ComputerBase Menü
Aktuelles

Wie versch. Freigaben an versch. User im privaten LAN vergeben?

TheManneken

TheManneken

Wokie Ultra Pro
Administrator
Registriert
Sep. 2006
Beiträge
10.910
Hallo!

Ich habe ein Netzwerk aus mehreren Rechnern zu Hause. Auf meinem PC läuft XP Pro und ich möchte ein paar Ordner an die anderen Rechner freigeben, auf denen teilweise Home und Pro läuft. Allerdings soll jeder User verschiedene Rechte bekommen. Das schaffe ich aber nur für die lokalen Benutzerkonten, nicht aber für die Konten im Netzwerk.

Die Computer befinden sich natürlich alle in der gleichen Arbeitsgruppe und haben die IPs 192.168.0.1 und .2 und .3 und so weiter...
 
Hallo,

Du hast es schon richtig erwähnt - das schaffst Du nur über die lokalen Benutzerkonten. Jeder Benutzer muss auf Deinem Rechner ein lokales Benutzerkonto eingerichtet bekommen, dessen Rechte Du dann entsprechend konfigurierst. Damit keine Aufforderung zur Benutzernamen- und Passworteingabe bei der Verbindung erscheint, kann man die gleichen Benutzernamen und Passwörter lokal bei Dir einrichten, die auch auf den anderen Rechnern genutzt werden.

Windows "probiert" zuerst den Benutzernamen / Kennwort des angemeldeten Benutzers.

Für alles andere reicht eine Arbeitsgruppe nicht mehr, da bräuchtest Du schon eine Domäne und die kannst Du erst mit einem Server-OS von Microsoft hochziehen.

Grüße
Stage Zero
 
Damit keine Aufforderung zur Benutzernamen- und Passworteingabe bei der Verbindung erscheint, kann man die gleichen Benutzernamen und Passwörter lokal bei Dir einrichten, die auch auf den anderen Rechnern genutzt werden.

Windows "probiert" zuerst den Benutzernamen / Kennwort des angemeldeten Benutzers.
Zum Vergrößern anklicken....

Nein, das ist falsch.Windows interessiert überhaupt nicht, wer sich unter welchem Namen auf dem zugreifendem Rechner eingeloggt hat, auch wenn der Anmeldenamen identisch ist.NT-Systeme arbeiten mit SIDs.Wenn du auf Rechner A einen Account X hast und möchtest auf Rechner B, auf dem ebenfalls ein Account X existiert (beide angenommenerweise mit gleichen Kennworten), dann haben beide Accounts ganz unterschiedliche SIDs, so dass sich nicht der eine eingeloggte Account automatisch als der andere identifiziert.Konkret heißt das, das Kennwort - auch wenn es identisch ist - muss bei einer Netzwerkverindung neu eingegeben werden (kann dann allerdings dauerhaft gespeichert werden).

Anders gelagert ist es, wenn man von Win 9x auf ein NT-System im Netzwerk zugreifen möchte, dann meldet sich der Win 98-Rechner automatisch (d.h., den Anmeldenamen kann ich nicht beinflussen) auf dem Zielrechner an, allerdings auch hier muss das Kennwort neu eingegeben werden, weil auch dann wenn der Anmeldename auf dem NT-Zielrechner existiert, ein neues Kennwort abgefordert wird (wäre sonst ja auch ein sicherheitstechnischer Witz, wenn ich mich auf einem Rechner mit Kennwort als Admin anmelde, und habe dann automatisch die Admin-Berechtigung für den Zielrechner).

Deutlich werden diese Mechanismen in der Syntax des Befehls net use, der bei Win 98 immer ohne Benutzernamen läuft, bei NT aber immer mit.
 
Zuletzt bearbeitet:
Kuhni Linugs,

wenn Du die Möglichkeit hast es auszuprobieren, probiere es bitte aus. Ich kann nur nochmals erneut bestätigen, dass es funktioniert. :-)

Sobald Du es ausprobiert hast, wirst Du Deinen Beitrag revidieren müssen.

Grüße
Stage Zero
 
Ich kann nur nochmals erneut bestätigen, dass es funktioniert. :-)
Zum Vergrößern anklicken....

Es funktioniert bei dir aus einem ganz einfachen Grund.Du hast bei der ersten Verbindung das Kennwort gespeichert.Lösche das Kennwort über control userpasswords2, und du wirst sehen, dass es nicht mehr funktioniert.
 
