9
Netzwerkzugriff - Microsoft-Konto - lokales Konto - Netzwerkfreigabe
Ich habe hier ein Problem mit den Zugriffsrechten auf einen Windows-Server mit einem Windows 8-Client.
Ich greife seit einiger Zeit mit einem Windows 8 Pro-Notebook mit aktiviertem Microsoft-Konto auf eine Freigabe am Windows Server 2012 zu.
Es gibt keine Domäne, aber am Notebook gibt es ein Benutzerkonto "name" mit "kennwort", welches ich identisch auch am Server angelegt habe.
Jetzt habe ich einen PC mit Windows 8 Pro aufgesetzt. Dabei habe ich erst etwas mit dem Konto herumgespielt, und jetzt klappt der Zugriff auf den Server nicht. Ich werde immer aufgefordert, Benutzernamen und Kennwort einzugeben, obwohl ich diese Daten soweit möglich am PC identisch eingerichtet habe.
Am PC gibt es in der Computerverwaltung ein Konto mit "name" und "kennwort", genauso wie diese am Server eingerichtet sind. In den PC-Einstellungen der Kacheloberfläche ist ein Microsoft-Konto vorhanden. Genau das gleiche, welches auch am Notebook vorhanden ist.
Mit dem Notebook komme ich ohne weiteres auf Freigaben am Server, mit dem PC nicht.
Wie kann ich das nun bereinigen?
Es gibt keine Domäne, aber am Notebook gibt es ein Benutzerkonto "name" mit "kennwort", welches ich identisch auch am Server angelegt habe.
Jetzt habe ich einen PC mit Windows 8 Pro aufgesetzt. Dabei habe ich erst etwas mit dem Konto herumgespielt, und jetzt klappt der Zugriff auf den Server nicht. Ich werde immer aufgefordert, Benutzernamen und Kennwort einzugeben, obwohl ich diese Daten soweit möglich am PC identisch eingerichtet habe.
Am PC gibt es in der Computerverwaltung ein Konto mit "name" und "kennwort", genauso wie diese am Server eingerichtet sind. In den PC-Einstellungen der Kacheloberfläche ist ein Microsoft-Konto vorhanden. Genau das gleiche, welches auch am Notebook vorhanden ist.
Mit dem Notebook komme ich ohne weiteres auf Freigaben am Server, mit dem PC nicht.
Wie kann ich das nun bereinigen?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 193702
Url: https://administrator.de/contentid/193702
Printed on: April 23, 2024 at 22:04 o'clock
9 Comments
Latest comment
Guten Morgen (Grüßen tut nicht weh) 
gib mal tresor in die Suche ein (bitte bei Einstellungen und nicht im "Store" suchen) und lösche eventuell gespeicherte Anmeldeeinstellungen auf dem Windows 8 PC.
gib mal tresor in die Suche ein (bitte bei Einstellungen und nicht im "Store" suchen) und lösche eventuell gespeicherte Anmeldeeinstellungen auf dem Windows 8 PC.
Dir auch ein herzliches Hallo,
der Server kennt das Notebook ja nicht und schon gar nicht welche lokalen User sich wie und wo anmelden.
In einer Domäne, wo das Notebook sowie der Server drin sind, funktioniert das natürlich einwandfrei da beide Rechner auf den selben Userstamm zurückgreifen.
Dass das bei deinem alten Rechner geklappt hat mag daran liegen, dass du dich einmal am Server authenthifiziert hast und die Anmeldedaten gespeicherst hast.
Dann brauchst du diese auch nie mehr an diesem Server eingeben (nur mit dem Rechner natürlich).
Oder schau einfach mal wie von gosche beschrieben im Tresor, da werden die gespeicherten Credentials abgelegt.
Und dir auch einen Gruß,
holyone
der Server kennt das Notebook ja nicht und schon gar nicht welche lokalen User sich wie und wo anmelden.
In einer Domäne, wo das Notebook sowie der Server drin sind, funktioniert das natürlich einwandfrei da beide Rechner auf den selben Userstamm zurückgreifen.
Dass das bei deinem alten Rechner geklappt hat mag daran liegen, dass du dich einmal am Server authenthifiziert hast und die Anmeldedaten gespeicherst hast.
Dann brauchst du diese auch nie mehr an diesem Server eingeben (nur mit dem Rechner natürlich).
Oder schau einfach mal wie von gosche beschrieben im Tresor, da werden die gespeicherten Credentials abgelegt.
Und dir auch einen Gruß,
holyone
Hallo,
vielen Dank für die Antworten.
