title image


Smiley Es ist ein ziemlicher Hack...
und ich hebe nochmal ausdrücklich den virtuellen Zeigefinger!

Es untergräbt die Sicherheit des Windows-Server (Das bisschen was da ist;-))



Geht nicht gegen Dich, Walter und die anderen verantwortungsbewussten Admins, ich denke mal Ihr wißt was Ihr tut, wenn Ihr so am System rumfummelt.



Also:

Zum Zugriff auf ein Netzwerk-Share, muß ein Useraccount in Benutzung sein. Wenn der Domino-Server als Dienst gestartet wird, ist zu dem Zeitpunkt, an dem er startet, noch kein Benutzer an der NT-Maschine an der Domäne angemeldet. Da zum Zugriff auf ein Netzwerk-Share aber ein Benutzer bzw. dessen Rechte erforderlich sind, schlägt die Abarbeitung von Scripts beim Start des NT-Servers oder des Domino-Servers fehl.



Die Lösung kann ein sog. NullSessionShare sein. Dieses Share lässt auch Verbindungen ohne authentifizierten Benutzer zu. Allerdings hat das Zulassen von NullSessionShares immense Sicherheitsrisiken:

der Zugriff ohne Benutzerauthentifizierung für einzelne Shares auf einem NT-Server, gibt dieses Share für jegliche Verbindungsanfrage frei. Es ist also durch geeignete andere Maßnahmen (DMZ, Packetfiltering, Aufzeichnen von Aktivitäten etc.) sicherzustellen, daß Mißbrauch ausgeschlossen wird.



Auf dem Fileserver ist ein Registryschlüssel zu ändern und der Server muss neu gestartet werden.



HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters\NullSessionShares



Der Typ ist "REG_MULTI_SZ"



Unter diesem Schlüssel ist der Freigabename des Shares, für das NullSessionShare-Zugriff gewährt werden soll, einzutragen.



Bsp.:

MAIL für das share \\Servername\MAIL

DEVELOP$ für das Share \\Servername\DEVELOP$



(Für nähere Erklärungen Stichtwort "NullSessionShare" bei MS oder Google.)



Jetzt kann man auf dem Dominoserver z.B. unter Programme ein WinNT-Script aufrufen, das ein share auf ein lokales Laufwerk mappt. Das lokale (gemappte) Laufwerk steht nun dem Domino zur Verfügung wie eine phys. vorhandene Platte, OHNE das ein User angemeldet sein muss.



Diese Konstellation läuft bei uns seit 'nem halben Jahr ohne Probleme.

Allerdings haben wir da noch keine hochwichtigen Produktivdatenbanken drauf, weil wir anfangs wenig Vertrauen zu dem Konstrukt hatten. Werden aber 2004 die Geschichte für unseren Mailserver nutzen, der ja periodisch/chronisch unter Platzmangel leidet. (Ja ich geb's zu, ich bin bei der Erzeihung der User nachlässig geworden, man wird halt älter ;-))



Gruß

Stefan
Zwei Dinge sind unendlich, das Universum und die menschliche Dummheit,
und in Sachen Universum bin ich mir da noch nicht sicher...

(Albert Einstein in einem Brief an Frederick S. Pearls)


geschrieben von

Login

E-Mail:
  

Passwort:
  

Beitrag anfügen

Symbol:
 
 
 
 
 
 
 
 
 
 
 
 
 

Überschrift: