Netzwerkfreigabe nicht zugriffsfähig

Hallo zusammen,

ich habe ein Problem: ich versuche momentan in der Firma, eine Datei auf einem Server (in der Domäne „C“) für Mitarbeiter, die in anderen Netzen/Domänen arbeiten, zugänglich zu machen. Dazu habe ich auf dem Server den Ordner der Datei mit der Windows-Freigabe freigegeben und die SMB-Ports der Firewall öffnen lassen. Anschließend habe ich auf dem Server einen neuen Benutzer angelegt, welcher lese-und schreibberrechtigt ist auf diesem freizugebenen Ordner.
Versuche ich nun, mich vom Arbeitsplatz mit \„Servername“ bzw. IP"c"$„Ordnername“ (natürlich ohne Gänsefüßchen) Zugriff auf die freigegebenen Dateien zu erhalten, kommt stets eine Meldung, die verkündet, der Pfad sei nicht gefunden worden. Lasse ich den letzten „Ordnername“ weg, kommt ein Fenster, in welchem ich mich mit Nutzername und Kennwort anmelden muss. Dort trage ich die Daten des von mir auf dem Server installierten Benutzers ein, doch dann folgt die Meldung, es gäbe Konflikte mit den vorhandenen Anmeldedaten und dem Konto. An der Verbindung oder der Firewall kann das Problem ja nicht liegen, denn den Ordner sehe ich ja im Explorer, erst beim öffnen des Ordners kommt die stets schieflaufende Abfrage. Hat bitte bitte irgendwer eine Idee? Ich bin schier am verzweifeln.
Vielen lieben Dank.

Daniel

hi

IP\c$\Ordnername

Lasse ich den letzten „Ordnername“ weg, kommt ein
Fenster, in welchem ich mich mit Nutzername und Kennwort
anmelden muss. Dort trage ich die Daten des von mir auf dem
Server installierten Benutzers ein, doch dann folgt die
Meldung, es gäbe Konflikte mit den vorhandenen Anmeldedaten
und dem Konto.

hat der auf dem Server angelegte Benutzer Administratorrechte ? wenn nein, kann es nicht klappen weil c$ genauso wie Admin$ eine adminitrative Freigabe ist

gib den Ordner frei auf den der Anwender zugreifen können soll - vergib einen x-beliebigen Freigabe-Namen und verbinde dann zu \servername\Freigabe-Name

Gruß H.

Hallo Hexerl
vielen Dank für die Antwort,

hat der auf dem Server angelegte Benutzer Administratorrechte
? wenn nein, kann es nicht klappen weil c$ genauso wie Admin$
eine adminitrative Freigabe ist

Ne, er hat in der Tat keine Admin-Rechte (bei dieser Art des Ordneraufrufs kommt aber wenigstens noch das Fenster, in welchem der Benutzer sich anmelden soll).

gib den Ordner frei auf den der Anwender zugreifen können soll

• vergib einen x-beliebigen Freigabe-Namen und verbinde dann
  zu \servername\Freigabe-Name

Das hab ich nun gemacht. Die Meldung ist einfach bloß: „Auf „Servername“ kann nicht zugegriffen werden. Zugriff verweigert!“.
Woran kann das liegen?

für Mitarbeiter,
die in anderen Netzen/Domänen arbeiten,

Das geht auch nicht so ohne weiteres.
Dazu musst du veranlassen, das diese Domäne Usern einer anderen Domäne vertraut.