Stimmt, ich hatte auf dem Notebook eine gespeicherte Anmeldung, deshalb hat es funktioniert.
Ich fasse mal zusammen:
- Domäne lasse ich mal außen vor, hier geht es um Zugriffe vom Client, der nicht in der Domäne ist.
- Zugriff über ein lokales Konto verhält sich wie "früher" - wenn Benutzername und Kennwort auf dem Client identisch ist mit den Daten am Server, dann klappt der Zugriff, auch wenn der lokale Benutzer nicht in der Domäne ist.
- Wird ein MS-Konto verwendet, dann müssen zusätzlich im "Tresor" Anmeldedaten hinterlegt werden. Es reicht _nicht_, wenn die Zugangsdaten (Name und Passwort) in der Benutzerverwaltung (welche ja über die Computerverwaltung trotz MS-Konto erreichbar ist) mit Benutzerdaten (kein AD, manuell angelegter Benutzer mit dem entsprechenden Kennwort) am Server identisch sind.
Sehe ich das richtig?
vielen Dank für die Antworten.
Stimmt, ich hatte auf dem Notebook eine gespeicherte Anmeldung, deshalb hat es funktioniert.
Ich fasse mal zusammen:
- Domäne lasse ich mal außen vor, hier geht es um Zugriffe vom Client, der nicht in der Domäne ist.
- Zugriff über ein lokales Konto verhält sich wie "früher" - wenn Benutzername und Kennwort auf dem Client identisch ist mit den Daten am Server, dann klappt der Zugriff, auch wenn der lokale Benutzer nicht in der Domäne ist.
- Wird ein MS-Konto verwendet, dann müssen zusätzlich im "Tresor" Anmeldedaten hinterlegt werden. Es reicht _nicht_, wenn die Zugangsdaten (Name und Passwort) in der Benutzerverwaltung (welche ja über die Computerverwaltung trotz MS-Konto erreichbar ist) mit Benutzerdaten (kein AD, manuell angelegter Benutzer mit dem entsprechenden Kennwort) am Server identisch sind.
Sehe ich das richtig?
Zitat von @ollibraun:
Ich fasse mal zusammen:
- Domäne lasse ich mal außen vor, hier geht es um Zugriffe vom Client, der nicht in der Domäne ist.
- Zugriff über ein lokales Konto verhält sich wie "früher" - wenn Benutzername und Kennwort auf dem
Client identisch ist mit den Daten am Server, dann klappt der Zugriff, auch wenn der lokale Benutzer nicht in der Domäne
ist.
Was meinst dzu mit früher?Ich fasse mal zusammen:
- Domäne lasse ich mal außen vor, hier geht es um Zugriffe vom Client, der nicht in der Domäne ist.
- Zugriff über ein lokales Konto verhält sich wie "früher" - wenn Benutzername und Kennwort auf dem
Client identisch ist mit den Daten am Server, dann klappt der Zugriff, auch wenn der lokale Benutzer nicht in der Domäne
ist.
Es hat sich von Windows 7 zu 8 dort nichts geändert.
- Wird ein MS-Konto verwendet, dann müssen zusätzlich im "Tresor" Anmeldedaten hinterlegt werden. Es reicht
_nicht_, wenn die Zugangsdaten (Name und Passwort) in der Benutzerverwaltung (welche ja über die Computerverwaltung trotz
MS-Konto erreichbar ist) mit Benutzerdaten (kein AD, manuell angelegter Benutzer mit dem entsprechenden Kennwort) am Server
identisch sind.
Sehe ich das richtig?
Ja, weil ja PC\User sich an einer Freigabe auf dem Server anmeldet und PC\User gibt es am Server nicht._nicht_, wenn die Zugangsdaten (Name und Passwort) in der Benutzerverwaltung (welche ja über die Computerverwaltung trotz
MS-Konto erreichbar ist) mit Benutzerdaten (kein AD, manuell angelegter Benutzer mit dem entsprechenden Kennwort) am Server
identisch sind.
Sehe ich das richtig?
Jetzt bin ich verwirrt.
Ich kann doch von einem Windows-PC MEIER aus mit dem lokalen Benutzer mueller auf den Server DC in der Domäne DOMAIN zugreifen,
obwohl das Gerät MEIER nicht Mitglied der Domäne ist,
wenn es im AD einen Benutzer mueller gibt und das Kennwort für MEIER\mueller und den DOMAIN\mueller im AD identisch ist.
Ging mit Windows XP/2003 ebenso wie mit Windows 8/2012 - aber bei Windows 8/2012 nicht mit den Microsoft-Konten, sondern nur bei Verwendung eines lokalen Kontos am Client.
