Jump to content

Passwort in Anmeldescript verstecken.

Grisu1982

Von Grisu1982
in Windows Forum — Scripting

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Grisu1982 Explorer

Grisu1982   10

Geschrieben
Geschrieben

Hallo zusammen,

ich habe mal wieder ein kleines Problem.

Ich soll ein kleines Netzwerk aufbauen mit 5 Clients und einem

Windows 2008 Server als reinen Fileserver.

 

Die Forderung ist, dass KEINE Domane eingerichtet wird.

Derzeit verbinde ich also die Freigaben per BAT Skript im Autostart.

 

Das Problem ist nur, das beim ablaufen des Skript natürlich kurz

das Passwort in Klartext zu sehen ist. Ich habe mal gehört das es

möglich wäre, dass Passwort irgentwie zu verschlüsseln. Also als

md5 oder Array. Klar soo sicher ist es auch nicht. Wenn man sich auskennt

könnte man es auch wieder zurückwandeln, aber es steht dann zumindest nicht direkt in Klartext auf dem Bildschirm.:rolleyes:

 

Ich hab mir jetzt schon die Finger wund gegoogelt aber nichts gefunden.

 

Kennt da jemand eine Möglichkeit oder hat jemand eine andere Idee?

 

Danke

Link zu diesem Kommentar
Demented Clown Rising Star

Demented Clown   13

Geschrieben
Geschrieben

Guten Morgen,

 

zweierlei:

 

1. Mach eine Domäne. Wirklich. Auch bei 5 Clients. Die Administration wird erheblich einfacher als bei einer zusammengeschusterten Arbeitsgruppe.

 

2. Wenn du wirklich keine Domäne willst (tu's trotzdem ;) ) dann lege die Benutzer der Clients gleichlautend auf dem Server an und definiere die Freigaben entsprechend. Dann brauchst du keine Passwörter im Login-Script. Denn jemand der Google bedienen kann wird sich das Passwort früher oder später aus der Batch rausholen, egal ob irgendwie maskiert oder nicht.

Link zu diesem Kommentar
Grisu1982 Explorer

Grisu1982   10

Geschrieben
  • Autor
Geschrieben

Danke schonmal.

Ich würde ja auch soooo gerne eine Domane anlegen.:)

Ich hätte dann garantiert einige Probleme weniger. Aber

es besteht eben die Vorderung es ohne Domane zu machen.

 

Es ist ein Netzwerk aus Laptops bei dem definitiv der Anwender

Administrator bleibt. (Auch wenn ich es nicht besonders klug finde)

 

Die Laptops müssen auch ausserhalb dieses Netzwerkes eingesetzt werden können. Das heißt der Anwender müsste sie dann jedesmal wieder neu in die

Domane ein und ausbinden. Auserdem muss gewärleistet sein, dass der Nutzer

jederzeit seine kompletten Netzwerkeinstellungen verändern kann (klar geht auch über GPO).

 

Es muss aber auch gewäleistet sein das jeder Zeit jemand einen absolut unbekanten Laptop mitbringt sich einsteckt und die Netzwerkadresse usw. per DHCP bekommt und eben kein Zugriff auf den Fileserver hat. Maximal, wenn man ihm gewollt das Passwort nennt und ihn freischaltet.

 

Die sicherheit stelle ich derzeit zusätzlich noch einmal mit einer IPtables Firewall sicher mit 4 Netzbereichen. Es handelt sich hier auch nicht um ein standart Büronetzwerk sondern eher um ein mobieles Physikalisches Messlabor.

 

Das Passwort will ich eigentlich nur verstecken damit man es sich als fremder nicht mal eben abgucken kann. Die Leute die Tagtäglich damit arbeiten werden es sowieso kennen.

Link zu diesem Kommentar
Demented Clown Rising Star

Demented Clown   13

Geschrieben
Geschrieben
Danke schonmal.

