Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Windows 98 Client in 2003er Umgebung

Mitglied: simi

simi (Level 1) - Jetzt verbinden

29.11.2005 um 14:15 Uhr, 31949 Aufrufe, 2 Kommentare

So lassen sich auch noch alte Windows 98 Clients (vernünftig) in einer Windows 2003 Domäne betreiben.


Problem

Windows 98 PC in Windows 2003 Server Domäne. Anmeldung gegen den DC wird verweigert bzw. kann übersprungen werden. Netzwerklaufwerke können nicht verbunden werden, Zugriffsrechte sind nur rudimentär abgebildet und die Systemrichtlinien in der config.pol werden nicht angewandt. An den Clients können alle Einstellungen geändert werden.

Ursache

Anmelden kann man sich gegen Windows Server 2003 anscheinend ausschließlich digital signiert. Entweder man schaltet die Authentifizierungsmethode auf den Server um (DO NOT!) oder auf den betreffenden Downlevel Clients.
Um besagte Downlevel Client dazu zu bringen System- und gruppenbasierende Sicherheitsrichtlinien zu übernehmen sind ein paar weitere kleine Kniffe notwendig.

Lösung

Um Windows98 unbeaufsichtigt zu Installieren muss entweder eine Diskette mit der msbatch.ini während des Setup im Laufwerk liegen oder die msbatch.ini in das Win98 Verzeichnis auf der Installations-CD kopiert werden. Bei Installation mithilfe der beigefügten Version der msbatch.ini werden die Änderungen und Additionen an der Registry automatisch vorgenommen. Weiters sind die Konfigurationen bis auf die Installation des DS Clients und Systemrichtlinieneditors inkludiert. Vorsichtshalber ist die Korrektheit der Einstellungen auch "händisch" zu überprüfen, da die Verarbeitung der msbatch.ini uU. fehlerträchtig und inkonsistent sein kann.

Netzwerkkonfigurationen Ändern

Diese beiden Punkte müssen unbedingt geändert werden sodass die Policy angewandt wird.

Netzwerk/Konfiguration
Primäre Netzwerkanmeldung: Client für Microsoft-Netzwerke

Netzwerk/Zugriffssteuerung
Zugriffssteuerung auf Benutzerebene aktivieren
Benutzer- und Gruppenliste beziehen: [DOMAIN]


Directory Services Client installieren

Es funktioniert ebenso ohne separate Installation dieses Updates. Die Beschriebenen Symptome (Konto nach einmalig fehlgeschlagener Anmeldung gesperrt) treten für gewöhnlich nicht auf, sodass das einspielen dieses Hotfixes von Nöten wäre.

DS-Client für Windows 98 (5.0.2920.5)
Update nicht mehr online verfügbar, nur noch auf Anfrage.
Siehe KB Artikel (KB323455)


NTLM2 Authentifizierung erzwingen (wird mit Win98.reg/msbatch.ini automatisch geändert)

01.
Ort: HKLM\System\CurrentControlSet\Control 
02.
 
03.
    Typ: DWORD 
04.
    Name: LMCompatibility 
05.
    Wert: 3
0 = Lan Manager (LM) bzw. NTLM Authentifizierung
3 = NTLM2 Authentifizierung
Siehe KB Artikel (Q239869)

Systemrichtlinienverwendung
Systemsteuerung/Kennwörter/Benutzerprofile
Benutzer können die Vorgabe und ... aktivieren
Einstellungen für Benutzerprofile beides deaktiviert

Gruppenrichtlinien und Systemrichtlinien-Editor installieren
Systemsteuerung/Software/Windows Setup "Diskette" Pfad ist 98CD\tools\reskit\netadmin\poledit.
Siehe KB Artikel (KB814598)


Zusätzliches "hardening" der Clients

Um unbefugte Anmeldungen oder Änderung am System zu unterbinden können die Clients noch weiter abgesichert werden.
Am Besten wird dies über eine Systemrichtlinie (Config.pol in der Netlogon Freigabe des DC) realisiert, wobei hier (weitere) wichtige Änderungen explizit beschrieben werden.

