none
Freigabe und NTFS Berechtigungen für User außerhalb der AD RRS feed

  • Frage

  • Hallo zusammen,

    unter Windows Server 2003 war es möglich, Freigabe- und NTFS-Berechtigungen z. B. für den Benutzer "Jeder" zu setzen, so dass Benutzer, welche nicht in der AD verwaltet werden, Zugriff auf Daten aus dem freigegebenen Speicher erhalten.

    Unter Windows Server 2008 R2 scheint mir das jetzt nicht mehr möglich.

    Freigabe auf jeder, NTFS auf jeder und trotzdem verlangt der Server beim Versuch, die Freigabe per UNC-Pfad aufzurufen, eine Authentifizierung!?!

    Natürlich ist der Server per Alias in der entsprechenden DNS-Zone, so dass die Benutzer aus ihrem Netzwerksegment den Server, welcher die Freigabe hostet, erreichen können...

    Hat sich da in dem Sicherheitsverhalten so viel geändert oder gibt es hier einen "Denkfehler" von mir/uns?


    MfG Harald
    Dienstag, 26. Oktober 2010 05:41

Antworten

  • Moin,

    so, wie du es beschreibst, war es (eigentlich) noch nie.

    Schon seit NT war immer eine Authentisierung nötig, auch wenn der Zugriff für "Jeder" freigegeben war. Man konnte allerdings früher die Authentisierungsanforderungen über die Richtlinie "Zugriff auf diesen Computer vom Netz" steuern. Seit XP SP2 (und entsprechend auf Serverseite) ist allerdings die anonyme Anmeldung nicht mehr in der Gruppe "Jeder" enthalten, sodass der frühere ganz einfache Weg seit ca. 2004 nicht mehr geht.

    Wenn du tatsächlich einen nicht authentisierten Zugriff zulassen willst - wovon ich ausdrücklich abrate, zumal auf einem AD-Mitgliedsrechner! -, dann kannst du den Gast-Account des Servers aktivieren.

    Gruß, Nils

     


    Nils Kaczenski
    MVP Directory Services
    Hannover, Germany
    Dienstag, 26. Oktober 2010 08:01

Alle Antworten

  • Anmerkung zum Satz "Freigabe auf jeder, NTFS auf jeder und trotzdem verlangt der Server beim Versuch, die Freigabe per UNC-Pfad aufzurufen, eine Authentifizierung!?!":

    Der Versuch, die die Freigabe per UNC-Pfad aufzurufen, erfolgt von einem Client außerhalb der AD.


    MfG Harald
    Dienstag, 26. Oktober 2010 05:42
  • Moin,

    so, wie du es beschreibst, war es (eigentlich) noch nie.

    Schon seit NT war immer eine Authentisierung nötig, auch wenn der Zugriff für "Jeder" freigegeben war. Man konnte allerdings früher die Authentisierungsanforderungen über die Richtlinie "Zugriff auf diesen Computer vom Netz" steuern. Seit XP SP2 (und entsprechend auf Serverseite) ist allerdings die anonyme Anmeldung nicht mehr in der Gruppe "Jeder" enthalten, sodass der frühere ganz einfache Weg seit ca. 2004 nicht mehr geht.

    Wenn du tatsächlich einen nicht authentisierten Zugriff zulassen willst - wovon ich ausdrücklich abrate, zumal auf einem AD-Mitgliedsrechner! -, dann kannst du den Gast-Account des Servers aktivieren.

    Gruß, Nils

     


    Nils Kaczenski
    MVP Directory Services
    Hannover, Germany
    Dienstag, 26. Oktober 2010 08:01
  • Hallo Nils,

    deine Bedenken eines nicht authentisierten Zugriff kann ich natürlich nur zustimmen.

    Im Rahmen eines vermeindlich sicheren Netzwerkes galt es hier, Benutzerfreundlichkeit mit Sicherheit abzuwägen.

    Den Weg des nicht authentisierten Zugriffs haben wir aber glücklicherweise verlassen und gehen des Weg der vernünftigen Authorisierung....

    Vielen Dank für deinen Beitrag.


    MfG Harald
    Dienstag, 2. November 2010 15:15
  • Prima, danke für die Rückmeldung!

    Gruß, Nils

     


    Nils Kaczenski
    MVP Directory Services
    Hannover, Germany
    Freitag, 5. November 2010 12:49