Kuhni Lingus,

ich habe das Kennwort nicht gespeichert - sowas macht man einfach nicht und ausserdem bin ich nicht blöd. Ich finde es ehrlich gesagt zum kotzen, dass Du vehement etwas behauptest, was definitiv nicht stimmt.

Mit SIDs arbeitet Windows nur innerhalb der Domäne, aber nicht innerhalb einer Arbeitsgruppe.

Und jetzt lass mich in Ruhe und laber weiter Blödsinn.
 
@StageZero

Mit SIDs arbeitet Windows nur innerhalb der Domäne, aber nicht innerhalb einer Arbeitsgruppe
Zum Vergrößern anklicken....


Lies mal hier :

http://www.winfaq.de/faq_html/tip0819.htm


Oder auch hier :

Die Erstellung neuer SIDs ist eine der wichtigsten Funktionen von Sysprep. Dieser Schritt verhindert, dass im gleichen Netzwerk zweimal der gleiche SID existiert, wodurch Probleme sowohl in der Arbeitsgruppe als auch in den Domain-Umgebungen verursacht würden.
Zum Vergrößern anklicken....

Quelle : http://www.heisig-it.de/sysprep.htm


Ist schon traurig, wie wenig Ahnung du hast.
 
Zuletzt bearbeitet:
Zitat:

Authentifizierungsmethoden

Die Kontoauthentifizierung wird mit einer der folgenden beiden Methoden durchgeführt:
•Authentifizierung anhand der lokalen Kontodatenbank (für Computer in Arbeitsgruppen sowie für eigenständige Computer)
•Authentifizierung anhand einer Domänenkontodatenbank, die sich auf einem Domänencontroller befindet (für Computer in einer Domäne)
In der Standardeinstellung verwendet Windows XP Professional für den Domänenzugriff das Kerberos V5-Authentifizierungsprotokoll und für den lokalen Zugriff NTLM.
Wenn Sie sich an einer Active Directory-Domäne anmelden, verwendet Windows XP Professional als primäre Quelle für die Benutzerauthentifizierung Kerberos V5-Sicherheitsprozeduren. Hierbei wird auf dem Domänencontroller nach dem Kerberos KDC-Dienst (KDC – Key Distribution Center) gesucht. KDC ist der Kontoauthentifizierungsdienst, der auf allen Windows 2000- und Windows Server 2003-Domänencontrollern ausgeführt wird.
In einer Windows NT 4.0-Umgebung authentifizieren sich Windows 2000 und Windows XP Professional mit NTLM bei der Windows NT-Sicherheitskontenverwaltung (SAM-Datenbank) der Domäne, die sich auf einem Windows NT-Domänencontroller befindet.
Wenn sich Benutzer lokal an einer Arbeitsstation oder an einem eigenständigen Server bzw. einem Mitgliedsserver anmelden, erfolgt die Authentifizierung anhand der lokalen Datenbank nicht über das Kerberos V5-Protokoll, sondern über NTLM. Die lokale Kontodatenbank auf Windows XP Professional- und Windows 2000-Computern ist eine SAM-Datenbank, ähnlich der bereits in Windows NT 4.0 und älteren Versionen verwendeten Datenbank.



Quelle: http://www.microsoft.com/germany/technet/prodtechnol/winxppro/reskit/c23621675.mspx



Daraus ergibt sich, dass Windows in einer Arbeitsgruppe NTLM nutzt. Kommen wir also zu NTLM, der Einfachheit halber nur ein Link...



http://www.innovation.ch/personal/ronald/ntlm.html



Wenn Du Dir die technische Beschreibung von NTLM ansiehst, wirst Du im Antworttyp Message 3 feststellen, dass der Username als String - also Zeichenkette - übertragen wird. Weiterhin ist erwähnt, dass nicht die SID, sondern der Benutzername selbst übermittelt wird.



Erst Kerberos arbeitet ausschließlich mit SIDs, dies setzt jedoch einen DC (Domänencontroller) und AD (Active Directory) voraus.



So... Und wer hat nun wenig Ahnung?
 
Was ist denn das jetzt wieder für eine verquere Argumentation ?

Wenn Du Dir die technische Beschreibung von NTLM ansiehst,......
Zum Vergrößern anklicken....

