perren 10 Geschrieben 28. Oktober 2010 Melden Teilen Geschrieben 28. Oktober 2010 (bearbeitet) Hallo, ich will erreichen, dass XP-Clients, die nicht Mitglied der Domäne sind, auf ein Share zugreifen können, ohne Benutzername und Passwort zu haben. Ich dachte, diese Spezialidentität "ANONYMOUS-ANMELDUNG" sei dafür das Mittel der Wahl. Also habe ich sowohl auf das Share als auch in der ACL dieses mit Lesen berechtigt. Trotzdem erscheint beim Client ein Passwortdialog beim Aufruf der Freigabe: Warum? Danke Michael EDIT: Es gibt dann noch die lokale Sicherheitsrichtlinie "Netzwerkzugriff: Freigaben, auf die anonym zugegriffen werden kann" auf dem Client, jedoch nützt es auch nichts. Nach gefühlten 2 Minuten Bedenkzeit (wo kommen bloß die verfluchten Netzwerktimeouts immer her) meldet sich wieder ein Anmeldefenster. EDIT2: Thema ist aus Versehen falsch gewählt. Es geht um W2K8R2 bearbeitet 28. Oktober 2010 von perren Zitieren Link zu diesem Kommentar
Reppy 10 Geschrieben 28. Oktober 2010 Melden Teilen Geschrieben 28. Oktober 2010 Vielleicht eine dumme Frage: Hilft diese TechNet-Seite evtl. weiter? Zitieren Link zu diesem Kommentar
perren 10 Geschrieben 28. Oktober 2010 Autor Melden Teilen Geschrieben 28. Oktober 2010 Vielleicht eine dumme Frage: Hilft diese TechNet-Seite evtl. weiter? Danke, leider hilft es nicht. Nach 2 Minuten Wartezeit erscheint mir wieder das Anmeldefenster :( Ich habe mal die Erklärung zu der lokalen Richtlinie hier reinkopiert. Netzwerkzugriff: Die Verwendung von "Jeder"-Berechtigungen für anonyme Benutzer ermöglichen Diese Sicherheitseinstellung bestimmt, welche zusätzlichen Berechtigungen für anonyme Verbindungen mit dem Computer gewährt werden. Windows ermöglicht anonymen Benutzern die Ausführung bestimmter Aktivitäten, z. B. das Aufzählen der Namen von Domänenkonten und Netzwerkfreigaben. Dies ist z. B. zweckmäßig, wenn ein Administrator Benutzern in einer vertrauten Domäne ohne gegenseitige Vertrauensstellung Zugriff gewähren möchte. Die SID von "Jeder" wird standardmäßig aus dem für anonyme Verbindungen erstellten Token entfernt. Daher gelten die der Gruppe "Jeder" gewährten Berechtigungen nicht für anonyme Benutzer. Wenn diese Option eingestellt ist, können anonyme Benutzer nur auf die Ressourcen zugreifen, für die ihnen explizit Berechtigungen erteilt wurden. Wenn diese Richtlinie aktiviert ist, wird die SID von "Jeder" dem für anonyme Verbindungen erstellten Token hinzugefügt. In diesem Fall können anonyme Benutzer auf alle Ressourcen zugreifen, für die der Gruppe "Jeder" Berechtigungen gewährt wurden. Standardeinstellung: Deaktiviert Zitieren Link zu diesem Kommentar
zahni 562 Geschrieben 28. Oktober 2010 Melden Teilen Geschrieben 28. Oktober 2010 Dafür müssen sog. Null session Shares definiert werden: How to enable null session shares on a Windows 2000-based computer Ob das so unter 2008 R3 noch funktioniert, kann ich nicht sagen. Ich möchte ab dringend von diesem Vorgehen abraten. Diese Funktion ist aus gutem Grund deaktiviert. -Zahni Zitieren Link zu diesem Kommentar
perren 10 Geschrieben 28. Oktober 2010 Autor Melden Teilen Geschrieben 28. Oktober 2010 Danke Zahni, ich werde das testen. Ich möchte ab dringend von diesem Vorgehen abraten. Diese Funktion ist aus gutem Grund deaktiviert. Stichworte? Falls es Gründe sind, die bspw. schwer absehbare technische- oder Berechtigungsfallen zur Folge haben, interessiert mich das. Soziale Dinge oder GMP/Revisionsbezogene Sachen jetzt weniger. Zitieren Link zu diesem Kommentar
Reppy 10 Geschrieben 28. Oktober 2010 Melden Teilen Geschrieben 28. Oktober 2010 Null sessions sind ein 1a Einfallspunkt für's Hacking. :cool: Zitieren Link zu diesem Kommentar
perren 10 Geschrieben 28. Oktober 2010 Autor Melden Teilen Geschrieben 28. Oktober 2010 Regkeys gesetzt, Server neu gestartet, Client neu gestartet: Immer noch Passwortabfrage, Zitieren Link zu diesem Kommentar
zahni 562 Geschrieben 28. Oktober 2010 Melden Teilen Geschrieben 28. Oktober 2010 Nun, ich sagt schon, dass ich nicht weiss, ob das noch funktioniert. Warum sollte ich das auch Testen ? Ist eine Sicherheistlücke und man braucht es nicht. -Zahni Zitieren Link zu diesem Kommentar
perren 10 Geschrieben 28. Oktober 2010 Autor Melden Teilen Geschrieben 28. Oktober 2010 Es verlangt ja niemand, dass Du das testest. Anwendungsfall ist, wenn kein AD da ist. Ich hätte es als Übergangs/Auslagerungslösung in einer Novell-Umgebung (es gibt zwar W2K3/8-Server, aber eben kein AD), die vom Festplattenplatz nicht mehr erweitert werden kann, gebrauchen können (Umstellung auf Windows-AD: Nicht vor Mitte nächsten Jahres). Für die Verlagerung eines großen Haufens Dateien, die jeder im Netzwerk lesen darf. Ob das jetzt schön ist oder nicht, ist eine andere Frage. Nützlich wäre es in diesem speziellen Fall. Wenn auch Behlfslösung. Man muss sich nur über Behelfe und Ausnahmen genau bewusst sein (dokumentiert haben) und sie berücksichtigen. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.