Irgendwo gibt’s dafür ein Menü oder sowas „Vertrauensstellungen einrichten“.
Musst du mal nach Googeln („Windows Netzwerk Domäne Vertrauen“), ich hab das schon seit Ewigkeiten nicht mehr gemacht und darum nur noch ganz nebulös im Hinterkopf (und auch noch für Win NT).

hi

hat der auf dem Server angelegte Benutzer Administratorrechte
? wenn nein, kann es nicht klappen weil c$ genauso wie Admin$
eine adminitrative Freigabe ist

Ne, er hat in der Tat keine Admin-Rechte (bei dieser Art des
Ordneraufrufs kommt aber wenigstens noch das Fenster, in
welchem der Benutzer sich anmelden soll).

da könntest du dann ersatzweise einen Admin anmelden lassen , dann könnte zumindest auf die C$-Freigabe zugegriffen werden

dass der Zugriff direkt auf den Unterordner nicht ging ist sozusagen klar, weil ja schon der zugriff auf C$ mit dem aktuellen Benutzerkontext nicht erlaubt ist

gib den Ordner frei auf den der Anwender zugreifen können soll

• vergib einen x-beliebigen Freigabe-Namen und verbinde dann
  zu \servername\Freigabe-Name

Das hab ich nun gemacht. Die Meldung ist einfach bloß: „Auf
„Servername“ kann nicht zugegriffen werden. Zugriff
verweigert!“.
Woran kann das liegen?

bei der Angabe des lokalen Benutzernamens musst du vornedran getrennt durch \ den Namen des lokalen Servers angeben

also Anmeldename : lokalerserver\lokalerbenutzername sonst versucht der Arbeitsplatzrechner des Benutzers die aktuellen Anmeldeinformationen domänenname\domänenbenutzername für die anmeldung am Standaloneserver zu verwenden und das kennt der Standalone-Server nicht - der hat seine eigene Benutzer-Datenbank

UND bei den Freigabeeigenschaften jeder = vollzugriff einrichten !

… vielleicht lag es daran ?

Gruß H.

Das geht auch nicht so ohne weiteres.
Dazu musst du veranlassen, das diese Domäne Usern einer
anderen Domäne vertraut.

auf dem standaloneserver ist aber mW keine domäne - also kann es auch keine vertrauensstellungen geben

man muss nur auf dem Server auf den sie zugreifen sollen Benutzerkonten anlegen und diese Anmeldeinformationen beim Verbinden mitgeben

Gruß H.

Hallo nochmal

da könntest du dann ersatzweise einen Admin anmelden lassen ,
dann könnte zumindest auf die C$-Freigabe zugegriffen werden

dass der Zugriff direkt auf den Unterordner nicht ging ist
sozusagen klar, weil ja schon der zugriff auf C$ mit dem
aktuellen Benutzerkontext nicht erlaubt ist

Das klingt logisch. Mit Admin Account funktioniert es!!! Super, einen Schritt weiter!!!

bei der Angabe des lokalen Benutzernamens musst du vornedran
getrennt durch \ den Namen des lokalen Servers angeben

also Anmeldename : lokalerserver\lokalerbenutzername sonst
versucht der Arbeitsplatzrechner des Benutzers die aktuellen
Anmeldeinformationen domänenname\domänenbenutzername für die
anmeldung am Standaloneserver zu verwenden und das kennt der
Standalone-Server nicht - der hat seine eigene
Benutzer-Datenbank

Ja, das Problem ist vielmehr: Es erscheint überhaupt kein Fenster, in dem ich die Benutzerdaten eintragen könnte, er verweigert direkt den Zugriff.

UND bei den Freigabeeigenschaften jeder = vollzugriff
einrichten !

… vielleicht lag es daran ?

Also, ich habe nun in den Freigabeeigenschaften den Ordner für „jeder“ Freigegeben. Das war ein guter Tip: Nun funktioniert es einwandfrei, egal von welchem PC, von welchem Netzwerk aus, ich komme drauf, sogar übers Internet. Dann werde ich die Strategie ändern und den Server einfach jede Nacht (aus Sicherheit, da ja nun jeder, der den Link kennt, draufkommt und an der Datenbank rumbasteln kann) ein Backup von der DB ziehen lassen. (Das Ding muss übers Internet von vielen Erreichbar sein, da unsere rosa Techniker dort ihre ISDN-Daten reinschreiben).
Super, vielen lieben Dank!!!

