Jump to content

Keine Zugriffsrechte auf Freigaben über VPN-Verbindung


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

folgendes Szenario:

 

Windows 2000 Server als RAS/VPN Server mit Zertifikatsgestützter (EAP) Einwahl über PPTP.

 

Nun möchte ich mich als Admin zur Fernadministration auf dem Server per VPN einwählen, klappt alles vorbildlich (ping, Namensaüflösung).

Kann mich auch per Remote Desktop von meinem heimischen Rechner einloggen.

 

Das problem ist folgendes, ich kann auf keine Freigaben zugreifen (Sie haben keine Berechtigung diese Netzwerk. . . Zugriff verweigert). Ich sehe aber die Domäne mit den Computern/servern und die Freigegebenen Recourcen. Die Benutzerrechte sind soweit alle richtig gesetzt (Bin Domäne-Admin und Benutzer), jetzt kommts, wenn ich einen Ordner für JEDEN Freigebe kann ich diesen auch öffnen :shock:

 

Gibt es da noch eine Richtlinie die da dazwischen Funkt???

Auf jedenfall bin ich dankbar für jegliche Hinweise :)

 

 

MfG

Tobi

Link zu diesem Kommentar

Hm, das mit den Sitzungen war nen ganz guter Tipp @IThome, Danke

Wenn ich mich über EAP Authentifiziere bzw. über VPN Einwähle wird keine Sitzung mit meinem Benutzernamen eröffnet :shock:

 

Jetzt kommts, wenn ich mich mit Benutzernamen und PW einwähle MS-CHAP wird eine Sitzung geöffnet, und ich kann auch auf die Besagten Ordner zugreifen.

 

Für die EAP Auth. verwende ich ein Benutzerzertifikat, reicht das nicht aus???

Link zu diesem Kommentar

Die DFÜ-Verbindung regelt nicht den Zugriff auf Freigabe, sie öffnet nur das Tor ins Netzwerk, welches dann mit den lokalen Anmeldedaten passiert wird. Ich kann beispielsweise in meiner DFÜ-Verbindung das Adminkonto samt Kennwort eintragen und mich dann einwählen. Deswegen greife ich noch lange nicht als Admin auf Ressourcen zu. Der Zugriff erfolgt über die momentanen, interaktiven Anmeldedaten ...

Link zu diesem Kommentar

Hm, na ja so eindeutig ist es leider nicht, denn wenn ich mich mit Benutzernam und Kennwort einwähle, habe ich zumindest auf dem Einwahlserver zugriffsrechte auf recourcen?! (vgl. mit EAP ging das nicht)

 

Aber wie kann ich mich nun zusätzlich authentifizieren um auf die gesamte Domäne zuzugreifen? Nach einem Benutzernamen werden ich ja nicht gefragt. Es gibt doch eine Möglichkeit im UNC Pfad die anmeldedaten mitzugeben, oder?

 

Danke

Link zu diesem Kommentar

Also, per VPN habe ich mich mit einem Benutzerkonto, mit adminrechten eingewählt (verwende keine Gastkonten).

 

Der lokale Benutzer mit dem ich bspw. am Notebook angemeldet bin ist ein anderer und ist nicht mitglied der domäne (sollte eigentlich auch so bleiben, ist mein Privates book)

 

Die Freigaben über VPN sehe ich alle, in der Domäne. . . .

 

. . . so, habe das ganze nochmal von zuhause über das Notebook probiert, klappt alles einwandfrei.

Das lag sicherlich daran, das ich lokal im netz über wlan verbunden war und die VPN verbindung zum server hergestellt habe. Somit war ich einerseits authentifizierter benutzer auf dem RAS server, allerdings geschah der netzwerkzugriff auf die restlichen recourcen wohl direkt durch´s LAN (nicht über die VPN verbindung) deshalb wurde mir auch der zugriff verweigert (da nicht authent.).

 

So, aber warum es über MS-CHAP geht, und über EAP nicht (VPN zugriff auf domäne recourcen), kann ich mir nocht nicht so richtig erklären.

