Umgebung: Windows- basiertes Netzwerk
Betriebssysteme: win 2k pro und Srv; win XP
Problem:
Am Server sind einige Freigaben aktiviert.
Zugriff wurde nur für bestimmte User definiert.
Nun verbinde ich mich mit einer solchen Freigabe (z.B:\Server\c$) und werde nach Username und Passwort gefragt.
Anschliesend öffnet sich ein Fenster mit den Dateien der Freigabe.
Soweit OK.
Wenn ich dieses Fenster schließe, und mich anschließend wieder mit der Freigabe verbinde, erscheint OHNE Autentifizierung der Inhalt der Freigabe.
Das heisst, irgendwo werden diese Anmeldedaten anscheinend zwischengespeichert.
Eine erneute Autentifizierung gegenüber diese Freigabe erfolgt erst nach einem Reboot des „zugreifenden PC´s“.
Weiss jemand wo diese Anmeldedaten zwischengespeichert werden, bzw. wie man dieses „feature“ deaktivieren kann?
Wenn ich dieses Fenster schließe, und mich anschließend wieder
mit der Freigabe verbinde, erscheint OHNE Autentifizierung der
Inhalt der Freigabe.
Weiss jemand wo diese Anmeldedaten zwischengespeichert werden,
bzw. wie man dieses „feature“ deaktivieren kann?
Hi M.E,
schau Dir mal die Dateien mit der Endung .PWD an.
Gruß Wolfgang
Hi M.E,
schau Dir mal die Dateien mit der Endung .PWD an.
Gruß Wolfgang
Hallo Wolfgang,
thanx für die rasche antwort, jedoch…
Weder am w2k noch am win XP Client konnte ich eine Datei mit dieser Endung finden.
Hast du evtl. noch eine andere Idee?
Hallo,
Weiss zwar nicht, wo es gespeichert wird, aber wenn Du in der Dos-Box
net use * /delete
eingibst, werden alle Netzlaufwerke getrennt und die Authentifizierungsdaten gelöscht.
Ciao
Kaj
Weder am w2k noch am win XP Client konnte ich eine Datei mit
dieser Endung finden.
PWD gab es bei Windows 98, Windows NT verwendet SAM-Dateien.
SAM heisst Security Access Management und befindet sich unter Windows NT im Verzeichnis
%Systemroot%\winnt\system32\config\SAM.
Bei WindowsXP Professional im Verzeichnis
%Systemroot%\WINDOWS\system32\config\SAM.
Vielleicht hilft Dir SAMlog weiter.
Gruß
Rainer
Wenn ich dieses Fenster schließe, und mich anschließend wieder
mit der Freigabe verbinde, erscheint OHNE Autentifizierung der
Inhalt der Freigabe.
Das heisst, irgendwo werden diese Anmeldedaten anscheinend
zwischengespeichert.
Der Fileserver (egal, welches BS) behält die Anmeldedaten (IP-Adresse des Client und User) bis zum festgelegten Timeout (ich weiß jetzt nicht, wie das unter Windows konfiguriert werden kann - aber zumindest bei den Server-Versionen muß das gehen).
Eine erneute Autentifizierung gegenüber diese Freigabe erfolgt
erst nach einem Reboot des „zugreifenden PC´s“.
oder bis zum Benutzerwechsel: melde dich doch mal als Admin an und dann als „normaler user“ und versuch auf die Freigaben zuzugreifen, zu denen du vorher als Admin verbunden warst.
Auch wenn du eine als Netzlaufwerk verbundene Freigabe wieder trennst, werden afaik diese Daten „reseted“.
Gruß
Ijon_Tichy
PWD gab es bei Windows 98, Windows NT verwendet SAM-Dateien.
SAM heisst Security Access Management und befindet sich unter
Windows NT im Verzeichnis
%Systemroot%\winnt\system32\config\SAM.
Bei WindowsXP Professional im Verzeichnis
%Systemroot%\WINDOWS\system32\config\SAM.
Vielleicht hilft Dir SAMlog weiter.
Danke Rainer,
das stimmt natürlich, war auf einer anderen Baustelle.
(freudscher Fehler)
Gruß Wolfgang
Hallo zusammen,
Das mit *.pwd kam mir sowieso im ersten Moment schon ein wenig spanisch vor… (…kann passieren, macht nix)
Der Tipp mit der Sam (bzw. der Sam.log) scheint mir schon etwas logischer.
Beim Versuch einen Blick in das log zu werfen poppt die Fehlermeldung
"Die Datei „…\sam.log kann nicht geöffenet werden. Stellen Sie sicher das sich ein Datenträger im angegebenen Laufwerk befindet“
auf.
Nun vermute ich folgende Ursachen:
-
Die Datei SAM, sowie die Datei SAM.log sind verschlüsselt.
Wenn ja:
?? Frage, wie kann ich das log dann auswerten ??
-
Der Dateizugriff wird von einem Dienst gesperrt.
Wenn ja:
?? Welcher Dienst muss dafür gestoppt werden ??
Grundsätzlich ist mir der Inhalt dieses logs ja egal, denn primär möchte ich ja das Zwischenspeichern der Anmeldedaten generell verhindern.
Gibts da nicht evtl. einen Registry- Eintrag um dies zu unterbinden?
Hallo Kaj,
danke für den Tipp, jedoch erscheint mir das so umständlich, als würde man sich anstatt mit der Hand grundsätzlich mit dem Fuss durch die Harre streichen. ;o)
Im Ernst:
Da müsste ich ein Skript schreiben, das nach jedem Zugriff auf eine Freigabe die Netzlaufwerkverbindung trennt, (gleichzeitig die Anmeldedaten löscht) und anschließend die Verbindung wieder herstellt, damit der Zugriffsmöglichkeit für den User aufrecht erhalten bleibt (soll ja so sein).