Gruß H.

1.Ich dachte,der Server steht in einer Domäne,d.h. ist Mitglied einer solchen,dementsprechend ist ein jeder Benutzer der sich dort einloggt,ein Mitglied der Domänenbenutzergruppe.
Es sei denn,du fährst den Rechner hoch und meldest den Benutzer nicht an der Domäne an,sondern bei der Arbeitsgruppe.
Dann kann er aber auch nicht in der Domäne zugewiesene Aufgaben übernehmen,oder Rechte erhalten,die ihm in der Domäne zugewiesen sind(der Rechner)

2.Ich denke mal,du hast da eine Riesen-Sicherheitslücke aufgerissen,und das bei einem Server,der in einer Domäne steht.
Zumindest solltest du die NTFS-Rechte so setzen,dass nur Benutzer einer bestimmten Gruppe zugriffsberechtigt sind. Und dieser Gruppe die Möglichkeitkeit geben,remote zuzugreifen,d.h.sich nach Anmeldung an der Domäne auf eine Freigabe zu verbinden.Ich glaube,das heisst RAS-Zugriffsberechtigung.
Aber wie gesagt,eine Freigabe auf einem Server einer Domäne für jeden,sogar im Internet zu machen,ohne jegliche Authentifizierung,ja,überhaupt das SMB-Protokoll über die Firewall freizugeben,ist sträflicher Leichtsinn,sorry,aber das ist so. Da stellen sich mir die Nackenhaare auf. Und das bei den "rosa Männchen2? O-OOh,ich weiss schon warum ich da nicht mehr Kunde bin.

Wenn ich dein Chef oder der IT-Beauftragte deiner Firma wäre,würde ich dich sofort auffordern,das zu ändern,notfalls mit Abmahnung.
Das ist für einen Admin,der das tut oder anderen erlaubt,grob fahrlässig,und sicherlich wärst du für einen entstehenden finanziellen Schaden haftbar zu machen.

Beste Grüsse,Uwe
PS: Schickst du mir vielleicht mal den Namen der Freigabe,ich möchte gerne eine Kopie machen,von den Daten. Vielleicht kann ich damit etwas Geld verdienen. Du hast die Sache ja öfffentlich ins Netz gestellt,für jeden zugänglich,also müsste ich nicht mal in das System einbrechen,um Daten zu „klauen“.Sie sind ja von dir „veröffentlicht“.
Übrigens auch arbeitsrechtlich übel,Betriebsinterna jedermann zugänglich zu machen.Schön,dass du wenigstens einen Backup machst,nicht dass die ganze Welt die Daten hat,nur du und deine Firma nicht. lol

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

1.Ich dachte,der Server steht in einer Domäne,d.h. ist
Mitglied einer solchen,dementsprechend ist ein jeder Benutzer
der sich dort einloggt,ein Mitglied der Domänenbenutzergruppe.
Es sei denn,du fährst den Rechner hoch und meldest den
Benutzer nicht an der Domäne an,sondern bei der Arbeitsgruppe.

Nein, wieso denn das? Der Server befindet sich zwar in einer Domäne, aber vom Web aus zugänglich (drauf befindet sich auch ein Terminaldiensteserver).

Dann kann er aber auch nicht in der Domäne zugewiesene
Aufgaben übernehmen,oder Rechte erhalten,die ihm in der Domäne
zugewiesen sind(der Rechner)

Doch, kann er.

2.Ich denke mal,du hast da eine Riesen-Sicherheitslücke
aufgerissen,und das bei einem Server,der in einer Domäne
steht.

Das ist mir durchaus klar.

Zumindest solltest du die NTFS-Rechte so setzen,dass nur
Benutzer einer bestimmten Gruppe zugriffsberechtigt sind. Und
dieser Gruppe die Möglichkeitkeit geben,remote
zuzugreifen,d.h.sich nach Anmeldung an der Domäne auf eine
Freigabe zu verbinden.Ich glaube,das heisst
RAS-Zugriffsberechtigung.

