Windows Netzwerkfreigaben - Funktionsprinzip?

copyabd_b72acf · 30. September 2010 um 15:08

Hallo, nach jahrelanger Nutzung von Windows Netzwerken ist mit aufgefallen, dass ich die Funktionsweise dieser niemals zu 100% verstanden habe. Freigaben hier, Arbeitsgruppen dort…irgendwann funktioniert alles.

Dennoch wüsste ich gerne, wie Windows Netzwerke im Allgemeinen aufgebaut sind und genauer: Wie Freigaben funktionieren.

Hier mal ein Beispiel-Setup:

_____________________________________

Rechner 1
OS: Windows Server 2008 R2
Rechnername: SERVER
IP: 192.168.0.1
Lokaler Nutzer 1: Administrator
Arbeitsgruppe: COCACOLA
Gastzugriff für Freigaben: deaktiviert

Rechner 2
OS: Windows 7
Rechnername: MUSTERMANN
IP: 192.168.0.2
Lokaler Nutzer 1: Max
Arbeitsgruppe: PEPSI

Netzwerkdrucker/Scanner
IP: 192.168.0.3

_____________________________________

Nun gebe ich einen Ordner („test“) auf Rechner 1 frei. Für diesen richte ich keine Gastzugriff ein. Einzig Berechtigte sind Mitglieder der Administratorengruppe. So ist es ja Default, wenn man in einem frischen Windows Server 2008 einen Ordner freigeben möchte.
Greife ich jetzt vom Rechner 2 auf Rechner 1 zu ("\192.168.0.1\test"), gibt es einen Fehler. Es kann, trotz funktionierendem Ping, erscheint nicht einmal ein Dialog, in dem ich einen Benutzernamen samt Passwort eingeben könnte.

ABER:
Baue ich eine Verbindung vom Netzwerkdrucker/Scanner mit Angabe der IP, des Freigabeordnernamens und Benutzername und Passwort auf, funktioniert es einwandfrei. Der eingebaute Scanner kann seine Dateien in diesen Ordner ablegen.

Was ist nun der Unterschied zwischen Netzwerkdrucker und Rechner 2?

Alexander_H_ler · 30. September 2010 um 16:38

Der Scanner ist ein Gerät das beim Server installiert und somit identifiziert ist. Der Benutzer dagegen ist bei der momentanen Beschreibung lediglich auf dem Client, jedoch nicht am Server identifiziert.

Zunächst mal muss man zwischen Sicherheitsfreigabe und Netzwerkfreigabe entscheiden. Da der Server den Benutzer vom Client nicht (aner)kennt, hat dieser keine Sicherheitsfreigabe. Ohne selbige bekommt er Netzwerkfreigaben erst gar nicht zur Auswahl.

Damit der Server einen Benutzerzugriff zulässt, sollte dieser als Domänencontroller eingerichtet werden. Mit einem Domänencontroller werden Benutzerkonten nicht mehr lokal, sondern auf dem Server verwaltet. Eine Kopie des Profils wird mitunter noch immer lokal gespeichert, die Verwaltung übernimmt jedoch der Server. Ist der Dienst eingerichtet, kann man dann Sicherheits- und Freigabezugriffe für die Benutzerkonten anlegen.

Dafür muss die Clientanmeldung natürlich verändert werden. Sobald die Domäne samt Benutzerkonto eingerichtet ist, gehst du im Client über die Systemsteuerung auf System -> Computername und klickst dort auf „ändern“. Hier kann dann die Domäne eingetragen werden. Ein Neustart ist höchstwahrscheinlich erforderlich. Danach solltest du die Möglichkeit haben, dich nicht nur lokal, sondern auch an der Domäne anzumelden.

PLansch_tzer · 30. September 2010 um 21:16

Bin leider zu wenig Experte. Deine Frage kann ich sicher zu wenig präzise beantworten. Viel Glück

Peter

copyabd_b72acf · 30. September 2010 um 22:20

Der Scanner ist ein Gerät das beim Server installiert und
somit identifiziert ist.

Nein, der Scanner ist ein Netzwerkscanner und nicht an den Server angelossen (z.B. durch USB).
Der Scanner ist in einem Multifunktionsgerät integriert und legt gescannte Dateien eben in einen beliebigen freigegebenen Ordner ab, den man beim Multifunktionsgerät angeben muss.

Da der Server den Benutzer vom Client nicht (aner)kennt, hat dieser keine Sicherheitsfreigabe. Ohne selbige bekommt er Netzwerkfreigaben erst gar nicht zur Auswahl.

Wie erklärt sich dann der Sachverhalt mit dem Scanner? Er hat definitiv Zugriff.

Damit der Server einen Benutzerzugriff zulässt, sollte dieser als Domänencontroller eingerichtet werden.

Ist das wirklich notwendig? Scheinbar nicht, aus zweierlei Gründen:

1.) Habe ich das „Problem“ in den Griff bekommen. Der Gast-Account war auf dem Server doch aktiviert. Nachdem ich ihn deaktiviert habe, hatte ich die Möglichkeit, in einem Dialog den Benutzernamen und Passwort des Servers einzugeben.

Meine Theorie: Ich hatte keine Netzwerkfreigabe für „Jeder“ (also auch Gast) eingerichtet, sondern nur Administratoren. Durch die Aktivierung des Gast-Account hat aber der Client zuerst diese Möglichkeit wahrgenommen und sich mit dem Server verbunden. Leider hatte er dann aber keinerlei Rechte, und hat einen Fehler angezeigt.
ALLERDINGS: Warum hat der Zugriff dann mit dem Scanner geklappt? Das ist nicht ganz schlüssig.

Normalerweise ist doch der Ablauf so:
1.) Der Client versucht, auf eine Freigabe des Servers zuzugreifen. Er sendet dazu in einem Protokoll den Username und Passwort.
2.) Der Server schaut, ob es einen lokalen Nutzer gibt, der diesen Angaben (Login/Pass) entspricht.
3.) Ist dies nicht der Fall, wird geschaut, ob es erlaubt ist, „anonym“ auf die Daten zuzugreifen (Stichpunkt: Gastzugriff).
4.) Wenn alle Stricke reißen, wird dem Client die Möglichkeit gegeben, sich via Login-Dialog anzumelden.

Bei obiger Aufführung ist noch nicht berücksichtigt, dass es auch Zugriffs-Einschränkungen geben kann.

Ist das soweit korrekt? Was sagen die Experten?

ubbriese · 6. Oktober 2010 um 16:49

Hallo,
anpingen und Drucken funktioniert immer dann wenn du im selben IP-Pool bist, also 192.168.0.XXX.
Aber zugriff bekommt man auf dem PC nur wenn darüber hinaus auch die selbe Arbeitsgruppe hinterlegt ist.
Nicht cocacola und Pepsi, sondern schorle und schorle
Hoffe es konnte helfen.

copyabd_b72acf · 7. Oktober 2010 um 11:44

Hallo ubbriese,

und wie erklärst Du es Dir dann, dass der Netzwerkscanner, für den gar keine Arbeitsgruppe angegeben ist, darauf zugreifen kann?

Diese Aussage widerspricht auch meinen Beobachtungen vom Posting vom 30.09.2010 22:20.

Viele Grüße