Ich kann doch von einem Windows-PC MEIER aus mit dem lokalen Benutzer mueller auf den Server DC in der Domäne DOMAIN zugreifen,
obwohl das Gerät MEIER nicht Mitglied der Domäne ist,
wenn es im AD einen Benutzer mueller gibt und das Kennwort für MEIER\mueller und den DOMAIN\mueller im AD identisch ist.
Ging mit Windows XP/2003 ebenso wie mit Windows 8/2012 - aber bei Windows 8/2012 nicht mit den Microsoft-Konten, sondern nur bei Verwendung eines lokalen Kontos am Client.
Kurz NEIN!
Der DC weiß doch überhaupt nicht was für ein Passwort der User mueller auf dem PC Meier hat. Das wird er auch nie Erfahren und ist ihm auch egal.
Was ich mir erklären kann, ist dass du die Credentials des Domänen-Users einmal anfangs gespeichert hast. (Eingabe des Domänen Users in der Abfrage und Haken Anmeldung Speichern).
Kurzes Praktisches Bsp.:
Herr Mueller wohnt in Berlin und hat dort einen Parkausweis für die Goethestrasse. Jetzt macht Herr Mueller einen Ausflug nach München zum Oktoberfest, fährt in die Goethestrasse und will da Parken. Darf er aber nicht, da dort Regierungsparkplätze sind. Frau Mueller wohnt auch in Berlin ist aber Mitglied der Regierung, sie fährt ebenfalls zum Oktoberfest nach München und möchte in der Goethestrasse Parken. Das darf sie tatsächlich auch, da sie Mitglied der Regierung ist. Herr und Frau Müller sehen nahezu identisch aus, tortzdem darf Herr Müller nicht in der Goethestrasse in München parken, da er sich nicht als Regierungsmitglied ausweisen kann.
Legende:
Regierung = Domäne
Berlin = physikalischer PC
München-Goethestrasse = Server
Parkplätze = Filesystem o.ä. auf dem Server
Herr Mueller = User: PC\Mueller
Frau Mueller = User: Domäne\Mueller
Gruß Holyone
Der DC weiß doch überhaupt nicht was für ein Passwort der User mueller auf dem PC Meier hat. Das wird er auch nie Erfahren und ist ihm auch egal.
Was ich mir erklären kann, ist dass du die Credentials des Domänen-Users einmal anfangs gespeichert hast. (Eingabe des Domänen Users in der Abfrage und Haken Anmeldung Speichern).
Kurzes Praktisches Bsp.:
Herr Mueller wohnt in Berlin und hat dort einen Parkausweis für die Goethestrasse. Jetzt macht Herr Mueller einen Ausflug nach München zum Oktoberfest, fährt in die Goethestrasse und will da Parken. Darf er aber nicht, da dort Regierungsparkplätze sind. Frau Mueller wohnt auch in Berlin ist aber Mitglied der Regierung, sie fährt ebenfalls zum Oktoberfest nach München und möchte in der Goethestrasse Parken. Das darf sie tatsächlich auch, da sie Mitglied der Regierung ist. Herr und Frau Müller sehen nahezu identisch aus, tortzdem darf Herr Müller nicht in der Goethestrasse in München parken, da er sich nicht als Regierungsmitglied ausweisen kann.
Legende:
Regierung = Domäne
Berlin = physikalischer PC
München-Goethestrasse = Server
Parkplätze = Filesystem o.ä. auf dem Server
Herr Mueller = User: PC\Mueller
Frau Mueller = User: Domäne\Mueller
Gruß Holyone
Doch, holyone, tut mir leid
Wenn der Zugriff vom Nicht-Domänenmitglied auf den Server (der auch DC ist) erfolgt, weist sich der PC mit den dort lokal benutzten Benutzerdaten aus. In dem Moment erfährt der DC sie, und es ist ihm nicht egal, sondern er erlaubt den Zugriff.
Ich mache das zum Beispiel beim Hyper-V-Host, um auf den Gast zuzugreifen und anders herum. Der Host ist nicht Mitglied der Domäne, der DC ist der virtualisierte Gast. Also lege ich das Konto des Hosts unnötigerweise in der Domäne an (ohne den Host selber aufzunehmen), und lege das Konto des Domänenadmins auf dem Host an. Wenn man die beiden wechselseitigen Konten nicht braucht, kann man sie sicherheitshalber deaktivieren.