Das Problem ist, dass - sobald ich die Dateien nur noch Gruppen zur Verfügung stellen, Kollegen, die sich aus anderen Domänen zugriff verschaffen wollen, ausgesperrt wurden. (Vermutlich wurden die Anmeldedaten an den Server mitübergeben).

Aber wie gesagt,eine Freigabe auf einem Server einer Domäne
für jeden,sogar im Internet zu machen,ohne jegliche
Authentifizierung,ja,überhaupt das SMB-Protokoll über die
Firewall freizugeben,ist sträflicher Leichtsinn,sorry,aber das
ist so. Da stellen sich mir die Nackenhaare auf. Und das bei
den "rosa Männchen2? O-OOh,ich weiss schon warum ich da nicht
mehr Kunde bin.

Naja, die Daten über ein WEB-Interface freizugeben wäre unsicherer. Da es sich - wie Du Dir sicher denken kannst - dabei wohl nicht um sensible Daten handelt, ist die „Riesen“-Sicherheitslücke gar nicht mal so riesig. Davon abgesehen hat unsere Server-Verwaltung nicht viel mit dem Halten von Kundenstämmen zu tun. Aber für Testsysteme ist so etwas manchmal nötig.

Wenn ich dein Chef oder der IT-Beauftragte deiner Firma
wäre,würde ich dich sofort auffordern,das zu ändern,notfalls
mit Abmahnung.

Tja, dann bin ich froh, dass Du weder das eine, noch das andere bist (wobei ich - wie ich dem wenig hilfreichen sondern eher destruktiven Stil deines Postings entnehmen kann - wohl schon eher gekündigt hätte.

Das ist für einen Admin,der das tut oder anderen erlaubt,grob
fahrlässig,und sicherlich wärst du für einen entstehenden
finanziellen Schaden haftbar zu machen.

Das möchte ich bei einem Testsystem bezweifeln. Man sollte sich erst Hintergründe über Vorgänge verschaffen, bevor man - ziemlich willkürlich und hilflos wirkend - irgendwelche Sanktionen heraufbeschwört.

Beste Grüsse,Ue
PS: Schickst du mir vielleicht mal den Namen der Freigabe,ich
möchte gerne eine Kopie machen,von den Daten. Vielleicht kann
ich damit etwas Geld verdienen. Du hast die Sache ja
öfffentlich ins Netz gestellt,für jeden zugänglich,also müsste
ich nicht mal in das System einbrechen,um Daten zu
„klauen“.Sie sind ja von dir „veröffentlicht“.
Übrigens auch arbeitsrechtlich übel,Betriebsinterna jedermann
zugänglich zu machen.Schön,dass du wenigstens einen Backup
machst,nicht dass die ganze Welt die Daten hat,nur du und
deine Firma nicht. lol

…Muss ich dazu was schreiben? Halt Dich doch bitte aus dem Thread.
Merci.
Daniel

Wenn ich dein Chef oder der IT-Beauftragte deiner Firma
wäre,würde ich dich sofort auffordern,das zu ändern,notfalls
mit Abmahnung.

Tja, dann bin ich froh, dass Du weder das eine, noch das
andere bist (wobei ich - wie ich dem wenig hilfreichen sondern
eher destruktiven Stil deines Postings entnehmen kann - wohl
schon eher gekündigt hätte.

War aber schon eher konstruktiv gemeint.Was ich sagen wollte,ist,dass ich dir lieber einen gänzlich anderen Weg empfehlen würde.

Das ist für einen Admin,der das tut oder anderen erlaubt,grob
fahrlässig,und sicherlich wärst du für einen entstehenden
finanziellen Schaden haftbar zu machen.

Das möchte ich bei einem Testsystem bezweifeln. Man sollte
sich erst Hintergründe über Vorgänge verschaffen, bevor man -
ziemlich willkürlich und hilflos wirkend - irgendwelche
Sanktionen heraufbeschwört.

Ich beschwöre nichts herauf.Ich kann nur mit den Kenntnissen arbeiten,die du vermittelst.
Spätestens wenn die Lösung auf einem Produktivsystem laufen soll,wird das wieder so sein.Also ist da,was du da austestetest,nicht wirklich eine Lösung.
Die Frage ist auch nicht so sehr,ob du damit glücklich wärst,einen solchen Chef zu haben,eventuell wäre aber dem Kunden und seinem Datenschutz damit besser gedient.
Aber lassen wir das.

Um doch konstruktiv zu sein
Vielleicht liegt es daran,dass du eine administrative Freigabe benutzt?
Vielleicht solltest du den Zugriff über eine normale Freigabe versuchen.
Eventuell wird in der Domäne eine Gruppenrichtlinie/administrative Vorlage verwendet,die bestimmte Zugriffe verbietet?
Und wie war das mit der Vertrauensstellung? Ich nehme an,diese andere Domäne gehört ebenfalls zum Unternehmensnetzwerk? Dann sollte doch eine Vertrauensstellung möglich sein?
Ich würde,wenn möglich,versuchen,die betreffenden Mitarbeiter in einer OU zusammenzufassen,und dieser OU Berechtigung für den Zugriff auf einen Rechner zu geben,auf dem die Datei liegt. Bzw. diese Ressource im Verzeichnis der Domäne zu veröffentlichen,und dann für die OU oder Gruppe Zugriffsberechtigung zu erteilen.
Du kannst in der OU denke ich auch eine eigene Gruppe erstellen,der dann die betreffenden Mitarbeiter zusätzlich angehören. Die dann natürlich Zugriff auf die Ressource bekommt.
Ich hoffe du kannst damit etwas anfangen.
Gruß Uwe

Vielleicht liegt es daran,dass du eine administrative Freigabe
benutzt?

Ähm, ja, genau da liegt der Hund wohl begraben.

Vielleicht solltest du den Zugriff über eine normale Freigabe
versuchen.

Nun steig ich leider nicht so ganz durch…

Eventuell wird in der Domäne eine
Gruppenrichtlinie/administrative Vorlage verwendet,die
bestimmte Zugriffe verbietet?

Ja, das ist so. (glaub ich).

Und wie war das mit der Vertrauensstellung? Ich nehme an,diese
andere Domäne gehört ebenfalls zum Unternehmensnetzwerk? Dann
sollte doch eine Vertrauensstellung möglich sein?

Ne, die andere Domäne ist von einer anderen Firma (Quasi unserer „mutter“, aber auch deren Töchter (zu denen wir kein „Vertrauen“ haben) müssen auf die Freigabe zugreifen).

Ich würde,wenn möglich,versuchen,die betreffenden Mitarbeiter
in einer OU zusammenzufassen,und dieser OU Berechtigung für
den Zugriff auf einen Rechner zu geben,auf dem die Datei
liegt. Bzw. diese Ressource im Verzeichnis der Domäne zu
veröffentlichen,und dann für die OU oder Gruppe
Zugriffsberechtigung zu erteilen.
Du kannst in der OU denke ich auch eine eigene Gruppe
erstellen,der dann die betreffenden Mitarbeiter zusätzlich
angehören. Die dann natürlich Zugriff auf die Ressource
bekommt.
Ich hoffe du kannst damit etwas anfangen.

Hey, das sind ne Menge verdammt guter Denkanstöße, das ist echt super.
Vielen Dank. Meinst Du, es wäre ok, wenn ich das Problem nochmal aufdrösel und - sobald die von dir gestellten Fragen geklärt sind - nochmal (in nem neuen Thread poste), denn ich glaub, Du wärst mir bestimmt eine große Hilfe. Wäre das ok?

Hab erst mal vielen lieben Dank.
Lieben Gruß,
Daniel