Ich würde ja auch soooo gerne eine Domane anlegen.:)

Ich hätte dann garantiert einige Probleme weniger. Aber

es besteht eben die Vorderung es ohne Domane zu machen.

 

Dann überzeuge den Verantwortlichen, es mit Domäne zu machen.

 

Es ist ein Netzwerk aus Laptops bei dem definitiv der Anwender

Administrator bleibt. (Auch wenn ich es nicht besonders klug finde).

 

Du hast recht, ist nicht sonderlich erheblich. Allerdings kann ein Domänenbenutzer durchaus gleichzeitig lokaler Administrator sein.

 

Die Laptops müssen auch ausserhalb dieses Netzwerkes eingesetzt werden können. Das heißt der Anwender müsste sie dann jedesmal wieder neu in die

Domane ein und ausbinden. Auserdem muss gewärleistet sein, dass der Nutzer

jederzeit seine kompletten Netzwerkeinstellungen verändern kann (klar geht auch über GPO).

 

Die Neueinbindung ist nicht nötig, die Notebooks können auch ausserhalb der Domäne betrieben werden. Als lokaler Admin kann der User ausserdem seine Netzwerkeinstellungen selbst verändern.

 

Es muss aber auch gewäleistet sein das jeder Zeit jemand einen absolut unbekanten Laptop mitbringt sich einsteckt und die Netzwerkadresse usw. per DHCP bekommt und eben kein Zugriff auf den Fileserver hat. Maximal, wenn man ihm gewollt das Passwort nennt und ihn freischaltet.

 

Auch kein Problem, mit dem Windows DHCP kannst du das regeln.

Entsprechende Berechtigungen auf dem Server tun ihr übriges dazu.

 

Das Passwort will ich eigentlich nur verstecken damit man es sich als fremder nicht mal eben abgucken kann. Die Leute die Tagtäglich damit arbeiten werden es sowieso kennen.

 

Dazu verweise ich nochmal auf das Anlegen der User auf dem Server, das ich in meiner ersten Antwort schon genannt habe.

Link zu diesem Kommentar
Sunny61 Grand Master

Sunny61   806

Geschrieben
Geschrieben

Es ist ein Netzwerk aus Laptops bei dem definitiv der Anwender

Administrator bleibt. (Auch wenn ich es nicht besonders klug finde)

 

Das kannst Du über Gruppenrichtlinien steuern.

 

Die Laptops müssen auch ausserhalb dieses Netzwerkes eingesetzt werden können. Das heißt der Anwender müsste sie dann jedesmal wieder neu in die

Domane ein und ausbinden.

 

Das geht selbstverständlich auch als Domain Member. Und nein, es muß nicht jedesmal irgendwas verändert werden. Stichwort Cached Credentials hilft beim suchen.

 

Auserdem muss gewärleistet sein, dass der Nutzer

jederzeit seine kompletten Netzwerkeinstellungen verändern kann (klar geht auch über GPO).

 

Genau, regelt man über eine GPO.

 

Es muss aber auch gewäleistet sein das jeder Zeit jemand einen absolut unbekanten Laptop mitbringt sich einsteckt und die Netzwerkadresse usw. per DHCP bekommt und eben kein Zugriff auf den Fileserver hat. Maximal, wenn man ihm gewollt das Passwort nennt und ihn freischaltet.

 

Auch das geht mit einer Domain. Dem DHCP-Server ist es egal wer kommt, der vergibt standardmäßig jedem Client eine Adresse.

 

Das Passwort will ich eigentlich nur verstecken damit man es sich als fremder nicht mal eben abgucken kann. Die Leute die Tagtäglich damit arbeiten werden es sowieso kennen.

 

Das macht man nicht.

Link zu diesem Kommentar
Grisu1982 Explorer

Grisu1982   10

Geschrieben
  • Autor
Geschrieben

Ich habs jetzt über C# gelöst.

 

Das ganze geht auch versteckt nim Hintergrund.

