Gismo79 10 Geschrieben 18. Juli 2006 Melden Teilen Geschrieben 18. Juli 2006 Hi, ich bin grade dabei meine NTFS Rechte auf meinem W2K3 Server zu dokumentieren, dabei ist mir aufgefallen das der User IUSR_Maschienenname auch unter der Grupper "Domain Useres" ist. Ist das denn normal ?! Kann ich den da raus nehmen ? Der IUSR_Maschienename ist ja der IIS6 Account wenn ich das richtig verstanden habe, mit diesem User hat kann man ja Anonyme Zugriffe auf Webverzeichnisse geben..... Was hat dieser User dann in der GRP Domain Users verlohren ?! Da ich den da nicht rein gemacht habe ist der wohl von Windows selber dort aufgenommen worden. Das würde ja dann heissen das jedes Verzeichniss dem ich die Gruppe "Domain Useres" zuteile auch jeder Internet User der über den IIS kommt dort Rechte drauf hat ?! Oder sehe ich das falsch !? Übrigens ist der User IIS_WPG auch unter "Domain Useres"...... Zitieren Link zu diesem Kommentar
Gismo79 10 Geschrieben 19. Juli 2006 Autor Melden Teilen Geschrieben 19. Juli 2006 Kann mir das keiner beantworten !? Zitieren Link zu diesem Kommentar
traced82 10 Geschrieben 19. Juli 2006 Melden Teilen Geschrieben 19. Juli 2006 Hi! also bei mir ist er auch in der Gruppe DomUser, zusätzlich unter Gäste mit dabei?! Ist ein 2003St SP1.... Ob das jetzt so sein muss oder nicht leider keine Ahnung.. vg Basti Zitieren Link zu diesem Kommentar
Gismo79 10 Geschrieben 19. Juli 2006 Autor Melden Teilen Geschrieben 19. Juli 2006 Gut das das nicht nur bei mir ist..... Aber ich bin schon der Meinung das das ein sichercheits Problem ist, eigentlich sollte das ja nicht sein ?!?! Das mit der GRP "Gast" fins ich jetzt nicht besonder schlimm weil ich sowieso keine Berechtigungen drauf haben, aber das der unter Domain Useres ist find ich nicht so wirklich super..... Was ich schon raus gefunden habe: Die Konstelation die wir haben ist wohl so wenn der IIS auf einem Domain Controller installiert ist..... Mehr weiss ich aber auch nicht..... Zitieren Link zu diesem Kommentar
traced82 10 Geschrieben 19. Juli 2006 Melden Teilen Geschrieben 19. Juli 2006 Ist bei mir auch auf dem DC... Wäre interessant ob der anonyme Zugriff noch klappt, wenn man den User aus der Gruppe DomUser rausnimmt. Denke sollte gehen, wenn Gäste auf die entsprechenden Verzeichnisse Lesezugriff haben?! Weiss leider nicht was da noch so alles dranhängt.. vg Basti Zitieren Link zu diesem Kommentar
Gismo79 10 Geschrieben 19. Juli 2006 Autor Melden Teilen Geschrieben 19. Juli 2006 Jo, dass würde ich ja gerne wissen, nur will ich es nicht auf meinem Produktiv System ausprobiern :P Was mich auch intressieren würde ist warum das überhaupt passiert also warum der User überhaupt dort aufgenommen wird.... Aber so wie es aussieht kann keiner mir das hier erklären :( Zitieren Link zu diesem Kommentar
traced82 10 Geschrieben 20. Juli 2006 Melden Teilen Geschrieben 20. Juli 2006 Ist halt die Frage, die Verzeichnisse, in denen Deine .htmls und Co liegen, haben da Gäste wirklich lese- bzw. schreibzugriffe? Wenn nicht, dann braucht er zumindest einen berechtigten User für den Zugriff. Könnte schon erklären warum da drin. Wär Interessant ob man sich mit dem IUSR auch anmelden kann :D Zitieren Link zu diesem Kommentar
