gesetzt (Bin Domäne-Admin und Benutzer), jetzt kommts, wenn ich einen Ordner für JEDEN Freigebe kann ich diesen auch öffnen :shock: Gibt es da noch eine Richtlinie die da dazwischen Funkt??? Auf jedenfall bin ich dankbar für jegliche Hinweise :) MfG Tobi Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 21. April 2006 Melden Teilen Geschrieben 21. April 2006 Gastkonto aktiv ? Verbinde Dich mal mit dem Server mit einer "Jeder"-Freigabe und schaue auf dem Server mit FSMGMT.MSC, ob Du als Gast authentifiziert wurdest ... Zitieren Link zu diesem Kommentar
Christoph_A4 10 Geschrieben 21. April 2006 Melden Teilen Geschrieben 21. April 2006 Gastkonto aktiv ? Verbinde Dich mal mit dem Server mit einer "Jeder"-Freigabe und schaue auf dem Server mit FSMGMT.MSC, ob Du als Gast authentifiziert wurdest ... Er greift doch als Admin auf die Ressourcen zu, sollte also auch nichts bringen. Zitieren Link zu diesem Kommentar
TobiasNYSE 10 Geschrieben 21. April 2006 Autor Melden Teilen Geschrieben 21. April 2006 Hm, das mit den Sitzungen war nen ganz guter Tipp @IThome, Danke Wenn ich mich über EAP Authentifiziere bzw. über VPN Einwähle wird keine Sitzung mit meinem Benutzernamen eröffnet :shock: Jetzt kommts, wenn ich mich mit Benutzernamen und PW einwähle MS-CHAP wird eine Sitzung geöffnet, und ich kann auch auf die Besagten Ordner zugreifen. Für die EAP Auth. verwende ich ein Benutzerzertifikat, reicht das nicht aus??? Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 21. April 2006 Melden Teilen Geschrieben 21. April 2006 Die DFÜ-Verbindung regelt nicht den Zugriff auf Freigabe, sie öffnet nur das Tor ins Netzwerk, welches dann mit den lokalen Anmeldedaten passiert wird. Ich kann beispielsweise in meiner DFÜ-Verbindung das Adminkonto samt Kennwort eintragen und mich dann einwählen. Deswegen greife ich noch lange nicht als Admin auf Ressourcen zu. Der Zugriff erfolgt über die momentanen, interaktiven Anmeldedaten ... Zitieren Link zu diesem Kommentar
TobiasNYSE 10 Geschrieben 21. April 2006 Autor Melden Teilen Geschrieben 21. April 2006 Hm, na ja so eindeutig ist es leider nicht, denn wenn ich mich mit Benutzernam und Kennwort einwähle, habe ich zumindest auf dem Einwahlserver zugriffsrechte auf recourcen?! (vgl. mit EAP ging das nicht) Aber wie kann ich mich nun zusätzlich authentifizieren um auf die gesamte Domäne zuzugreifen? Nach einem Benutzernamen werden ich ja nicht gefragt. Es gibt doch eine Möglichkeit im UNC Pfad die anmeldedaten mitzugeben, oder? Danke Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 21. April 2006 Melden Teilen Geschrieben 21. April 2006 Als welcher User bist Du denn verbunden, wenn es über die GRuppe Jeder klappt und bist Du Gast oder nicht. Mit welchem User bist Du lokal an der Maschine angemeldet ? Ist dieser Computer Mitglied der Domäne ? Was passiert, wenn Du \\<Server> eingibst ? Siehst Du die Freigaben ? Was passiert, wenn Du dann auf eine Freigabe klickst ? Zitieren Link zu diesem Kommentar
TobiasNYSE 10 Geschrieben 21. April 2006 Autor Melden Teilen Geschrieben 21. April 2006 Also, per VPN habe ich mich mit einem Benutzerkonto, mit adminrechten eingewählt (verwende keine Gastkonten). Der lokale Benutzer mit dem ich bspw. am Notebook angemeldet bin ist ein anderer und ist nicht mitglied der domäne (sollte eigentlich auch so bleiben, ist mein Privates book) Die Freigaben über VPN sehe ich alle, in der Domäne. . . . . . . so, habe das ganze nochmal von zuhause über das Notebook probiert, klappt alles einwandfrei. Das lag sicherlich daran, das ich lokal im netz über wlan verbunden war und die VPN verbindung zum server hergestellt habe. Somit war ich einerseits authentifizierter benutzer auf dem RAS server, allerdings geschah der netzwerkzugriff auf die restlichen recourcen wohl direkt durch´s LAN (nicht über die VPN verbindung) deshalb wurde mir auch der zugriff verweigert (da nicht authent.). So, aber warum es über MS-CHAP geht, und über EAP nicht (VPN zugriff auf domäne recourcen), kann ich mir nocht nicht so richtig erklären. Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 22. April 2006 Melden Teilen Geschrieben 22. April 2006 Hm, ich kann da im Moment keine Brücke schlagen zwischen MS-CHAP und EAP und einem nicht funktionierenden Ressourcenzugriff. Wie schon gesagt, es ist nicht erheblich, welches Konto bei der Einwahl benutzt wird (für die RAS Authentifizierung und Authorisierung natürlich schon). Der Zugriff (Netzwerkanmeldung) erfolgt mit den lokalen Anmeldedaten und nicht mit den DFÜ-Daten. Mit Gastkonto benutzen meinte ich, dass dieses Konto auf dem Server aktiv ist, nicht, dass Du Dich mit diesem Konto einwählst ... Zitieren Link zu diesem Kommentar
