reinhard26 10 Geschrieben 9. Mai 2006 Melden Geschrieben 9. Mai 2006 Hallo Gibt es eine Möglichkeit einem Domainuser den zugriff auf datein auf einem server nur zu erlauben, wenn er an einem domaincomputer, welcher in die domaine integriert ist, sitzt. Den Zugriff aber zu verweigern wenn er zb einen laptop ins netzwerk hängt und beim zugriff auf die freigaben seinen domainusernamen und pw verwendet. mfg reinhard Zitieren
zahni 572 Geschrieben 9. Mai 2006 Melden Geschrieben 9. Mai 2006 Wenn ich mich recht erinnere kann man die via GPO in der Domäne die Lan-Manager Authentifizierung dekativieren ( fest auf NTLMV2 stellen ) Das solltest Du aber erst testen. Kann unschöne Randeffekte haben ( z.B. funktionieren DOS-Bootdisketten nicht mehr) PS: http://support.microsoft.com/kb/823659 Punkt: Netzwerksicherheit: LAN Manager-Authentifizierungsebene -Zahni Zitieren
grizzly999 11 Geschrieben 9. Mai 2006 Melden Geschrieben 9. Mai 2006 Da wird die Lanmanager Authentifizierungsebene nichts helfen. Wenn das ein OS ist, das NTLMV2 kann, dann ist er authentifiziert. Abhilfe würde hier ein erforderliches IPSec auf dem Server mit Kerberos Authentifizierung schaffen, das will aber geplant sein, sonst schießt man sich mit dem Server an anderer Stelle ins Knie. grizzly999 Zitieren
reinhard26 10 Geschrieben 9. Mai 2006 Autor Melden Geschrieben 9. Mai 2006 danke für die schnelle antwort dann werde ich das zuerest mal diese richtlinie nur einem testrechner aufsetzten und mal schauen. aus dem artikel: Risikoreiche KonfigurationenDie folgenden Konfigurationen sind risikoreich: • Nicht restriktive Einstellungen, die Kennwörter unverschlüsselt senden und die NTLMv2-Verhandlung verweigern • Restriktive Einstellungen, die verhindern, dass inkompatible Clients oder Domänencontroller ein gemeinsames Authentifizierungsprotokoll aushandeln ich vertehe nicht ganz was da im 2ten punkt gemeint ist? Zitieren
grizzly999 11 Geschrieben 9. Mai 2006 Melden Geschrieben 9. Mai 2006 Naja, das heißt ganz einfach, wenn ich z.B. auf einer Siete restriktiv das sicherere NTLMV2 erzwinge, und die andere Seite das technisch nicht mit kann, dann können die kein gemeinsames Authentifizierungsprotokoll aushandeln und die Authentifizierung schlägt fehl. Aber wie gesagt, NTLMV2 erzwingen stellt für 2000 oder XP oder 2003 keine Hürde dar. grizzly999 Zitieren
zahni 572 Geschrieben 9. Mai 2006 Melden Geschrieben 9. Mai 2006 Ok, wird so sein. Ich hatte kein Lust das umzustellen. Mir war nur dunkel in Erinnerung, dass es mal Probleme für Nich-Domain-Member gab, wenn man das umstellte. -Zahni Zitieren
reinhard26 10 Geschrieben 9. Mai 2006 Autor Melden Geschrieben 9. Mai 2006 achso verstehe habe den vorherigen post geschrieben, bevor ich deinen gesehen habe! dann muss ich mir wohl mit ipsec beschäftigen. danke für die auskunft grizzly999 Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.