 

/// <summary>

/// Disconnects a network drive

/// </summary>

/// <param name="drive">Drive (z.B. L: )</param>

private void MapNetworkDriveDisconnect(string drive)

{

Process p = new Process();

p.StartInfo.FileName = "net";

p.StartInfo.Arguments = string.Format("use {0} /DELETE", drive);

p.StartInfo.UseShellExecute = false;

p.Start();

}

/// <summary>

/// Connects a network drive

/// </summary>

/// <param name="drive">The drive letter (e.g. L: )</param>

/// <param name="server">The UNC path to the remote drive (e.g. \\MyServer\MyPrinter)</param>

/// <param name="user">The User</param>

/// <param name="password">The Password Used For Login</param>

private void MapNetworkDriveConnect(string drive, string server, string user, string password)

{

Process p = new Process();

p.StartInfo.FileName = "net";

p.StartInfo.Arguments = string.Format("use {0} {1} /user:{2} {3}", drive, server, user, password);

p.StartInfo.UseShellExecute = false;

p.Start();

}

 

 

Klar ist eine Domain im Standartfall besser aber hier ist es leider ein Sonderfall wo ich es wirklich nicht anders machen kann. Vorallem vor allem weil es noch einige Ausfallebenen gibt bei dem das Netz auch ohne Domaincontroller laufen muss. Auserdem für einen EDV versierten User, ist es kein Problem mit unterschiedlichen Profielen zu arbeiten. (lokal + Domain) aber für einen Schlosser, Becker usw. Nachts um drei halb verschlafen ist das ein Problem.

Link zu diesem Kommentar
Grisu1982 Explorer

Grisu1982   10

Geschrieben
  • Autor
Geschrieben

Ich hab schon einige Netzwerke mit Domanen gebaut.

Bis jetzt auf Windows 2003 Sever. In diesem Fall auf eine Domain

zu verzichten hat schon seinen Grund. Ansteuerung von Messgeräten,

die Server sind alle bis sie gebraut werden AUS da das Netzwerk in einem Auto durch die gegend fährt. Erkläre einem nicht Iler der von Beruf Becker ist

und das ganze bedienen soll, erstmal wie er das ganze Netzwerk hochfärt.

Was ist wenn aufgrund der Ausgeschalteten Rechnern die Systemzeiten extrem Stark abweichen die SIDs nicht mehr stimmen usw....

 

 

Deswegen ist das ganze so einfach wie möglich gehalten.

Link zu diesem Kommentar
Sunny61 Grand Master

Sunny61   806

Geschrieben
Geschrieben
Auserdem für einen EDV versierten User, ist es kein Problem mit unterschiedlichen Profielen zu arbeiten. (lokal + Domain) aber für einen Schlosser, Becker usw. Nachts um drei halb verschlafen ist das ein Problem.

 

Er kann auch Offline das Domain Profil verwenden. Nochmal zum mitschreiben: Cached Credtials ist das Stichwort zur Suche in der MS-KB.

Link zu diesem Kommentar
Grisu1982 Explorer

Grisu1982   10

Geschrieben
  • Autor
Geschrieben

Was nützt dir eine Domain, wenn der Benutzer sich nicht mehr anmelden kann,

weil die Systemzeiten zuweit auseinander laufen und somit der Onkel Kerberos

nicht mehr mitspielt.

 

Ausderdem kommen in dem Netz NT4.0, Vista und Windows 7 Maschienen zum Einsatz. Das wäre dann besonders spaßig in einer Domain unter einen Hut zu bekommen.:D

 

Darauf, welche Betriebssysteme zum Einsatz kommen, habe ich leider auch keinen Einfluss. Wenn der Hersteller eines 200€ teuren Messgerät sagt es läuft nur mit NT4.0 dann ist es so.... Wenn ich ganz extrem Pesch hab kommt demnächst noch DOS6.22 zum Einsatz.:rolleyes:

 

Und ich denke nach einem Wirtschaftsinformatik Studium mit CCNA dürfte

ich genung Grundwissen haben. :D

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...