Weiterhin ist erwähnt, dass nicht die SID, sondern der Benutzername selbst übermittelt wird.
Zum Vergrößern anklicken....

Das ist an keiner einzigen Stelle erwähnt.Dass der User-Name als String übermittelt wird, besagt hier ja nichts; das ist die SID, sonst nix.Da wird nicht der Benutzername Hans,Peter oder sonstwas übermittelt.Außerdem wird in deiner Quelle bezüglich des Protokolls unterschieden, da solltest du dann besser auf SMB und nicht auf HTTP verweisen.

Ich verstehe auch gar nicht, warum du meine diesbezüglichen Verweise nicht zur Kenntnis nimmst; die sind doch eindeutig.


So... Und wer hat nun wenig Ahnung?
Zum Vergrößern anklicken....

Also für mich keine Frage :p
 
Zuletzt bearbeitet:
Kuhni Lingus,

was Du durcheinanderwirfst ist das Hashen des Passwortes. Das hat zu DOS-Zeiten und Windows9x-Zeiten noch nicht stattgefunden. Der LanManager übertrug daher das Passwort ungehasht im Klartext. Jedoch überträgt er bis heute noch immer die Benutzernamen im Klartext.

Deine Informationen beziehen sich lediglich auf Domänensysteme. Zitat aus Deinem Link: "Da in der SID auch die betreffende Domäne des Benutzer hinterlegt wird, ändert sich die SID eines Benutzers, wenn er in eine andere Domäne verschoben wird. Nur wenn die entsprechenden Domänen im "native Mode" betrieben werden, sorgt Windows für die entsprechende Rechteanpassung und der Anwender kann ohne Probleme weiterarbeiten. Ansonsten müssen alle Rechte neu vergeben werden, weshalb eine Verschiebung eines Benutzers in eine andere Domäne gut überlegt sein sollte."

Da steht zugegebenermaßen nicht direkt, dass mit der SID nur ausschließlich innerhalb der Domäne gearbeitet wird, impliziert das aber bereits. Ergänzend meine Informationen betrachtet, die von Microsoft direkt selbst stammen, wird offensichtlich, dass Du auf dem Holzweg bist.

Windows XP arbeitet nur an zwei Stellen mit SIDs. Einmal intern in der lokalen Benutzerverwaltung und einmal innerhalb einer Domäne. Über eine Arbeitsgruppe oder alles sonst was über den LanManager läuft hinweg, jedoch nicht. Hier werden die Benutzernamen nichtmal gehasht oder verschlüsselt, sondern im Klartext übertragen.

Genau das ist auch Sinn einer Arbeitsgruppe, dass Benutzer auf lokale Ressourcen entfernter Rechner zugreifen können ohne viel Aufwand. Genau deshalb hat Microsoft sich für diesen Weg entschieden, damit eben nicht immer wieder die Benutzer- und Passwortabfrage aufpoppt.

Komischerweise habe ich hier insgesamt 4 Rechner stehen, die in einer Arbeitsgruppe organisiert sind. Was soll ich sagen - ich habe halt nicht nur das theoretische Wissen darüber sondern auch die praktische Erfahrung damit. Ausserdem habe ich schon größere Netzwerke (500 Clients) betreut und gewartet sowie auch kleinere Arbeitsgruppen (max. 20 Rechner) eingerichtet.

Jetzt mal die Frage an Dich - woher beziehst Du Deine Informationen, welche praktischen Erfahrungen hast Du vorzuweisen.

Grüße
Stage Zero
 
Deine Informationen beziehen sich lediglich auf Domänensysteme....
Zum Vergrößern anklicken....

Windows XP arbeitet nur an zwei Stellen mit SIDs. Einmal intern in der lokalen Benutzerverwaltung und einmal innerhalb einer Domäne. Über eine Arbeitsgruppe oder alles sonst was über den LanManager läuft hinweg, jedoch nicht.
Zum Vergrößern anklicken....

Nein, das gilt auch für Workgroups; siehe z.B. hier :

Duplicate SIDs aren't an issue in a Domain-based environment since domain accounts have SID's based on the Domain SID. But, according to Microsoft Knowledge Base article Q162001, "Do Not Disk Duplicate Installed Versions of Windows NT", in a Workgroup environment security is based on local account SIDs. Thus, if two computers have users with the same SID, the Workgroup will not be able to distinguish between the users.
Zum Vergrößern anklicken....

