m.marz
Goto Top

Im Anmeldeskript ein Laufwerk mit einem anderen User und Pw mappen unsicher?

Hallo zusammen,

ich möchte im Betrieb gerne per Anmeldeskript die notwendigen Laufwerke mappen.
Alle bis auf ein Laufwerk sind kein Problem.

Bei dem einen Laufwerk ist es ein Pfad der auf einen anderen Server im Netz allerdings momentan nicht in der Domäne ist zeigt.
Aus diesem Grund kann man sich mit dem Domänenuser nicht anmelden und braucht eine andere Kennung die ich im Skript hinterlegen kann.

Meine Frage ist nun:

Kann der User am Rechner das Passwort was im Anmeldeskript hinterlegt ist einsehen? Wenn ja wie?
Und wie könnte man das sicherer machen?

Habe heute morgen bereits gefragt wie man sich die genutzen Laufwerke anzeigen kann. Danke dafür hat gut funktioniert face-smile

Lg

Content-Key: 319428

Url: https://administrator.de/contentid/319428

Ausgedruckt am: 19.03.2024 um 02:03 Uhr

Mitglied: 131339
Lösung 131339 28.10.2016 aktualisiert um 16:37:24 Uhr
Goto Top
Kann der User am Rechner das Passwort was im Anmeldeskript hinterlegt ist einsehen?
Ja.
Wenn ja wie?
SYSVOL und der Pfad zum Skript ist für Ihn frei zugänglich. Als Anmeldeskript muss der Account ja zumindest Leserechte darauf haben also kann er es jederzeit lesen.
Und wie könnte man das sicherer machen?
Credentials einmalig per cmdkey im Tresor des Users hinterlegen.

Windows ist aber aus Prinzip schon nicht "sicher" face-wink. Dazu gehören dann schon wesentlich mehr Maßnahmen. Die würden einen ganzen Katalog füllen.

Schluckauf
Mitglied: M.Marz
M.Marz 28.10.2016 um 16:42:56 Uhr
Goto Top
danke schluckauf für die gute Erklärung.

Wirklich lust zu jedem Rechner hinzugehen und dort händisch was einzutragen habe ich nicht wirklich.

Denke das man den Sysvol Ordner nicht einfach umbennen kann, da dieser Name statisch in den ganzen Systemen hinterlegt ist und so bleiben muss.

Was könnte man als alternative machen um zentral die Lw zu verteilen?

lg
Mitglied: 131339
131339 28.10.2016 aktualisiert um 16:58:13 Uhr
Goto Top
Zitat von @M.Marz:
Wirklich lust zu jedem Rechner hinzugehen und dort händisch was einzutragen habe ich nicht wirklich.
Wieso per Turnschuh? Geht doch auch per Anmelde-Script(GPO) (cmdkey).
Denke das man den Sysvol Ordner nicht einfach umbennen kann
Nee das tust du besser nicht face-big-smile hahaha. Finger wech.
Was könnte man als alternative machen um zentral die Lw zu verteilen?
Best Practice ist immer dem User die Berechtigungen für seinen Account zu vergeben.

Oder blende das fremde Share per DFS in eine zentrale Struktur ein.
Mitglied: M.Marz
M.Marz 28.10.2016 um 17:00:13 Uhr
Goto Top
müsste mich da noch einarbeiten. das DFS sagt mir zurzeit noch nichts :S.
Was man genau mit CMDkey machen kann muss ich noch erforschen :D

Danke.
Mitglied: 131339
Lösung 131339 28.10.2016 aktualisiert um 17:03:20 Uhr
Goto Top
Was man genau mit CMDkey machen kann muss ich noch erforschen :D
Ganz einfach, wenn man die Credentials in der Anmeldeinformationsverwaltung für den Zielserver hinterlegt braucht man diese zum mappen nicht mehr angeben, da Windows sie automatisch aus dem Tresor des Users raus zieht.
C:\Users\AdminXYZ>cmdkey

Erstellt, löscht und zeigt gespeicherte Benutzernamen und Kennwörter an.

Die Syntax des Befehls lautet:

CMDKEY [{/add | /generic}:Zielname
        {/smartcard | /user:Benutzername
       {/pass{:Kennwort}}} |
       /delete{:Zielname | /ras /list{:Zielname}]

Beispiele:

  Auflisten verfügbarer Anmeldeinformationen:
     cmdkey /list
     cmdkey /list:Zielname

  Erstellen von Domänenanmeldeinformationen:
     cmdkey /add:Zielname /user:Benutzername /pass:Kennwort
     cmdkey /add:Zielname /user:Benutzername /pass
     cmdkey /add:Zielname /user:Benutzername
     cmdkey /add:Zielname /smartcard

  Erstellen generischer Anmeldeinformationen:
     Der Schalter /add kann durch /generic ersetzt werden, um generische
     Anmeldeinformationen zu erstellen.

  Löschen vorhandener Anmeldeinformationen:
     cmdkey /delete:Zielname

  Löschen von RAS-Anmeldeinformationen:
     cmdkey /delete /ras
Mitglied: M.Marz
M.Marz 28.10.2016 um 17:17:38 Uhr
Goto Top
Achsoo, am Zielserver der bei mir also nicht in der Domäne steht, würde man dieses CMDkey hinterlegen.

Danach kann man mit einem mappen ohne Anmeldeinformationen im Anmeldeskript des Users das Laufwerk angezeigt bekommen.

Hoffe habe das so richtig verstanden.

Lg
Mitglied: 131339
Lösung 131339 28.10.2016 aktualisiert um 17:48:16 Uhr
Goto Top
Zitat von @M.Marz:
Achsoo, am Zielserver der bei mir also nicht in der Domäne steht, würde man dieses CMDkey hinterlegen.
Nein, das würde nichts bringen, beim User muss der Eintrag gemacht werden da dieser sich gegenüber dem Server richtig ausweisen muss, nicht umgekehrt.
Mitglied: M.Marz
M.Marz 31.10.2016 um 10:30:45 Uhr
Goto Top
danke schluckauf,

kann man das ganze auch mit einer Aktion auf ca. 100 Rechner verteilen oder muss ich zu jedem Rechner einzeln hin?

lg
Mitglied: 131339
131339 31.10.2016 aktualisiert um 10:38:00 Uhr
Goto Top
Zitat von @M.Marz:
kann man das ganze auch mit einer Aktion auf ca. 100 Rechner verteilen oder muss ich zu jedem Rechner einzeln hin?
Hab ich doch oben schon geschrieben, mach eine GPO mit einem einmalig angewendeten Anmeldeskript und Pack da deine cmdkey Zeile rein, fertig.
Mitglied: M.Marz
M.Marz 31.10.2016 um 10:57:04 Uhr
Goto Top
danke schluckauf,

ich könnte das in das Logonskript rein packen und diese dann in der ganze Domäne verteilen.
Aber auch darauf haben dann die User das Recht zu lesen und könnten dann die Keys auslesen (selbst wenn das Skript nur vorübergehend ist)

Lg und danke für die hilfreichen Antworten von dir face-smile