Ich habe es gerade eben nochmal probiert:
1. In dem System hatte ich noch nie vom Host auf den Gast zugegriffen, nur anders herum.
2. Beim Versuch, im Host über die Netzwerkumgebung auf den DC/Gast zuzugreifen, werde ich nach Benutzerdaten gefragt, und zwar in dem Moment, in dem ich den DC dort anklicke. Da gebe ich jetzt nichts ein, sondern breche ab. Also ich breche wirklich ab, glaub mir!
3. Ich lege auf dem DC ein Benutzerkonto an. Der Anmeldename ist der, den ich auch auf dem Host benutzt habe, das Kennwort ist ebenfalls identisch.
4. Jetzt wiederhole ich den Schritt 2 und bekomme Zugang zu den Freigaben.
Wenn die Daten von irgendwann früher gespeichert gewesen wären, hätte es schon beim ersten Versuch mit Schritt 2 klappen müssen.
Ich war eigentlich immer der Meinung, dass beim Zugriff auf Freigaben beides identisch gehandhabt wird:
PC\Mueller = Domäne\Mueller
Wenn das Passwort identisch gehalten wird...
Kannst Du das nachstellen?
Und damit komme ich zur Ausgangsfrage:
Bei Nutzung des Microsoft-Kontos in Win 8 geht das nicht mehr - oder bekommt es jemand hin?
Bei Verwendung eines lokalen Kontos geht es übrigens schon noch.
Wenn der Zugriff vom Nicht-Domänenmitglied auf den Server (der auch DC ist) erfolgt, weist sich der PC mit den dort lokal benutzten Benutzerdaten aus. In dem Moment erfährt der DC sie, und es ist ihm nicht egal, sondern er erlaubt den Zugriff.
Ich mache das zum Beispiel beim Hyper-V-Host, um auf den Gast zuzugreifen und anders herum. Der Host ist nicht Mitglied der Domäne, der DC ist der virtualisierte Gast. Also lege ich das Konto des Hosts unnötigerweise in der Domäne an (ohne den Host selber aufzunehmen), und lege das Konto des Domänenadmins auf dem Host an. Wenn man die beiden wechselseitigen Konten nicht braucht, kann man sie sicherheitshalber deaktivieren.
Ich habe es gerade eben nochmal probiert:
1. In dem System hatte ich noch nie vom Host auf den Gast zugegriffen, nur anders herum.
2. Beim Versuch, im Host über die Netzwerkumgebung auf den DC/Gast zuzugreifen, werde ich nach Benutzerdaten gefragt, und zwar in dem Moment, in dem ich den DC dort anklicke. Da gebe ich jetzt nichts ein, sondern breche ab. Also ich breche wirklich ab, glaub mir!
3. Ich lege auf dem DC ein Benutzerkonto an. Der Anmeldename ist der, den ich auch auf dem Host benutzt habe, das Kennwort ist ebenfalls identisch.
4. Jetzt wiederhole ich den Schritt 2 und bekomme Zugang zu den Freigaben.
Wenn die Daten von irgendwann früher gespeichert gewesen wären, hätte es schon beim ersten Versuch mit Schritt 2 klappen müssen.
Ich war eigentlich immer der Meinung, dass beim Zugriff auf Freigaben beides identisch gehandhabt wird:
PC\Mueller = Domäne\Mueller
Wenn das Passwort identisch gehalten wird...
Kannst Du das nachstellen?
Und damit komme ich zur Ausgangsfrage:
Bei Nutzung des Microsoft-Kontos in Win 8 geht das nicht mehr - oder bekommt es jemand hin?
Bei Verwendung eines lokalen Kontos geht es übrigens schon noch.
HyperV ist jetzt nicht unbedingt mein Bereich, jedoch kann ich dir versichern das in einer Standrad Windows-Client-Server-Infrastruktur dies so einfach nicht möglich ist.
Habs für dich gestern auch nochmal mit XP/7 zu 2008 R2 DC getestet. Das Problem ist halt einfach dass der DC mit der Domäne "PC-MEIER" nichts anfangen kann.
Das Passwort wird auch nicht einfach so übertragen, oh man was wär das für eine Sicherheitslücke. Den DC interessiert in erster Linie nur ob er dich kennt oder ob einer seiner Kumpel dich kennt.
Wenn nicht wird der User so zurückgewiesen, da sich lokale Windows-User immer mit PCNAME\User ausweisen funktioniert das eben so nicht. Ich mein wer lässt schon irgendwelche Unbekannte in sein Haus ;)
Wenn der User aber trotz Unbekanntheit auf Ressourcen zugreifen möchte, gibts eben die Credentials im Tresor, welche man pro Server einmal einträgt.
