Vertrauensstellungen

1. offizieller Beitrag

    Hallo zusammen,


    ich habe 2 Windows 2003 Domänen in jeweils eigenen Forests, die über eine externe Vertrauensstellung verbunden sind.


    Meine Frage:
    Wenn ich Domäne B sitze und mir im Explorer ein Netzlaufwerk zuweisen will aus Domäne A, dann gebe ich einfach User / PW aus Domäne A mit und es klappt.
    Dies möchte ich nicht. Kann ich das irgendwie unterbinden ? Ich habe da mal was von SID Filtering gehört. Wie funktioniert denn das ?


    Das zweite:
    Ich habe eine Userin die in keiner Domäne hängt (aus bestimmten Gründen). Wenn dieser User der lokal auf dem Notebook existiert auch in der Domäne A und Domäne B als User mit gleichem Passwort existiert, klappt der Zugriff.
    Wie kann das sein ? Kann man das unterbinden ? Ich bin ja froh das es geht, aber ich möchte das gerne wieder umstellen, d.h. Userin in Domäne aufnehmen, dann möchte ich aber das andere abstellen. Weiß hier jemand Rat ?


    Vielen Dank

    • Offizieller Beitrag
    Zitat


    Meine Frage:
    Wenn ich Domäne B sitze und mir im Explorer ein Netzlaufwerk zuweisen will aus Domäne A, dann gebe ich einfach User / PW aus Domäne A mit und es klappt.
    Dies möchte ich nicht. Kann ich das irgendwie unterbinden ? Ich habe da mal was von SID Filtering gehört. Wie funktioniert denn das ?


    Was willst Du denn dann? Ohne User/PW zugreifen? Zugriff mit fremden Anmeldeinformationen geht sogar ohne Vertrauensstellung, denn Sinn einer Vertrauensstellung ist es ja, dass man gerade keine fremden Informationen braucht.


    Dann trage Dein Konto in den Sicherheitsberechtigungen der Ressource ein, dann brauchst Du auch kein Konto aus B (schöner wäre es, Du machst in Dom B eine Gruppe auf, trägst die Gruppe auf der Ressource ein und Dein Konto in der Gruppe - AGDLP lässt grüßen).


    SID-Filterung ist etwas anderes und hat eine andere Funktion.



    Zitat


    Das zweite:
    Ich habe eine Userin die in keiner Domäne hängt (aus bestimmten Gründen). Wenn dieser User der lokal auf dem Notebook existiert auch in der Domäne A und Domäne B als User mit gleichem Passwort existiert, klappt der Zugriff.
    Wie kann das sein ?


    MS-Antwort: It's by design. Gleiche Passworte haben gleiche Hashwerte und wenn dann auch noch der Username stimmt, geht es ohne Domänen-Prüfungen weiter.


    Zitat

    Kann man das unterbinden ? Ich bin ja froh das es geht, aber ich möchte das gerne wieder umstellen, d.h. Userin in Domäne aufnehmen, dann möchte ich aber das andere abstellen. Weiß hier jemand Rat ?


    Anderes Benutzernamen oder Passwörter verwenden, anders geht das IMHO nicht.

    Grüße aus Berlin schickt Robert