Anmeldung erzwingen

Der Anmeldedialog kann in der Standardinstallation übergangen werden. Das Verhalten kann durch erstellen folgenden Wertes in der Registry geändert werden:
01.
Ort: HKLM\Network\Logon 
02.
 
03.
  Typ: DWORD 
04.
  Name: MustBeValidated 
05.
  Wert: 1
0 = Anmeldung optional
1 = Anmeldung obligat

SMB Signatur aktivieren

Aktiviert die Signatur für SMB Pakete sofern Client und Server dies unterstüzen.
01.
Ort: HKLM\System\CurrentControlSet\Services\VxD\VNetsup 
02.
 
03.
  Typ: DWORD DWORD 
04.
  Name: EnableSecuritySignature RequireSecuritySignature 
05.
  Wert: 1, 0

Alternativer Windows Start verhindern

Durch drücken der Taste F8 zu Beginn des Bootvorganges von Windows kann selbiges z.B. im Abgesicherten Modus gestartet und die Sicherheitsrichtlinien umgangen werden. Um dies zu unterbinden sind an der Datei msdos.sys (zu finden im Wurzelverzeichnis der installationspartition) zwei Einträge hinzuzufügen.

Im Abschnitt [Options]:

  • BootKeys=0
  • BootSafe=0

Die Dateiattribute anschließend wieder auf schreibgeschützt und versteckt setzen.

Config.pol

Folgend die Konfiguration der Sicherheitsrichtlinien. Es ist anzuraten die Poledit-Version auf der Windows 98 CD zu nutzen.
Da die Einstellungen der Sicherheitsrichtlinien über Poledit permanent sind – d.h. eine Einstellung muss explizit wieder aktiviert werden sobald einmal deaktiviert - ist eine andere Logik als bei den Gruppenrichtlinien ab 2000 zu verwenden.

Der Aufbau im Überblick:

  • Standardbenutzer (Vorgabe)
    • Alle Benutzer die in keiner anderen Gruppe oder explizit angegeben werden.
  • Standardcomputer (Vorgabe)
    • Alle Computer die in keiner anderen Gruppe oder explizit angegeben werden.
  • Domänen-Benutzer
  • Administrator

Aus einem unerfindlichen Grunde wird die Gruppe der Domänen-Admins nicht erkannt und dem Administrator die Rechte des Standardbenutzers zugewiesen. Aus diesem Grunde wird der Administrator als Benutzer und nicht die Gruppe der Administratoren gelistet.
Für den Standardbenutzer wird alles deaktiviert, selbst die Ausführung von Programmen. Für die Gruppe der Domänen-Benutzer werden die erforderlichen Rechte explizit aktiviert und der Administrator erhält explizit alle Rechte. Der einfachste und schnellste Umgang ist folgender:

  1. Alle nötigen Einschränkungen des Standardbenutzers und - Computers festlegen.
  2. Hierarchisch nach oben sukzessive den vorgehenden Benutzer kopieren und die benötigten Rechte erteilen.

Weitere Quellen und Referenzen

Generell sei natürlich auf http://support.microsoft.com und http://technet.microsoft.com verwiesen (ein Quell schier unendlichen Wissens ;)

Directory Services Client Update for Windows 98
One unsuccessful logon attempt may trigger the default Windows NT lockout policy
How To Create a System Policy Setting in Microsoft Windows Server 2003
How to enable NTLM 2 authentication
How to enable Windows 98/ME/NT clients to logon to Windows 2003 based Domains
Require Windows 98 Clients to Logon to the Domain
Group Policies and Windows 98
Using Poledit Policy Editor to help secure Windows 95-98-ME computers
Using Your Domain Account Windows 98
Mitglied: TuXHunt3R
13.09.2010 um 22:22 Uhr
Nicht schlecht, die Frage ist: Wofür? Hast du noch steineselsalte Spezialsoftware, die zwingend 98 braucht oder wieso hast du dich damit so beschäftigt?

