Windows 2003 server

Computer: Software & Programmierung Server-Software
#1

Liebe/-r Experte/-in,

ich habe ein Verständnisproblem bezüglich Berechtigungen
auf einem Windows 2003 Server. Wahrscheinlich betrifft
das auch Windows 2000 Server oder aktuelle Versionen,
aber ich lege einfach mal los:

Anforderung:
Auf Basis eines Windows 2003 Servers einen Fileserver
konfigurieren, ohne!!! eine Active Directory Domain
einzurichten.

Problem:
Berechtigungen für Verzeichnisse können nicht eingesetzt
werden, da die Nutzer dem Server nicht bekannt sind.
Auch ein Hinzufügen von Benutzern auf dem Server bringt
keine Veränderung, da UserA auf dem Server als ein
anderer UserA von der Arbeitsstation erkannt wird, obwohl
Name und Passwort identisch sind.

Frage:
Kann ich somit Windows 2003 Server ohne AD nicht als
Fileserver einsetzen, wenn ich mit Verzeichnis-
Berechtigungen arbeiten möchte?

#2

Hallo christoph,

das ist genau der Grund, warum es Domänen und das Active Directory gibt: Man legt die Benutzer genau einmal an und vergibt dann die Berechtigungen innerhalb der Domänen-Struktur.

Ohne eine Domäne gibt es nur lokale Benutzer: Beispielweise den lokalen Benutzer „UserA“ auf dem FileServer und den „UserB“ auf einem PC. In Domänen-Schreibweise wären das dann:

  • FileServer\UserA
  • PC\UserB

Klar eigentlich, dass „PC\UserB“ keine Recht auf dem FileServer hat - weil der FileServer den Benutzer „PC\UserB“ nunmal einfach nicht kennt.

Selbst, wenn Du „UserA“ zweimal anlegst (einmal auf dem FileServer und einmal auf dem PC), handelt es sich immer noch um zwei verschiedene Benutzer:

  • FileServer\UserA
  • PC\UserA

Hinter den Benutzernamen steckt eine sogenannte GUID (Globally Unique Identifier, siehe auch http://de.wikipedia.org/wiki/GUID). Dieser absolut eindeutige Schlüssel unterscheidet die beiden Benutzer ganz klar voneinander, auch wenn sie auf den ersten Blick identich aussehen.

In einer Domäne gilt dann unabhängig von Server oder PC der globale (nicht der lokale) Benutzername:

  • Domain\UserA
  • Domain\UserB
  • Domain\UserC…
    Und das gilt dann auf allen Maschinen, die Mitglied dieser Domäne sind…

Nun zu Deiner eigentlichen Frage:

Kann ich somit Windows 2003 Server ohne AD nicht als
Fileserver einsetzen, wenn ich mit Verzeichnis-
Berechtigungen arbeiten möchte?

Doch, das geht schon. Aber wenn der Benutzer „PC\UserA“ auf ein Verzeichnis zugreifen möchte, welches für „FileServer\UserB“ freigegeben ist, muss der „UserA“ halt den Benutzernamen „FileServer\UserB“ und das dazu gehörige Passwort angeben. Ist aber keine sehr elegante Lösung. Ich würde immer eine Domäne erstellen.

Ist denn damit Deine Frage beantwortet?

Gruß
(Woly)

#3

Hallo Woly,

vielen Dank für deine Antwort. Du hast meine Vermutung
bestätigt. Würdest du denn für 3 PC´s eine Domäne
einrichten? Aber wahrscheinlich bleibt mir nichts
anderes übrig. Nochmal vielen Dank für deine Mühe.

Gruß
Christoph

Hallo christoph,

das ist genau der Grund, warum es Domänen und das

Active

Directory gibt: Man legt die Benutzer genau einmal an

und

vergibt dann die Berechtigungen innerhalb der
Domänen-Struktur.

Ohne eine Domäne gibt es nur lokale Benutzer:

Beispielweise

den lokalen Benutzer „UserA“ auf dem FileServer und

den

„UserB“ auf einem PC. In Domänen-Schreibweise wären

das dann:

  • FileServer\UserA
  • PC\UserB

Klar eigentlich, dass „PC\UserB“ keine Recht auf dem
FileServer hat - weil der FileServer den Benutzer

„PC\UserB“

nunmal einfach nicht kennt.

Selbst, wenn Du „UserA“ zweimal anlegst (einmal auf

dem

FileServer und einmal auf dem PC), handelt es sich

immer noch

um zwei verschiedene Benutzer:

  • FileServer\UserA
  • PC\UserA

Hinter den Benutzernamen steckt eine sogenannte GUID

(Globally

Unique Identifier, siehe auch
http://de.wikipedia.org/wiki/GUID). Dieser absolut

eindeutige

Schlüssel unterscheidet die beiden Benutzer ganz klar
voneinander, auch wenn sie auf den ersten Blick

identich

aussehen.

