Automatische Suche nach Domänen-Computern im Explorer vermeiden

[Mantikor 10]

Hallo,

 

ich stehe vor dem Problem, dass in Windows-7-Enterprise-Rechnern beim Öffnen des Explorers alle Computer im Netzwerk (und das sind bei uns 5.000) gesucht und angezeigt werden. Das würde ich gerne aus verschiedenen Gründen (Performance, Sicherheit,...) unterbinden. Leider habe ich dazu noch keinen Hinweis finden können.

 

Ein paar Rahmendaten:

- Standort mit 30 Rechnern und eigener Domäne (EigeneDomäne.org)

- Der eigene Standort hat einen 10er IP-Adressbereich, der zum Konzern passt

- Konzern hat ca. 5000 Rechner und ebenfalls eine eigene Domäne (KonzernDomäne.org) und die restlichen 10er-Adressen des IP-Adressbereiches.

- Im Netzwerk sind hauptsächlich XP-Rechner vertreten

- Das "Problem" (ist wohl eher ein Feature) ist nur an Windows-7-Rechnern sichtbar, die XP-Nutzer haben sich bislang nicht beschwert.

 

 

Habt ihr eine Idee?

[lefg 276]

Hallo,

 

ich habe keinen W7 hier vor Ort; bei XP deaktivierte ich den Dienst Computerbrowser.

[Dunkelmann 96]

Bei uns habe ich das Problem wie folgt gelöst bzw. eingedämmt:

 

WINS wird nicht verwendet, nur DNS.

Auf allen Systemen mit statischen IP Adressen die NetBios Unterstützung deaktiviert.

Auf den DHCP Servern die Bereichsoption "NetBios Deaktivierungsoption" auf "0x2" gesetzt.

 

Zum Deaktivieren von NetBIOS über TCP/IP mithilfe der DHCP-Server-Optionen

 

Seit dem habe ich noch keinen Client oder Server in Finger bekommen, der in der Netzwerkumgebung mehr als sich selbst sieht.

[blub 115]

Hallo,

eine etwas sanftere Methode:

schau mal auf den Clients "net config server" an, ob dort "Server sichtbar" oder "Server unsichtbar" steht. Falls sichtbar, dann auf allen Clients

net config server /hidden:yes

ausführen

 

cu

blub

[Mantikor 10]

Danke für eure Antworten!

Durch die beschriebenen Methoden kann ich zwar vermeiden, dass meine eigenen (also die in EigeneDomäne.org) Rechner angezeigt werden, ich kann jedoch nicht verhindern, dass die 5000 Rechner der Domäne "KonzernDomäne.org" (dort habe ich weder auf die einzelnen Rechner noch auf die DNS-Server Zugriff, kann also auch nichts ändern) angezeigt werden. Habe ich da etwas falsch gemacht?

Gibt es noch andere Lösungsansätze?

[NilsK 2.934]

Moin,

 

ich stehe vor dem Problem, dass in Windows-7-Enterprise-Rechnern beim Öffnen des Explorers alle Computer im Netzwerk (und das sind bei uns 5.000) gesucht und angezeigt werden.

 

was genau meinst du damit? Beim Öffnen des Explorers? Da passiert bei mir nix dergleichen.

 

Beschreibe bitte, was genau abläuft. Sonst kann man die Qualität der Hinweise nicht erhöhen (die in diesem Thread bislang zwischen "nutzlos" und "saugefährlich" changiert).

 

Gruß, Nils

[Dr.Melzer 191]

Sonst kann man die Qualität der Hinweise nicht erhöhen (die in diesem Thread bislang zwischen "nutzlos" und "saugefährlich" changiert).

 

Kannst du bitte genauer darauf eingehen welche der Tipps genau "nutzlos" oder "saugefährlich" sind und warum.

[NilsK 2.934]

Moin,

 

nutzlos: Auf WINS verzichten. Hat mit dem Problem nix zu tun.

Saugefährlich: Rechner einfach mal so verstecken.

Saugefährlich: Einfach mal so NetBios abschalten.

 

Ich hatte schon Kunden, bei denen Applikationen nicht mehr funktionierten, weil ein Admin sich gedacht hat, "net config server /hidden:yes" sei eine tolle Idee.

 

Gruß, Nils

[blub 115]

@Nilsk,

Wenn die Browsingliste zu gross wird, ist "net config server /hidden:yes" durchaus eine tolle Idee. Auch Netbios zu deaktivieren ist häufig sinnvoll.

Ich hoffe ja nciht, dass du ohne Changemanagement "Einfach mal so " deine Systeme veränderst", nur weil du die Änderung als "ungefährlich" einstufst. Das wäre nämlich tatsächlich saugefährlich.

 

@Mantikor, ohne deine Domain / Netzadmins wirst du das Problem nicht lösen können

 

cu

blub

[NilsK 2.934]

Moin,

 

Wenn die Browsingliste zu gross wird, ist "net config server /hidden:yes" durchaus eine tolle Idee. Auch Netbios zu deaktivieren ist häufig sinnvoll.

 

beides unbenommen. Aber nur, wenn Netzwerk und Applikationen das wirklich mitmachen. Und darüber wissen wir im konkreten Falle nix.

 

In vielen realen Netzwerken kann man sich mit diesen beiden Vorschlägen ein echtes Problem einhandeln. Daher finde ich es gefährlich, das ohne nähere Eingrenzung des Problems vorzuschlagen. Wir wissen ja noch nicht mal, wovon der TO eigentlich redet. Bei mir wird beim Öffnen des Explorers jedenfalls kein einziger Netzwerkcomputer gesucht.

 

Nur meine 0,02 EUR.

 

Gruß, Nils

[Mantikor 10]

Mit "Beim Öffnen des Explorers" meine ich, dass ich bei einem Client in "EigeneDomäne.org" den Windows-Explorer öffne. Wenn ich dort auf "netzwerk" klicke, so fängt er an zu suchen und zeigt mir nach und nach 5000 Rechner an, die teilweise aus "EigeneDomäne.org" und teilweise aus "KonzernDomäne.org" stammen.

 

Geht das wirklich nur über's Verstecken?

[NilsK 2.934]

Moin,

 

und warum klickst du auf "Netzwerk"? Was bezweckst du damit? Willst du etwas Bestimmtes tun, oder klickst du "nur so" drauf, und dann dauert es halt lang?

 

Falls Letzteres: Du kannst Netzwerk-I/O seit Vista abbrechen. Ein Druck auf Esc beendet also die Suche. (Sollte er zumindest.)

 

Neben dem Verstecken der Clients - was, wie gesagt, u.U. Nebeneffekte hat, die du erst testen solltest - kannst du in 7 auch die Netzwerkerkennung abschalten (was standardmäßig auch der Fall ist). Dafür gibt es leider keine Policy, aber du kannst es über die Firewall-Einstellungen erreichen (Computer/Windows/Sicherheit/Firewall/Ein- bzw. Ausgehend/Neue Regel, dann Vordefiniert/Netzwerkerkennung).

 

Teste das mal bei Bedarf, sollte eigentlich gehen.

 

Gruß, Nils

[Mantikor 10]

Danke für eure Hilfe!