Gismo79 10 Geschrieben 20. Juli 2006 Autor Melden Teilen Geschrieben 20. Juli 2006 Na ja die Webseiten und Co. liegen ja alle in einem Verzeichniss, ist ja kein Problem eine neue GRP zu machen den IUSR_.... dort aufzunehmen und neu zu berechtigen..... Das ist ja ne Sache von 15 Minuten.... Viel wichtiger ist das das ganze mich beunruigt, eigentlich finde ich das nicht so super wenn ein Anonymer Account also der IUSR_..... in meiner GRP "Domain USers" ist, die GRP Domain Useres haben überall auf der Platte Zugriff, dass würde ja heissen das man auch Anonym überall auf der Platte Zugriff hat....... Aber bis jetzt konnte mir immernoch keiner beantworten ob das wirklich so stimmt wie ich mir das denke usw... Zum Glück hab ich noch ne Firewall davor die alle "Mapings" bzw. anmeldungen von aussen blockt aber das wäre ja der HAMMER wenn man sich Anmelden könnte Anonym :) Zitieren Link zu diesem Kommentar
traced82 10 Geschrieben 20. Juli 2006 Melden Teilen Geschrieben 20. Juli 2006 Hmm... denk ich werd mir da mal ne Test-VM aufsetzen, und der Sache mal aufn Grund gehen. Wär trotzdem cool wenn sich hier jemand mit "Ahnung" darüber meldet, grins. vg Basti Zitieren Link zu diesem Kommentar
Gismo79 10 Geschrieben 20. Juli 2006 Autor Melden Teilen Geschrieben 20. Juli 2006 Jo, das mit der VM-Ware werde ich auch mal am WE machen...... irgendwie merkwürdig das keiner da was weiss, ok MS gibt in seinen Security Dokus an den IIS nicht auf einem DC zu installieren wegen Sicherheit usw..... Aber was ist denn mit einer Firma die nur einen Server hat und diesen auch als Webserver nutzen möchte..... Kann ja nicht sein das man nur um nen IIS zu betreiben sich nen 2ten Server da hin stellen muss..... Zitieren Link zu diesem Kommentar
traced82 10 Geschrieben 20. Juli 2006 Melden Teilen Geschrieben 20. Juli 2006 wäre interessant ob das auf nem SBS auch so ist, da is ja alles auf einem Server?! Zitieren Link zu diesem Kommentar
nobex 10 Geschrieben 20. Juli 2006 Melden Teilen Geschrieben 20. Juli 2006 Hallo Miteinander, Hier meine Thearie dazu: Ein DC verfügt doch über keine lokalen User bzw. Gruppen mehr und kann den IUSR deshalb nicht lokal speichern uhnd in lokalen Gruppen verwalten. Die IUSR_MITGLIEDSERVER erscheinen ja im Gegensatz dazu auch gar nicht im AD. Gruß Robert Zitieren Link zu diesem Kommentar
hh2000 10 Geschrieben 20. Juli 2006 Melden Teilen Geschrieben 20. Juli 2006 Nur zur Info, bei mir sind auch ASPNET und IUSR_Servername (jeder Server mit IIS) in der Gruppe Domänen-Benutzer. Domänen-Gäste ist aber ausser User Gast (deaktiviert) leer. System: Windows 2003 SP1, Exchange 2003 SP2. Gruß Kai Zitieren Link zu diesem Kommentar
traced82 10 Geschrieben 20. Juli 2006 Melden Teilen Geschrieben 20. Juli 2006 Die IUSR_MITGLIEDSERVER erscheinen ja im Gegensatz dazu auch gar nicht im AD. nicht? Zitieren Link zu diesem Kommentar
nobex 10 Geschrieben 20. Juli 2006 Melden Teilen Geschrieben 20. Juli 2006 Hallo, nicht? Nö. Gruß Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.