TobiasNYSE 10 Geschrieben 22. April 2006 Autor Melden Teilen Geschrieben 22. April 2006 Der Zugriff (Netzwerkanmeldung) erfolgt mit den lokalen Anmeldedaten und nicht mit den DFÜ-Daten. Hm, da muss ich definitiv wiedersprechen, die Praxis sieht anders aus. Auf meinem Notebook bin ich mit den Benutzerdaten bspw. Benutzer-xyz-01 in der Arbeitsgruppe A-Netz angemeldet. Mit diesen Anmeldedaten würde ich in der Domäne kein Zugriff bekommen (kein Benutzer bzw. Computerkonto mit diesen Daten in der Domäne vorh.) Wähle ich mich aber mit den VPN Anmeldedaten per VPN in die Domäne ein (sogar von meinem Privatrechner zuhause), erhalte ich Zugriff auf alle Domänen recourcen. (Ist meiner Meinung ja auch Sinn der Sache, oder ) Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 23. April 2006 Melden Teilen Geschrieben 23. April 2006 Deswegen ja meine Frage, was FSMGMT.MSC auf dem Server anzeigt, auf den Du zugreifst. Dort steht ganz rechts unter "Sitzungen", ob es eine Gastsitzung ist oder nicht (das würde auch das Verhalten erklären, was Du im Zusammenhang mit der Gruppe "Jeder" geschildert hast) und welcher Benutzer die Sitzung hergestellt hat ... Zitieren Link zu diesem Kommentar
TobiasNYSE 10 Geschrieben 23. April 2006 Autor Melden Teilen Geschrieben 23. April 2006 Deine Vermutung ist richtig, hatte das auch schon getestet, einmal leider ohne Ergebnis. Wenn ich über EAP Auth. bin, und auf Recourcen zugreife, wird eine Sitzung mit dem Benutzer GAST eröffnet. (Zur Ergänzung, wenn ich über CHAP eingewählt bin, wird eine Sitzung mit meinem Account eröffnet, welchen ich zur Einwahl verwendet habe, ganz klar :wink2: ) Damit ist das Rätzel der Zugriffsverweigerung gelöst, aber wie kann hier Abhilfe schaffen Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 23. April 2006 Melden Teilen Geschrieben 23. April 2006 Was passiert, wenn Du auf dem Server das Gastkonto deaktivierst ? Ich habe das alles mal nachgestellt, mir ist es weder mit MS-CHAP noch mit EAP gelungen, Zugriff auf den Server zu bekommen, wenn ich lokal mit einem Benutzer angemeldet bin, den es auf dem Server nicht gibt bzw. schon gibt, aber ein anderes Kennwort hat (ich habe bei der DFÜ Verbindung jeweils ein Administratorkonto angegeben bzw. das Zertifikat des Administrators benutzt) ... Zitieren Link zu diesem Kommentar
TobiasNYSE 10 Geschrieben 23. April 2006 Autor Melden Teilen Geschrieben 23. April 2006 Wenn ich das Gastkonto deaktiviere, habe ich per EAP überhaupt keinen Zugriff mehr auf recourcen (kann sie nicht mal mehr sehen) Über MS-CHAP alles wie gehabt, "Vollzugriff" Das Du über CHAP kein Zugriff bekommst liegt vielleicht daran, dass du unter Wähloptionen den Haken bei Windows-Anmeldedomäne einbeziehen nicht gesetzt hast!? Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 23. April 2006 Melden Teilen Geschrieben 23. April 2006 Tatsächlich, Du hast recht, ist der Haken gesetzt, greife ich als User zu, den ich da eingebe. Ich muss zugeben, dass ich das nicht gewusst habe (dass dann die DFÜ-Kennung anstelle der lokalen Kennung benutzt wird). Laut Beschreibung ist dieser Haken nicht gültig, wenn ich mich mit einem Zertifikat authentifizieren lasse, dann wird mit dem lokal angemeldeten Benutzer zugegriffen. Allerdings bekomme ich eine Aufforderung vom Server, einen gültigen Benutzernamen einzugeben, wenn ich mit EAP komme oder bei MS-CHAP der Haken nicht aktiviert ist (Gastkonto ist inaktiv) ... Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.