Quelle :http://www.sysinternals.com/Utilities/NewSid.html
 
Kuhni Linugs,

Dir ist bekannt, dass es eine User-SID (für Benutzerkonten) und eine Computer-SID (für den gesamten Rechner) gibt?

Grüße
Stage Zero
 
Hier noch weitere Informationen:

Die Tatsache, dass XP Professional und Windows 2000 normalerweise ein Benutzerkonto und Passwort für den Zugriff von außen auf eine Freigabe voraussetzen, stellt die Ursache für die wohl häufigsten Netzwerkprobleme dar. Wenn auf dem zugreifenden Rechner ein Konto mit demselben Namen existiert, versucht Windows, sich mit dessen Passwort beim Server anzumelden. Das leistet der eigentlich unsicheren Praxis Vorschub, überall dasselbe Passwort zu benutzen.
Quelle: http://www.heise.de/netze/artikel/print/78715

Mit solchen eindeutigen Informationen aus vertrauenswürdigen und angesehenen Quellen kann ich Dich totposten, falls Du weiterhin diesen Schwachsinn von Dir lässt.
 
Dir ist bekannt, dass es eine User-SID (für Benutzerkonten) und eine Computer-SID (für den gesamten Rechner) gibt?
Zum Vergrößern anklicken....

Das spielt doch aber jetzt in diesem Kontext keine Rolle.Es heißt ja in der sysinternals-Quelle :


Thus, if two computers have users with the same SID, the Workgroup will not be able to distinguish between the users
Zum Vergrößern anklicken....

und nicht etwa :

Thus, if two computers have users with the same SID, the Workgroup will not be able to distinguish between the machines
Zum Vergrößern anklicken....

Und dass sysinternals.com als kompetente Quelle angesehen werden muss, wirst du sicherlich nicht bestreiten.
 
Ach...

Sysinternals hat also mehr Ahnung als Microsoft selbst, Heise und der praktische Beweis?

Was bist Du denn für ein Troll - für mich ist das Thema beendet. Solche "Fachleute" wie Du schaden der ganzen Branche. Nicht nur, dass sie Mist erzählen, nein sie verbreiten auch noch Falschinformationen die andere glauben. Sowas wie Dich sollte man aus dem Internet verbannen und für entstehenden Arbeitsaufwand aus solchem Schwachsinn auf Schadensersatz verklagen.
 
Was bist Du denn für ein Troll - für mich ist das Thema beendet. Solche "Fachleute" wie Du schaden der ganzen Branche. Nicht nur, dass sie Mist erzählen, nein sie verbreiten auch noch Falschinformationen die andere glauben. Sowas wie Dich sollte man aus dem Internet verbannen und für entstehenden Arbeitsaufwand aus solchem Schwachsinn auf Schadensersatz verklagen.
Zum Vergrößern anklicken....

Ah ja, jetzt sind dir die sachlichen Argumente ausgegangen.Du bist doch derjenige, der hier ständig Falschbehauptungen aufgestellt hat; und ich denke aufgrund der Links und zitierten Quellen ist das für den interessierten Leser auch hinreichend deutlich geworden.Wem dann nichts mehr anderes einfällt als dümmliche Verbalinjurien, stellt sich unfreiwillig ein Armutszeugnis aus.
 
TheManneken,

in Beitrag #2 steht doch alles...

Grüße
Stage Zero
 
@TheManneken

Hast du die erweiterte Dateifreigabe aktiviert ?

Explorer - Extras - Ordneroptionen - Ansicht -Einfache Dateifreigabe verwenden: Checkbox deaktivieren

Die Freigaben müssen dann bezüglich der Zugriffsrechte mit den NTFS-Sicherheitseinstellungen synchron konfiguriert sein.D.h., wenn ein Benutzer in den NTFS-Einstellungen Vollzugriff hat, dann muss das auch in den erweiterten Freigaben so konfiguriert sein.Du mußt dir das wie eine Art doppelten Filter vorstellen, der vor den Netzwerkzugriff geschaltet ist.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

DFFVB
Kurzes Review Qnap Qhora 301 / verschieden WLAN Router im Vergleich (Asus, Zyxel, QNAP, Synology)
Antworten
1
Aufrufe
1.417
Mickey Mouse
Mickey Mouse
K
Freigaben im versch. Subnetzen
Antworten
6
Aufrufe
855
Raijin
Raijin

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 187 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz