se_bastian 0 Geschrieben 27. Dezember 2015 Melden Teilen Geschrieben 27. Dezember 2015 (bearbeitet) Hallo, ich stehe aktuell vor dem Problem, dass das mounten eines SMB Laufwerkes via GPO nicht bzw. nur teilweise klappen will. Da Microsoft mit dem Update MS14-025 ja die "Verbinden als" Option weggepatcht hat, ist es nicht mehr möglich in den Laufwerkszuordnungen andere Anmeldeinformationen für ein Netzlaufwerk anzugeben. Versucht habe ich bisher folgendes: Auf dem ubuntu Server, auf dem das share liegt, habe ich einen smb user erstellt (service_smb) und diesen ebenfalls im Active Directory angelegt. Auf beiden Systemen sind Username und Kennwort gleich. Melde ich mich nun mit einem User am Windows an, schlägt das mounten fehl. Wenn ich mich allerdings mit dem Service User anmelde, wird das Netzlaufwerk gemountet. Grundsätzlich funktioniert das ganze also. Nur bei anderen Benutzern leider nicht. Könnt ihr mir hier weiterhelfen? Ich würde das ganze gerne ohne Anmeldeskript umsetzen. Falls das ganze im falschen Unterforum ist, bitte ich einen Administrator den Thread zu verschieben - gehört wohl eher zum AD Unterforum. Grüße Sebastian bearbeitet 27. Dezember 2015 von se_bastian Zitieren Link zu diesem Kommentar
Nobbyaushb 1.464 Geschrieben 28. Dezember 2015 Melden Teilen Geschrieben 28. Dezember 2015 Wieso anderen Anmeldeinformationen angeben? Gebe dem User die erforderlichen Berechtigungen, nicht mehr und nicht weniger, als er zum arbeiten braucht. ;) Zitieren Link zu diesem Kommentar
Userle 145 Geschrieben 28. Dezember 2015 Melden Teilen Geschrieben 28. Dezember 2015 Ohne mich näher auszukennen, würde ich eine AD Integration anregen. Dann kannst Du den Zugriff via Groupmembership steuern und somit wäre es auch als GPO umsetzbar. Greetings Ralf Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 28. Dezember 2015 Melden Teilen Geschrieben 28. Dezember 2015 (bearbeitet) Da Microsoft mit dem Update MS14-025 ja die "Verbinden als" Option weggepatcht hat, Bei welchem Produkt ist das so? Hier ist vorhandenn hinter Netzlaufwerk verbinden, Verbindung mit anderen Anmeldeinformationen herstellen. Ob man das Update MS14-025 deinstalliert? bearbeitet 28. Dezember 2015 von lefg Zitieren Link zu diesem Kommentar
NorbertFe 2.013 Geschrieben 28. Dezember 2015 Melden Teilen Geschrieben 28. Dezember 2015 Er meint die gpp Optionen, da dort die Anmeldedaten dann entschlüsselbar im sysvol rumliegen. Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 28. Dezember 2015 Melden Teilen Geschrieben 28. Dezember 2015 Danke Norbert :) Zitieren Link zu diesem Kommentar
se_bastian 0 Geschrieben 28. Dezember 2015 Autor Melden Teilen Geschrieben 28. Dezember 2015 Wieso anderen Anmeldeinformationen angeben? Gebe dem User die erforderlichen Berechtigungen, nicht mehr und nicht weniger, als er zum arbeiten braucht. ;) Wie meinst du das genau? Verstehe gerade nicht was du meinst. Ohne mich näher auszukennen, würde ich eine AD Integration anregen. Dann kannst Du den Zugriff via Groupmembership steuern und somit wäre es auch als GPO umsetzbar. Greetings Ralf Ok, das werde ich mir heute Abend mal ansehen. Bei welchem Produkt ist das so? Hier ist vorhandenn hinter Netzlaufwerk verbinden, Verbindung mit anderen Anmeldeinformationen herstellen. Ob man das Update MS14-025 deinstalliert? Bei meinem 2012er Server auf jeden Fall. Deinstallieren wäre natürlich eine Möglichkeit, aber es muss ja auch einen anderen Weg geben. Zitieren Link zu diesem Kommentar
NorbertFe 2.013 Geschrieben 28. Dezember 2015 Melden Teilen Geschrieben 28. Dezember 2015 Ja aber nicht per GPO. Es sei denn du nutzt ein GPO ANmeldescript und schreibst da die notwendigen Daten einfach rein. Da es dir offenbar nicht um Sicherheit geht, dürfte das der einfachste Weg sein. Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 28. Dezember 2015 Melden Teilen Geschrieben 28. Dezember 2015 (bearbeitet) .....aber es muss ja auch einen anderen Weg geben. Moin, sicherlich, User stellen die Netzlaufwerkverbindung selbst her. Ob NFS hülfe? https://technet.microsoft.com/de-de/library/jj574143.aspx bearbeitet 28. Dezember 2015 von lefg Zitieren Link zu diesem Kommentar
zahni 550 Geschrieben 28. Dezember 2015 Melden Teilen Geschrieben 28. Dezember 2015 https://help.ubuntu.com/community/ActiveDirectoryWinbindHowto Sollte man sich mal anschauen.... Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 28. Dezember 2015 Melden Teilen Geschrieben 28. Dezember 2015 Da Microsoft mit dem Update MS14-025 ja die "Verbinden als" Option weggepatcht hat, ist es nicht mehr möglich in den Laufwerkszuordnungen andere Anmeldeinformationen für ein Netzlaufwerk anzugeben. Fall es bei Server 2012 eine Feedback App gibt, könnte das damit gemeldet werden. Zitieren Link zu diesem Kommentar
NorbertFe 2.013 Geschrieben 28. Dezember 2015 Melden Teilen Geschrieben 28. Dezember 2015 Wozu? Das ist aus Sicherheitsgründen (die im ÜBrigen im oben genannten Artikel stehen) entfernt worden. Welches Feedback sollte man also geben? https://technet.microsoft.com/de-de/library/security/ms14-025.aspx Hier noch etwas zum Nachräumen: http://www.faq-o-matic.net/2015/09/14/passworte-in-gruppenrichtlinienobjekte-entfernen/ Bye Norbert Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 28. Dezember 2015 Melden Teilen Geschrieben 28. Dezember 2015 Welches Feedback sollte man also geben? Warum MS den Schlüssel überhaupt veröffentlicht hat, erschließt sich zumindest mir noch nicht. Außer Angreifer dürfte der Schlüssel in Reinform doch niemanden interessieren https://msdn.microsoft.com/en-us/library/cc422924.aspx Zitieren Link zu diesem Kommentar
NorbertFe 2.013 Geschrieben 28. Dezember 2015 Melden Teilen Geschrieben 28. Dezember 2015 Ich meine (Vermutung!), dass bereits Desktop Standard diesen oder ebenfalls einen der verwendeten SChlüssel veröffentlichte. Insofern ist auch bei nicht Veröffentlichung in diesem Fall ein Loch auf Zeit absehbar gewesen. Und symmetrische Verschlüsselung, die jedes Windows entschlüsseln kann, ist eben auch keine wirkliche Verschlüsselung (Security by Obscurity hilft doch auch niemandem). Bye Norbert Zitieren Link zu diesem Kommentar
daabm 1.334 Geschrieben 28. Dezember 2015 Melden Teilen Geschrieben 28. Dezember 2015 Soweit ich mich erinnere war das im Zuge der NSA-Diskussionen... Aber müßig darüber zu disktuieren, eine AD-Integration ist der einzige zielführende Weg :) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.