none
Password ad ogni accesso su directory condivisa in dominio Win2k3 RRS feed

  • Domanda

  • Ciao a tutti,

    ho la seguente situazione:

    -dominio windows 2003

    -directory condivisa su un server \\server1\condivisa

    -accedere da qualsiasi pc con questa cartella con richiesta password

     

    Attualmente se si accede alla condivisione tramite Start->esegui->\\server1\condivisa la password di accesso viene richiesta solo la prima volta, le volte successive chiunque può accedervi. Ho la necessità che le credenziali vengano richieste sempre, dato che dovrà accedervi da qualsiasi postazione solo ed esclusivamente l'amministratore!

    Come possa fare???

    • Spostato Fabrizio Volpe lunedì 13 dicembre 2010 09:01 (Da:Active Directory e Group Policy)
    lunedì 13 dicembre 2010 08:48

Risposte

  • Riscrivo la risposta completa altrimenti non si capisce niente.

    Lo script dovrebbe essere corretto così:

    ********************************************

    Const HKEY_CURRENT_USER = &H80000001
    strComputer = "."

    Set objReg = GetObject("winmgmts:{impersonationLevel=impersonate}!\\" & _
     strComputer & "\root\default:StdRegProv")
     
    strKeyPath = "Software\Microsoft\Windows\CurrentVersion\Policies\Network"

    strEntryName = "DisablePasswordCaching"
    dwValue = 1
    objReg.SetDWORDValue HKEY_CURRENT_USER,strKeyPath,strEntryName,dwValue

    ********************************************



    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    sabato 18 dicembre 2010 16:36
    Moderatore

Tutte le risposte

  • Una volta mappata la risorsa con utente e password abilitati, a meno di fare logoff o net use /delete la cartella resta accessibile.

    Potresti spiegare meglio la situazione ?


    Fabrizio Volpe
    MCSE (NT4)(2000)(2003) - MCSA (2003)
    MCTS (SQL 2005)(Exchange 2007)(Windows 2008)
    Fortinet Certified Network Security Professional (FCNSP)
    Fabrizio[_dot_]Volpe[_at_]GMX[_dot_]com
    lunedì 13 dicembre 2010 09:02
  • Ciao Fabrizio e intanto grazie.

    Diciamo che quella directory contiene documenti che non dovrebbero essere accessibili da tutti, ma solo da chi conosce le credenziali di amministratore. Sarebbe bello, ma dubito si possa fare, che ogni volta che si acceda a quella dir condivisa venga richiesta sempre nome utente e password.

    grazie e ciao!

    lunedì 13 dicembre 2010 10:59
  • Mi sfugge un po' come è strutturata la faccenda.

    Se i documenti di cui parli sono importanti, può diventare critico capire chi accede per fare cosa.

    La soluzione "pulita" sarebbe inserirli tutti in una cartella, stabilire chi può accedere e dargli i permessi di accesso (magari tramite un gruppo specifico).

    Potresti creare una share dedicata, ma non è un passaggio fondamentale.

    Dare i permessi all'amministratore è poco corretto dal punto di vista della sicurezza e ti toglie molti strumenti di "auditing".


    Fabrizio Volpe
    MCSE (NT4)(2000)(2003) - MCSA (2003)
    MCTS (SQL 2005)(Exchange 2007)(Windows 2008)
    Fortinet Certified Network Security Professional (FCNSP)
    Fabrizio[_dot_]Volpe[_at_]GMX[_dot_]com
    lunedì 13 dicembre 2010 11:21
  • Si, effettivamente la situazione potrebbe sembrare complicata o poco chiara.

    all'interno del dominio ci sono una serie di PC al quale gli utenti accedono con le loro credenziali e 3 server (un dc e altri 2 di produzione tra cui il server1).

    Sul server1 all'alba dei tempi era stata creata un dir condivisa, in modo da accedervi da qualsiasi PC. Il problema è che se chi deve accedervi lo fa per la prima volta nella giornata vengono richieste le credenziali e le inserisce.

