NTFS-Sicherheit: reicht der korrekte Benutzername?

Begonnen von J.C., 14. März 2010, 20:49:59 Uhr

⏪ vorheriges - nächstes ⏩

0 Mitglieder und 1 Gast betrachten dieses Thema.

J.C.

Hi,

ich bin ja nicht so der Netzwerk-Crack. Fürs Heimnetz bin ich daher bei der schnöden lokalen Benutzerverwaltung begleiben (ich hätte auch keine Ahnung wie ich das anders angehen müsste).

Auf einem Rechner im Netz existiert eine FP auf die mehrere User unterschiedliche Zugriffrechte besitzen sollen.
Z.b. soll "Jeder" nur bestimmte Verzeichnisse lesen dürfen und sonst nichts.
User A darf in ausgewählten Ordner schreiben und sonst alles lesen.
User B darf in ausgewählten Ordner schreiben und fast alles lesen.
User Admin darf alles.
...

Ich habe zunächst einmal zwei unterschiedliche Netzwerkfreigaben der Festplatte erstellt um grundsätzlich den rein lesenden vom schreibenden Zugriff zu trennen. Soll heißen, es gibt eine Freigabe mit der Berechtigung für Jeder zum lesen. Und eine mit der Erlaubnis für die anderen User zum lesen und schreiben.

Die Zugriffsrecht der einzelnen Ordner habe ich über die NTFS-Sicherheit geregelt. Die Benutzerkonten sind auf dem Rechner lokal erstellt.

Das Problem dabei ist allerdings, dass das Kennwort nicht kontrolliert wird.
Es reicht aus wenn auf einem Rechner ein Benutzerkonto mit passendem Namen existiert, um auf die entsprechneden Freigaben und Rechte zugreifen zu können. Das Passwort muss nicht identisch sein. Das macht die ganze Sache aber irgendwie unsinnig.

Ich hätte gerne, dass Benutzername UND Passwort auf beiden Rechnern übereinstimmen müssen damit ein "stillschweigender" Zugriff möglich ist.
Auch beim "Netzlaufwerk verbinden" werden die Benutzerkonten eines fernen Rechners akzeptiert, sofern der Name passt.

Was muss ich tun? Bzw. wie heißt eigendlich das Problem?
Leider kenn ich nicht einmal die richtigen Stichworte um mich selber schlau zu "bingen".







C2D 6420 // 3,2Ghz @Nexxxos XP
Gigabyte  P35 DS3P
4096 MB DDR-800 CL4 A-Data Vitesta Ex.
Sapphire HD4890 Vapor-X
60 GB OCZ Vertex
80 GB WD Caviar SE
    
Enermax Liberty 400W
Black ICE Stealth GT360 @ SilenX
                                                      





AMD X2 240 @ Shuriken
Asrock M3A785GMH
2048 MB MDT DDR-800
SkyStar 2HD
Cinergy DT USB XS Diversity
WD15EADS
Seasonic S12II 330W
OrigenAE S10V

tyco

Mach doch mal ein paar Pics von deinen Freigaben, dann kann man sich das besser vorstellen was du gemacht hast.
Bitte keine Supportanfragen per PM stellen.

J.C.

Hm, ich weiß jetzt nicht genau was ich da knipsen soll, aber ich versuchs mal...

(http://www.abload.de/image.php?img=unbenanntwrw6.jpg)
Hier sind die Freigabeeinstellungen:
- Nas:
Jeder - Lesen

- Nas (write):
JC - ändern
SAM - ändern


Und jetzt um Problem: Wenn ich als JC an einem Rechner angemeldet bin, kann ich ohne weitere Passworteingabe auf beide Freigaben zugreifen.
Das ist ja auch genau so beabsichtigt, nur sind auf dem lokalen Rechner und auf HTPC beide Konten (unabsichtlich) mit unterschiedlichen Passwörtern versehen!

Dadurch ist mir aufgefallen, dass das ganze Konzept völlig wirkungslos ist: jeder der sich JC (oder SAM) nennt darf an die Freigaben ran.
Als Honk angemeldet darf ich dann aber nur an nas, nicht an nas (write).







C2D 6420 // 3,2Ghz @Nexxxos XP
Gigabyte  P35 DS3P
4096 MB DDR-800 CL4 A-Data Vitesta Ex.
Sapphire HD4890 Vapor-X
60 GB OCZ Vertex
80 GB WD Caviar SE
    
Enermax Liberty 400W
Black ICE Stealth GT360 @ SilenX
                                                      





AMD X2 240 @ Shuriken
Asrock M3A785GMH
2048 MB MDT DDR-800
SkyStar 2HD
Cinergy DT USB XS Diversity
WD15EADS
Seasonic S12II 330W
OrigenAE S10V

tyco

Hast du vielleicht die "einfache Dateifreigabe" aktiviert? Die solltest du bei WinXP Pro deaktivieren, wenn du mit NTFS-Sicherheiten arbeitest.
Bitte keine Supportanfragen per PM stellen.

