Clients können sich an jeder Workstation anmelden

T

toki84

Grünschnabel
Hallo Zusammen,
wir verwenden seit mehreren Jahren einen Samba Server als Domaincontroller welcher auch wunderbar funktioniert. Leider ist mir letztens ein riesen Fehler oder auch Sicherheitsfehler aufgefallen. Und zwar kann man sich mit seinem Domänenbenutzer an jeder Workstation anmelden, ohne das ich als Admin diesen Benutzer auf diesem Rechner erstellt habe, d.h. bei der Anmeldung wird automatisch ein neues Konto mit standard benuzterrechten erstellt und der User hat dann so erstmal Zugriff aufs System und am schlimmsten aufs Dateisystem.

Gibt es eine Möglichkeit das nur vorher von mir angelegte Benuzter oder nur Benutzer welche schon auf dem Rechner existieren sich an dem Rechner anmelden dürfen, vielleicht durch Gruppenrichtlinien oder sowas. Ich hab da eher weniger Wissen, aber vielleicht wisst ihr ja bescheid, wie man das lösen kann...

Vielen Dank im voraus.
toki84
 
smb.conf bitte, besonders die "add user script"-zeile, weil

Code:
add user script = Befehl
Zulässige Werte:  Befehl
[global]
Default:  NULL
Gibt einen Befehl an, der einen neuen Benutzer auf dem System anlegt,
das den Samba-Server beherbergt. Dieser Befehl läuft als root, wenn der 
Zugriff auf eine Samba-Freigabe von einem Windows-Benutzer versucht
wird, der auf dem Samba-Rechner keinen Zugang besitzt, jedoch auf 
einem anderen System einen Zugang hat, der von einem primären 
Domänen-Controller verwaltet wird. 
Der Befehl muss den Namen des Benutzers als einzelnes Argument akzeptieren, 
das dem Verhalten der typischen adduser-Befehle entspricht. 
Samba erkennt den Wert %u (Benutzername) als Argument für den Befehl an. 
Erfordert security = server oder security = domain. Siehe auch delete user script.
 
hmm ist es den nicht der sinn von domänenbenutzern die ein servergespeichertes profil haben, das sie sich an jeder workstation anmelden können OHNE auf dem client extra den benutzer anzulegen???
 
hallo zusammen,
vielen Dank für eure hilfe. leider verstehe ich den auszug nicht wirklich, ich habe mal in meinem samba buch geschaut, und siehe da, der gleich satz (1zu1) wie von dir :-)

kann ich mit add user script beeinflussen wie sich user am windows xp rechner anmelden dürfen? ich habe diesen parameter nicht in meiner smb.conf definiert, nur add mashine script, welches aber für was anderes verantwortlich sein dürfte.

wie definiere ich add user script befehl so dass sich niemand mehr an windows systemen anmelden kann wo er nicht expliziet als user (bsp, administrator oder hauptbenutzer oder benutzer) eingetragen (registriert) ist?

vielen dank.
mfg
toki84
.
.
.
EDIT (autom. Beitragszusammenführung) :
.

ach so,
wir haben gezielt auf servergespeicherte profile verzichtet da "jeder sich nur an einem also seinem rechner" anmelden/arbeiten soll.
.
.
.
EDIT (autom. Beitragszusammenführung) :
.

aber sollen die ganzen clients sich auch beim chef anmelden können (selbst mit servergespeicherten profilen, was ist das den für ein sicherheits leck???!!!)

add user script scheint mir aber etwas am server zu machen und nicht an den clients (wenn ich den auszug richtig verstehe)
 
Zuletzt bearbeitet:
Vielleicht solltest du dir (wie uzumakinaruto schon sagte) mal das Konzept einer Domäne anschauen.
Das ist doch gerade der Sinn einer Domäne, dass User sich an mehreren (allen) Systemen mit dem selben Passwort anmelden können.
Der user hat somit nix mit der Hardware (dem Pc) gemeinsam, weder sind sie miteinander verknüpft.
Das Domänenlogin läuft doch folgendermaßen ab.
MA gibt am PC seine logindaten ein (Login und passwort).
PC hat selbst keine Login-DB (/etc/passwd o.ä), also fragt der seinen Pri-DC, der authentifiziert anhand seiner Informationen und schickt das Ergebnis dem PC.
Ich kenne mich mit DC und Domänen zu wenig aus, aber vielleicht gibt es ja eine Option, die entsprechende Einschränkungen in Bezug auf "welcher User darf an welche Hardware", aber ich bezweifele das, denn das würde dem Sinn eines Domänenlogins widersprechen.

Und nochmal zur Verdeutlichung:
Chef-Pc ist nicht gleich Chef-Login.
Wenn jetzt der Chef seine wichtigen und geheimen Daten auf der lokalen Festplatte speichert und diese durch die Windows-Mechanismen nicht ausreichend gesichert werden können, ist das nicht dem Samba-Server anzulasten, denn dieser berechtigt nur den Chef auf die Chef-Freigabe zu zugreiffen (korrekte config verausgesetzt).

Habe ich jetzt etwas falsch verstanden?
 
ich weiß das man unter windows das festlegen kann .. das sich ein benutzer nur an bestimmten pcs anmelden kann .. ob das auch samba kann .. kp.

jedenfalls ist dein netzwerk so aufgebaut das sich jede PERSON, die über logindaten auf dem samba-server verfügen, sich an den clients anmelden können .. egal welcher pc das ist.

entweder müssen die "wichtigen/geheimen" daten alle auf ein netzlaufwerk gespeichert werden die personengebunden sind (home lw), dann kann sicherheitstechnisch erstmal nichts passieren.

@noxqs
hast es richtig verstanden
.
.
.
EDIT (autom. Beitragszusammenführung) :
.

Windows Server 2003 - Domain Login auf ein PC beschränken
http://www.administrator.info/index...07c123e60bc611f405582&query=benutzeranmeldung
 
Zuletzt bearbeitet:

Ähnliche Themen

Mac OS X als Samba Client

Ubuntu 6.06.1 und samba3 Zugriffsrechte wiedersprechen sich

Ablösen von Exchange2k3, OWA und W2k3 AD

Probleme beim Anmelden eines win2000 clients am Samba-Server

Zurück
Oben