Link zu diesem Kommentar

Hm, ich kann da im Moment keine Brücke schlagen zwischen MS-CHAP und EAP und einem nicht funktionierenden Ressourcenzugriff. Wie schon gesagt, es ist nicht erheblich, welches Konto bei der Einwahl benutzt wird (für die RAS Authentifizierung und Authorisierung natürlich schon). Der Zugriff (Netzwerkanmeldung) erfolgt mit den lokalen Anmeldedaten und nicht mit den DFÜ-Daten. Mit Gastkonto benutzen meinte ich, dass dieses Konto auf dem Server aktiv ist, nicht, dass Du Dich mit diesem Konto einwählst ...

Link zu diesem Kommentar
Der Zugriff (Netzwerkanmeldung) erfolgt mit den lokalen Anmeldedaten und nicht mit den DFÜ-Daten.

 

Hm, da muss ich definitiv wiedersprechen, die Praxis sieht anders aus.

 

Auf meinem Notebook bin ich mit den Benutzerdaten bspw. Benutzer-xyz-01 in der Arbeitsgruppe A-Netz angemeldet. Mit diesen Anmeldedaten würde ich in der Domäne kein Zugriff bekommen (kein Benutzer bzw. Computerkonto mit diesen Daten in der Domäne vorh.)

Wähle ich mich aber mit den VPN Anmeldedaten per VPN in die Domäne ein (sogar von meinem Privatrechner zuhause), erhalte ich Zugriff auf alle Domänen recourcen.

(Ist meiner Meinung ja auch Sinn der Sache, oder :confused: )

Link zu diesem Kommentar

Deine Vermutung ist richtig, hatte das auch schon getestet, einmal leider ohne Ergebnis.

Wenn ich über EAP Auth. bin, und auf Recourcen zugreife, wird eine Sitzung mit dem Benutzer GAST eröffnet. (Zur Ergänzung, wenn ich über CHAP eingewählt bin, wird eine Sitzung mit meinem Account eröffnet, welchen ich zur Einwahl verwendet habe, ganz klar :wink2: )

 

Damit ist das Rätzel der Zugriffsverweigerung gelöst, aber wie kann hier Abhilfe schaffen :confused:

Link zu diesem Kommentar

Was passiert, wenn Du auf dem Server das Gastkonto deaktivierst ?

Ich habe das alles mal nachgestellt, mir ist es weder mit MS-CHAP noch mit EAP gelungen, Zugriff auf den Server zu bekommen, wenn ich lokal mit einem Benutzer angemeldet bin, den es auf dem Server nicht gibt bzw. schon gibt, aber ein anderes Kennwort hat (ich habe bei der DFÜ Verbindung jeweils ein Administratorkonto angegeben bzw. das Zertifikat des Administrators benutzt) ...

Link zu diesem Kommentar

Wenn ich das Gastkonto deaktiviere, habe ich per EAP überhaupt keinen Zugriff mehr auf recourcen (kann sie nicht mal mehr sehen)

 

Über MS-CHAP alles wie gehabt, "Vollzugriff"

 

Das Du über CHAP kein Zugriff bekommst liegt vielleicht daran, dass du unter Wähloptionen den Haken bei Windows-Anmeldedomäne einbeziehen nicht gesetzt hast!?

Link zu diesem Kommentar

Tatsächlich, Du hast recht, ist der Haken gesetzt, greife ich als User zu, den ich da eingebe. Ich muss zugeben, dass ich das nicht gewusst habe (dass dann die DFÜ-Kennung anstelle der lokalen Kennung benutzt wird). Laut Beschreibung ist dieser Haken nicht gültig, wenn ich mich mit einem Zertifikat authentifizieren lasse, dann wird mit dem lokal angemeldeten Benutzer zugegriffen. Allerdings bekomme ich eine Aufforderung vom Server, einen gültigen Benutzernamen einzugeben, wenn ich mit EAP komme oder bei MS-CHAP der Haken nicht aktiviert ist (Gastkonto ist inaktiv) ...

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...