Da wäre ein unheimlicher Aufwand und eine massive Belastung unseres Netzes, die einfach nicht drinn ist.
Zur Info, ich rede hier von ca. 250 Usern, bei denen ich so ein Skript implementieren müsste…
Irgendwie muss das ja viel einfacher gehen, irgenein Registrykey oder so…
Aber trotzdem vielen Dank für deine Anregung
[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]
Hallo M.E,
Grundsätzlich ist mir der Inhalt dieses logs ja egal, denn
primär möchte ich ja das Zwischenspeichern der Anmeldedaten
generell verhindern.
Die werden nicht gespeichert, sondern beim Anmelden wird eine Session geöffnet, genauso, als ob du lokal angemeldet bist. Bis zum Logoff (=Abmelden) bleibt sie offen, es sei denn …
Gibts da nicht evtl. einen Registry- Eintrag um dies zu
unterbinden?
du änderts z.B. die Vorgabe in
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SeCEdit\Reg Values\MACHINE/System/CurrentControlSet/Services/LanManServer/Parameters/AutoDisconnect
oder aktivierst Group Policies: start - ausführen - gpedit.msc (das ist ein SnapIn für die MMC). Aber - die Policies sind eben nicht einer von den 1001 Tips zum Tuning der Registry, da kommst du um etwas Lektüre nicht herum.
hth
Ijon_Tichy
Hallo M.E
Im Ernst:
Da müsste ich ein Skript schreiben, das nach jedem Zugriff auf
eine Freigabe die Netzlaufwerkverbindung trennt, (gleichzeitig
die Anmeldedaten löscht) und anschließend die Verbindung
wieder herstellt, damit der Zugriffsmöglichkeit für den User
aufrecht erhalten bleibt (soll ja so sein).
Das versteh ich jetzt nicht. Du willst auf eine Ressorce zugreifen, die Session wieder beenden und dann neu zugreifen?
Wenn du (so wie ich das verstehe) als Administrator mit entsprechenden Rechten versehen bist, so geht dieselbe Aktion doch nicht unbedingt im Userkontext.
Bsp: (Client W2K) Netzlaufwerk verbinden, unter anderem User anmelden, Userid + Passwort eingeben - nach Ende der Aktion Netzlaufwerk freigeben. Dann sollte der User nicht mehr mit deinen Rechten zugreifen können.
Oder seh ich das jetzt total verkehrt?
Gruß
Ijon_Tichy
Hallo M.E
Das versteh ich jetzt nicht. Du willst auf eine Ressorce
zugreifen, die Session wieder beenden und dann neu zugreifen?
Wenn du (so wie ich das verstehe) als Administrator mit
entsprechenden Rechten versehen bist, so geht dieselbe Aktion
doch nicht unbedingt im Userkontext.
Bsp: (Client W2K) Netzlaufwerk verbinden, unter anderem User
anmelden, Userid + Passwort eingeben - nach Ende der Aktion
Netzlaufwerk freigeben. Dann sollte der User nicht mehr mit
deinen Rechten zugreifen können.
Oder seh ich das jetzt total verkehrt?
Gruß
Ijon_Tichy
No, no…
Ich möchte folgende Situation verhindern:
Ein User ruft mich (Admin) um Hilfe.
Ich komme hin, erkenne das Problem, und greife von sinem PC aus auf eine administrative Freigabe zu, auf die der User mit seinem account keine Rechte hat (z.B: \Server\d$)
Anschließend muss ich mich ja an dieser Freigabe autentifizieren.
Wenn dieser Schritt erfolgreich erledigt ist, poppt ein Fenster mit dem Inhalt der Freigabe auf.
So weit, so gut.
Wenn ich meine Arbeit am User-PC erledigt habe und weg gehe, kann der User wieder auf die administrative Freigabe zugreifen, und zwar OHNE Autentifizierung!
Er gibt erneut z.B:\server\d$ ein und sieht SOFORT die Daten, OHNE das er sich autentifizieren muss.
Die Anmeldedaten werden also anscheinend im System irgedwo gecacht und bleiben dort solange, bis die Maschine rebootet wird.
Erst nach einem Reboot ist zum Zugriff auf die Freigabe eine Autentifizierung nötig.
Und genau das möchte ich verhindern.
Ich möchte, das bei jedem Zugriff auf diese Ressource eine Autentifizierung erfolgen muss!!
Kann ich dies mit dem genannten Registry-Key erreichen?
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\SeCEdit\RegValues\MACHINE/System/CurrentControlSet/Services/LanManServer/Parameters/AutoDisconnect
Ich glaube, ich habe das Problem verstanden, ok, im Heimnetz auch nicht soo wichtig 
Sieht so aus, als ob die Berechtigung serverseitig nur einmal geprüft wird.
Kann ich dies mit dem genannten Registry-Key erreichen?
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\SeCEdit\RegValues\MACHINE/
System/CurrentControlSet/Services/LanManServer/Parameters/AutoDisconnect
Ich bin mir nicht sicher, ich hatte nur nach RegKeys gesucht, die bezug auf den LanManager nehmen, und nach der Key-Bezeichnung würde ich darauf tippen, das sich ein idle-timeout dahinter verbirgt, nach dessen Ablauf die Session getrennt wird. Aber in diesem Bereich sollte sich was finden lassen, oder unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver…
Ich hoffe, das du da fündig wirst
Ijon_Tichy