Gast Geschrieben 5. Juli 2016 Melden Teilen Geschrieben 5. Juli 2016 Guten morgen zusammen, in unserem kleinen Labornetz hier an der Hochschule betreue ich als HiWi einen Server. Die Benutzer verbinden sich per Netzlaufwerk auf eine virtuelle Maschine die im Rechenzentrum steht. Jetzt müssen diese user sich aber immer am PC einloggen und nochmal im Netzlaufwerk - ziemlich unpraktisch. Ich möchte aber nicht das PW im Klartext hinterlegen, da kam die Frage meines Chefs: Kann man das Windows Login benutzen, also die aktuellen Logindaten am PC, weil er dort das gleiche PW verwendet? Wenn nicht, wie kann ich das PW verschlüsseln, sodass es nicht im Klartext im Skript liegt? Es existiert kein Active Directory bis jetzt, weil es sich bisher nicht gelohnt hatte und die Serververwaltung irgendwann nächstes Jahr wohl eh von der Hochschule übernommen wird. Zudem hatte das ein wissenschaftliche Mitarbeiter aufgesetzt, welcher nicht aus dieser Fachrichtung kommt. Zumindest hat jetzt jeder eigene Login Daten bekommen und es haben nicht mehr alle die gleichen. Besten Dank! obi89 Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 5. Juli 2016 Melden Teilen Geschrieben 5. Juli 2016 (bearbeitet) Moin, damit bist Du auf dem falschen Dampfer. In der Regel sorgt man, der Administrator, dafür, dass der User sich mit seinem Account am Rechner anmeldet, der User mit seinem Account Berechtigung auf die Ressource hat, Freigabe und NTFS, das geschieht i.d.R. über die mittels Gruppenmitgliedschaft. bearbeitet 6. Juli 2016 von lefg Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 5. Juli 2016 Melden Teilen Geschrieben 5. Juli 2016 (bearbeitet) D.h. alle Rechner, auch der Server, alle Clients sind in einer Arbeitsgruppe? Wenn ja, dann leg auf dem Rechner, der das NW-Laufwerk bereitstellt, alle Benutzer nochmal an, das PW muss identisch dem sein, mit dem sie sich auf den Clients anmelden. bearbeitet 5. Juli 2016 von Sunny61 Zitieren Link zu diesem Kommentar
NilsK 2.958 Geschrieben 5. Juli 2016 Melden Teilen Geschrieben 5. Juli 2016 Moin, entweder so wie Sunny61 es sagt - nicht schön, aber besser als die "Lösung" mit dem Kennwort im Skript. Oder so wie lefg es sagt, wobei in dem Fall eine Active-Directory-Domäne eingerichtet werden muss, weil man die User und Gruppen sonst nicht zentral verwalten kann. Dies ist durchaus vorzuziehen, weil es bei mehr als, sagen wir, 5 Usern den Aufwand senkt und auch tendenziell für ein höheres Sicherheitsniveau sorgt. Gruß, Nils Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 5. Juli 2016 Melden Teilen Geschrieben 5. Juli 2016 Noch ein Hinweis zu vermeintlich verschlüsseleten Kennwörten in Scripten: Die sind nicht sicher, da die entsprechenden Tools sie ja letztendlich in unverschlüsselter Form übergeben müssen. Hat sogar bei Microsoft nicht geklappt: https://support.microsoft.com/de-de/kb/2962486 ;) Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 5. Juli 2016 Melden Teilen Geschrieben 5. Juli 2016 Die Credentials ein zweites Mal lokal auf dem Fileserver anzulegen ist sicherheitstechnisch auch nicht viel besser. Jeder Admin, bzw. jeder der sich Adminrechte verschaffen kann, hat auch Zugriff auf die Credentials der User in der lokalen DB des Fileservers. Dazu brauchst du noch einen sicheren Prozess für die doppelte Passwortänderung. Mein Tipp: Lass den Zustand so "unpraktisch" wie er ist, bis ihr nächstes Jahr ActiveDirectory bekommt. Du kannst deinen Usern ggf. als Mitigation das kostenlose "Keepass" (= elektronischer Passwordsafe) zeigen: mit der Funktion in Keepass "Perform Auto-Type" kann man per Mausklick Username/ beliebig langes und komplexes Passwort automatisch in eine Anmeldemaske übertragen. Sehr praktisch! Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.