Versteh mich nicht falsch, ich habe die Anleitung mit Interesse gelesen. Ich frag mich wirklich nur: Wofür das Ganze?
Bitte warten ..
Mitglied: simi
14.09.2010 um 08:57 Uhr
Dieses Model hatte für uns zu seiner Zeit durchaus einen praktischen Anwendungszweck (sonst hätten wir uns eher nicht damit beschäftigt). Liegt mittlerweile auch schon mehr als fünf Jahre zurück.

Zu deiner Eingangsfrage: Es war tatsächlich eine quasi antiquarische Software, welche nach Windows 9x verlangte.

lg
Bitte warten ..
Ähnliche Inhalte
Samba

Windows 98 und Samba 4.2 auf Raspberry Pi

Tipp von LochkartenstanzerSamba6 Kommentare

Hallo Kollegen, ich hatte doch neulich die Frage gestellt, ob Windows 98 mit Snology oder QNAP out-of-the-box geht. Ich ...

Windows 7

Windows 7 WSUS Client lädt keine Updates

Tipp von mathuWindows 72 Kommentare

Folgende Herausforderung: Ein WSUS Client unter Windows 7 Pro lädt plötzlich keine Updates mehr vom WSUS Server, stattdessen ist ...

Windows Server

Microsoft Honululu heißt jetzt Windows Admin Center - und man kann damit Windows-Clients und -Server verwalten

Information von FrankWindows Server4 Kommentare

Microsofts Projekt "Honululu" ist fertig und hat seinen finalen Namen bekommen: Windows Admin Center. Es ist eine browserbasierte Oberfläche ...

Windows Update

Heise Newsticker: Fehler in WSUS-Update: Windows-Clients booten nicht mehr

Information von Penny.CilinWindows Update2 Kommentare

In den letzten Tagen gab es bereits mehrere Beitträge dazu. Nun die Meldung auch bei Heise. Hesie Newssticker Nachricht ...

Neue Wissensbeiträge
Windows Server
Erneutes Release von WS2019 und Win10 v1809
Tipp von IT-Pro vor 8 StundenWindows Server3 Kommentare

Hi, nachdem der Windows Server 2019 und Windows 10 in der Version 1809 aufgrund von verschwinden von Dateien nach ...

CPU, RAM, Mainboards
Spectre Update Tool für ältere PCs
Information von sabines vor 11 StundenCPU, RAM, Mainboards6 Kommentare

Mit Hilfe eines Tools wird der betreffende PC permanent von einem USB Stick gestartet, der ein passendes Microcode Update ...

Windows 10
Windows 10 Oktober 2018 Update: Es ist wieder da
Tipp von Bowsette vor 20 StundenWindows 101 Kommentar

Ein neuer Versuch von Microsoft das Windows 10 Oktober 2018 Update, auch bekannt als 1809, an den Mann zu ...

Windows Server

Windows Server 2016: Achtung - ab heute gibt es wieder Express Updates

Information von kgborn vor 1 TagWindows Server1 Kommentar

Kurze Info für Administratoren, die Windows Server 2016 per WSUS/SCCM mit Updates betanken. Ab heute gibt es für Windows ...

Heiß diskutierte Inhalte
Windows Server
Windows Server 2016 Lizenzierung - 7 Hyper V VMs
Frage von staybbWindows Server18 Kommentare

Hallo zusammen, wir haben zwei HP Server gekauft mit jeweils pro Server 2 CPUs à 10 Cores. Also insgesamt ...

Batch & Shell
Ordnernamen mit String aus Ziffern-Zahlenkombination erstellen
Frage von MmarKussBatch & Shell15 Kommentare

Hallo zusammen, ich habe ein etwas komplexeres Problem, welches ich selbst mittels einer Batch-Datei lösen will / muss, da ...

Windows Server
Lohnt sich eine Domäne für uns?
Frage von BowsetteWindows Server12 Kommentare

Hallo, ich arbeite in einem kleinen Unternehmen mit mehr als 5 und weniger als 10 Mitarbeitern, also Small Business ...

Windows Server
AD Password Reminder Mail
Frage von TeutoneWindows Server10 Kommentare

Hallo liebe Leute, ich habe vor langer Zeit einmal ein Password Reminder Mail Script erstellt, welches nun nicht mehr ...