J.C.

Ich benutze Win7, aber das einfache Dateifreigabe-Equivalent dort habe ich auch deaktiviert. In den Erweiterten Freigabeeinstellungen habe ich außerdem folgende Optionen aktiviert:

(http://www.abload.de/image.php?img=03-18_124559x50m.jpg)

Grundsätzlich funktioniert das Ganze ja auch, wie die Versuche als "Honk" zeigen. Ich komm an die NAS Freigabe dran und habe dann auch nur in Ordnern mit Berechtigung für Jeder Lesezugriff.
Auch die Berechtigungen für JC passen alle. Das einzige Problem ist, dass es egal ist, welches Kennwort mit dem Konto verknüpft ist.

Ich hatte jetzt noch die Vermutung, dass es damit zusammenhängt, dass JC auf dem lokalen Rechner zur Admin-Gruppe gehört, auf dem HTPC aber nur ein normaler Benutzer ist.
Also hab ich Honk am lokalen Rechner auch mal zur Admingruppe hinzugefügt, aber dadurch keine Berechtigungen für HTPC erhalten.

Deine Reaktion sagt mir aber schon mal, dass das alles  so nicht sein sollte. Das beruhigt mich schon etwas.







C2D 6420 // 3,2Ghz @Nexxxos XP
Gigabyte  P35 DS3P
4096 MB DDR-800 CL4 A-Data Vitesta Ex.
Sapphire HD4890 Vapor-X
60 GB OCZ Vertex
80 GB WD Caviar SE
    
Enermax Liberty 400W
Black ICE Stealth GT360 @ SilenX
                                                      





AMD X2 240 @ Shuriken
Asrock M3A785GMH
2048 MB MDT DDR-800
SkyStar 2HD
Cinergy DT USB XS Diversity
WD15EADS
Seasonic S12II 330W
OrigenAE S10V

tyco

Hmmm...Win7 habe ich nur den Release Candidate eine Weile getestet.

Wenn du nach dieser Anleitung (Windows 7 Netzwerk, Dateifreigabe (http://www.com-lan-hilfe.de/windows7/netzwerkfreigabe-dateifreigabe.html)) deine Freigaben nochmal kontrollierst, findet sich vielleicht die Ursache für dein Problem.
Bitte keine Supportanfragen per PM stellen.

J.C.

27. März 2010, 18:24:32 Uhr #6 Letzte Bearbeitung: 27. März 2010, 18:26:57 Uhr von J.C.
Vielen Dank für das Tut, aber es stand leider nichts Neues mehr für mich drin.

Aber ich habe das Problem eingegrenzt:
Es muss an meinem Rechner liegen.
Ich habe hier zwei unterschiedliche PCs ist mit  JC als Benutzer eingerichtet. Meinen Desktop-Rechner (Win7) und einen Laptop (xp). Auf beiden Rechnern hat JC Admin–Rechte und unterschiedliche Passwörter. Beide Passwörter sind nicht das richtige um auf die Freigaben für JC auf dem HTPC-Rechner (Win7)zugreifen zu können.

Wenn ich nun die IP Adresse des HTPC-Rechners eingebe, dann werde ich bei "meinem" Rechner nicht nach Anmeldedaten gefragt, wenn ich das von dem Laptop aus tue, dann schon (es funktionieren auch nur die "richtigen").
Wenn ich nach der Herstellung einer Verbindung dann den Befehl net use benutze zeigt mit dieser auf dem Laptop einen Eintrag an, auf dem Desktoprechner aber nicht.

Ich würde fast vermuten, dass hat noch irgend etwas mit den Heimnetzgruppen zu tun, die ich eigentlich deaktiviert haben.








C2D 6420 // 3,2Ghz @Nexxxos XP
Gigabyte  P35 DS3P
4096 MB DDR-800 CL4 A-Data Vitesta Ex.
Sapphire HD4890 Vapor-X
60 GB OCZ Vertex
80 GB WD Caviar SE
    
Enermax Liberty 400W
Black ICE Stealth GT360 @ SilenX
                                                      





AMD X2 240 @ Shuriken
Asrock M3A785GMH
2048 MB MDT DDR-800
SkyStar 2HD
Cinergy DT USB XS Diversity
WD15EADS
Seasonic S12II 330W
OrigenAE S10V