    La seconda volta che tentano di accedervi, anche da un'altra postazione..le credenziali non vengono richieste e quindi si accede in totale libertà. Al di là dell'importanza dei documenti vorrei che tutte le volte venga richiesta la pwd per accedere alla cartella condivisa. Però non ho idea di come si possa fare...

    lunedì 13 dicembre 2010 12:03
  • dovresti provare ad eseguire lo script qui sotto che modifica il registro di sistema in modo che la password di connessioni di rete non rimanga in cache

    ********************************************

    Const HKEY_CURRENT_USER = &H80000001
    strComputer = "."

    Set objReg = GetObject("winmgmts:{impersonationLevel=impersonate}!\\" & _
     strComputer & "\root\default:StdRegProv")
     
    strKeyPath = "Software\Microsoft\Windows\CurrentVersion\Internet Settings"

    strEntryName = "DisablePasswordCaching"
    dwValue = 1
    objReg.SetDWORDValue HKEY_CURRENT_USER,strKeyPath,strEntryName,dwValue

    ********************************************


    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    lunedì 13 dicembre 2010 12:08
    Moderatore
  • Ciao Edoardo,

    lo script va eseguito solo una volta? Su quale macchina (sul server sul quale è presente la dir condivisa?)?

    Nella seconda riga: strComputer = "." , è necessario inserire qualcosa al posto del "." ?

     

    Grazie e scusa ancora ma non mi è mai capitato di farlo?

     

    Dopo questi chiarimenti copio il testo e lo salvo in un file reg...

    lunedì 13 dicembre 2010 13:10
  • no, lo script va eseguito mediante gpo su tutti i clients del dominio. per provare se funziona dovresti prima eseguirlo su un client è vedere se la password in cache viene in questo modo non memorizzata. se funziona allora lo distribuisci mediante domain policies.
    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    lunedì 13 dicembre 2010 13:51
    Moderatore
  • La seconda volta che tentano di accedervi, anche da un'altra postazione..le credenziali non vengono richieste

    Questo è strano.

    Al cambio di postazione la password deve essere richiesta (così come al cambio di utente).

    Puoi dirmi quali sono i permessi a livello si share e quali a livello di file system ?

    Inoltre, come viene mappata la share ?

    Dovresti fare in modo che non sia settata la flag "riconnetti al prossimo avvio" e fare in modo che la mappatura passi per un net use, in modo che vengano richieste le credenziali.

    Prova un batch tipo il seguente

    net use k: \\server\share /user:domain\user

    @Edoardo : penso che quella chiave riguardi il password caching di Intenet Explorer.

    Non so se possa tornare utile....


    Fabrizio Volpe
    MCSE (NT4)(2000)(2003) - MCSA (2003)
    MCTS (SQL 2005)(Exchange 2007)(Windows 2008)
    Fortinet Certified Network Security Professional (FCNSP)
    Fabrizio[_dot_]Volpe[_at_]GMX[_dot_]com
    lunedì 13 dicembre 2010 14:04
  • @Edoardo : penso che quella chiave riguardi il password caching di Intenet Explorer.

    Non so se possa tornare utile....

    ho preso lo script sbagliato solo per la posizione della chiave che deve essere questa

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Network

    oppure questa

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Network

    ref: http://www.pctools.com/guides/registry/detail/124/

    tnx :)


    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    lunedì 13 dicembre 2010 14:20
    Moderatore
  • Riscrivo la risposta completa altrimenti non si capisce niente.

    Lo script dovrebbe essere corretto così:

    ********************************************

    Const HKEY_CURRENT_USER = &H80000001
    strComputer = "."

    Set objReg = GetObject("winmgmts:{impersonationLevel=impersonate}!\\" & _
     strComputer & "\root\default:StdRegProv")
     
    strKeyPath = "Software\Microsoft\Windows\CurrentVersion\Policies\Network"

    strEntryName = "DisablePasswordCaching"
    dwValue = 1
    objReg.SetDWORDValue HKEY_CURRENT_USER,strKeyPath,strEntryName,dwValue

    ********************************************



    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    sabato 18 dicembre 2010 16:36
    Moderatore