Habs für dich gestern auch nochmal mit XP/7 zu 2008 R2 DC getestet. Das Problem ist halt einfach dass der DC mit der Domäne "PC-MEIER" nichts anfangen kann.
Das Passwort wird auch nicht einfach so übertragen, oh man was wär das für eine Sicherheitslücke. Den DC interessiert in erster Linie nur ob er dich kennt oder ob einer seiner Kumpel dich kennt.
Wenn nicht wird der User so zurückgewiesen, da sich lokale Windows-User immer mit PCNAME\User ausweisen funktioniert das eben so nicht. Ich mein wer lässt schon irgendwelche Unbekannte in sein Haus ;)
Wenn der User aber trotz Unbekanntheit auf Ressourcen zugreifen möchte, gibts eben die Credentials im Tresor, welche man pro Server einmal einträgt.
Mit Hyper-V hat das ja nun gar nichts zu tun. Keine Ahnung, warum es bei Dir nicht klappt, vielleicht ist dein Client in einer anderen Domäne oder so etwas.
Klar wird das Passwort nicht einfach so übertragen. Das hat aber doch gar nichts damit zu tun!
Ich habe jetzt nochmal eine Gegenprobe gemacht:
Server ist DC (SBS2011 - aber mit nicht SBS kenne ich es genauso)
Benutzer im AD angelegt: KUNDENDOMÄNE\Ich
Freigabe angelegt mit Recht nur für den Benutzer KUNDENDOMÄNE\Ich
Notebook (Windows 7) - Mitglied einer Arbeitsgruppe, deren Name nichts mit der Domäne zu tun hat. Es wurde auch noch nie versucht, von diesem Gerät auf einen Client oder Server in KUNDENDOMÄNE zuzugreifen.
Zugriff auf den Server und sogar auf die spezielle Freigabe mit NOTEBOOKARBEITSGRUPPE\Ich geht.
So arbeite ich aber schon lange in manchen Fällen. Und ich passe da gar nichts weiter an. Ich gehe einfach davon aus, dass der Server mit "Ich" zufrieden ist und ihm die Domäne an dieser Stelle egal ist.
Was hat das damit zu tun, ob man Unbekannte ins Haus lässt? Man braucht Benutzernamen und Passwort. Ein Sicherheitsrisiko ist das doch auch gar nicht, weil der Domänenname allen Angestellten und allen ehemaligen Angestellten bekannt sein kann. "Schutz" bietet das Passwort.
Ob man Server hier strenger stellen kann, weiß ich nicht. Aber in den Standardeinstellungen klappt es (SBS 2003-2011, Server 2008/2008 R2).
Wie gesagt - vielleicht geht es nicht, wenn dein Client Mitglied der Domäne oder einer anderen Domäne ist?
Klar wird das Passwort nicht einfach so übertragen. Das hat aber doch gar nichts damit zu tun!
Ich habe jetzt nochmal eine Gegenprobe gemacht:
Server ist DC (SBS2011 - aber mit nicht SBS kenne ich es genauso)
Benutzer im AD angelegt: KUNDENDOMÄNE\Ich
Freigabe angelegt mit Recht nur für den Benutzer KUNDENDOMÄNE\Ich
Notebook (Windows 7) - Mitglied einer Arbeitsgruppe, deren Name nichts mit der Domäne zu tun hat. Es wurde auch noch nie versucht, von diesem Gerät auf einen Client oder Server in KUNDENDOMÄNE zuzugreifen.
Zugriff auf den Server und sogar auf die spezielle Freigabe mit NOTEBOOKARBEITSGRUPPE\Ich geht.
So arbeite ich aber schon lange in manchen Fällen. Und ich passe da gar nichts weiter an. Ich gehe einfach davon aus, dass der Server mit "Ich" zufrieden ist und ihm die Domäne an dieser Stelle egal ist.
Was hat das damit zu tun, ob man Unbekannte ins Haus lässt? Man braucht Benutzernamen und Passwort. Ein Sicherheitsrisiko ist das doch auch gar nicht, weil der Domänenname allen Angestellten und allen ehemaligen Angestellten bekannt sein kann. "Schutz" bietet das Passwort.
Ob man Server hier strenger stellen kann, weiß ich nicht. Aber in den Standardeinstellungen klappt es (SBS 2003-2011, Server 2008/2008 R2).
Wie gesagt - vielleicht geht es nicht, wenn dein Client Mitglied der Domäne oder einer anderen Domäne ist?