In einer Domäne gilt dann unabhängig von Server oder

PC der

globale (nicht der lokale) Benutzername:

  • Domain\UserA
  • Domain\UserB
  • Domain\UserC…
    Und das gilt dann auf allen Maschinen, die Mitglied

dieser

Domäne sind…

Nun zu Deiner eigentlichen Frage:

Kann ich somit Windows 2003 Server ohne AD nicht als
Fileserver einsetzen, wenn ich mit Verzeichnis-
Berechtigungen arbeiten möchte?

Doch, das geht schon. Aber wenn der Benutzer

„PC\UserA“ auf

ein Verzeichnis zugreifen möchte, welches für
„FileServer\UserB“ freigegeben ist, muss der „UserA“

halt den

Benutzernamen „FileServer\UserB“ und das dazu gehörige
Passwort angeben. Ist aber keine sehr elegante Lösung.

Ich

würde immer eine Domäne erstellen.

Ist denn damit Deine Frage beantwortet?

Gruß
(Woly)

#4

Hallo,

der Benutzer muss sich eben nochmal am
WindowsServer authorisieren.

Grüße
Manfred

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

#5

Hallo,

das ist ja mal einfach. Ich persönlich würde von so einer Konstellation abraten, aber machen kann man so was.

Ich vermute mal daß Sie bestimmte Verzeichnisse auf dem Server freigegeben haben, ja? Machen wir’s mal an einem Beispiel fest, Sie hätten das Verzeichnis „Urlaubsbilder“ auf dem Server mit Namen SrvA freigegeben. Die Benutzer am PC müssen an ihren PCs nun im Windows Explorer in der Menüleiste auf „Extras / Netzlaufwerk verbinden“ klicken, einen Laufwerksbuchstaben auswählen, die Zielpfad \SrvA\urlaubsbilder angeben und auf „Verbindung unter anderem Namen“ klicken. Dort geben sie dann Benutzernamen und Paßwort des Benutzers auf dem Server ein, in der Form SrvA\Benutzername1.

Der Server muß in der Lage sein, Zugriffe zu authentifiziern, und das kann er nur mit seinen eigenen Benutzerkonten. Daher muß man bei dem von ihnen gewählten Modell so vorgehen.

Viel Erfolg.

Gruß,
Andreas

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

#6

Würdest du denn für 3 PC´s eine Domäne einrichten?

Moin Christoph,

für drei PCs würde ich vermutlich keine Domäne einrichten. Aber wenn Du sowieso einen Windows-Server installierst, ist der Weg zur Domäne ja nicht mehr weit. In dem Fall lohnt es sich meiner Meinung nach schon.

Und nebenbei: Wenn Du wirklich nur einen nackten FileServer brauchst, wäre ein NAS vermutlich die deutlich günstigere Alternative zu einem Windows-Server.

Gruß
(Woly)

#7

Hallo Christoph,

zunächst wäre interessant, warum du kein AD einrichten willst. Dieses würde dir viel Arbeit sparen.
Es kommt auf dein Anforderungsszenario an.
Rechner müssen nicht zwingend Mitglied der Domäne sein um auf Daten in einem Active Directory Fileserver zugreifen zu können.

Damit die Gegenseitige Anmeldung erfolgreich funktionieren kann, müssen die Rechner die selbe Arbeitsgruppe verwenden, auf beiden Maschinen müssen Benutzername und Passwort identisch sein.
Innerhalb des Servers muss die Lokale Sicherheitsrichtline so eingestellt sein, das sich die Benutzer nicht als Gast sondern als sie selbst identifizieren. Das ganze nennt sich „Netzwerksicherheit: Modell für gemeinsame Nutzung und Sicherheitsmodell für lokale Konten“
Hier muss das Modell auf Klassich stehen.

Das ist im Grunde schon das A und O…
Ich habe aus deiner Frage nicht ganz verstanden, was du genau meinst mit „da UserA auf dem Server als ein
anderer UserA von der Arbeitsstation erkannt wird.“

Ich vermute mal, das er dich als GAST anmelden will und das du das meinst. Falls nicht, führe das doch mal genauer aus, was du meinst.

Beste Grüße + viel Glück,
Sebastian

#8

Danke für deine Antwort.

#9

Danke für deine Antwort. Werde das so auch umsetzen.

#10

Hallo,
ich war längere Zeit krank, deshalb erst jetzt die Antwort.

Es muß auf jeden Fall ein Server der Domäne mit AD eingerichtet sein, sonst geht gar nichts.

Gruß
Erika