Seltsames Anmeldeverhalten -> Benutzer Authentifizierung?

[Ra1976]

Hallo Leute

Ich habe meinen server neu aufsetzt müssen, soweit so gut. Nun ist mir folgendes aufgefallen.

Auf jeder Maschine befindet sich ein Administratives Konto welches nur von mir zu genau diesem Zweck benutzt werden soll °°
Auf jeder Maschine dann ein weiteres eingeschränktes Konto.

Die zugriffsrechte werden auf NTFS ebene in den Freigaben gesetzt (oder auch nicht) ^^

Heist zum Beispiel egal von welcher Maschine _ich_ komme habe ich vollzugriff auf alle Shares.
egal von welcher Maschine _jemand anderes_ kommt, sollen die NTFS Rechte greifen.
so der gedanke, nur klappt das nicht °°

Ich habe heute die connector Software installiert, eine testanmeldung auf einer Maschine gemacht und musste feststellen das das eingeschränkte Konto vollen zugriff auf die Shares hat, ok dachte ich fehler beim setzten der Rechte gemacht, ne, hab ich nicht rechte sind ok..

_NUR_ nachdem ich im eingeschränkten Konto Netztlaufwerke "unter anderem Namen anmelde" gemacht hatte _und_ dabei allerdings die _exakt_ gleichen Daten wie das eingeschränkte Konto genutzt habe (womit ich im übrigen auch _angemeldet_ war) wurden die Rechte korrekt gesetzt (wiedergegeben) und die Shares waren nicht mehr vollzugriff°°

Kann mir das jemand erklären?
Übrigens hatte ich auch testweise versucht die Connector Software mit den auf dem Server existierenden EBnutzerdaten zu installieren, was nicht ging...

Hab ich nun eine erschreckende sicherheitslücke gefunden oder lässt sich selbiges erklären und dauerhaft abstellen?

Es geht dabei darum das es einen Benutzer gibt über den Streaming auf eine D-Box gemacht wird, da die D-box im Wohnzimmer setht und dort jeder zugriff auf die Box hat, möchte ich vermeiden dem Benutzer unter dem "VLC" läuft vollzugriff zu geben.. dieser Benutzer "VLC" hat nur auf die Medien auf einer bestimmten Platte lesenden zugriff auf sonst garnüscht.. dachte ich zumindest ....

mir scheint alt übergebe der client die falschen anmeldedaten sobald der Server via Share angesprochen wird.. aber wie zur Hölle schafft es ein eingeschränktes Konto an die Daten des Administrativen Kontos zu gelangen und diese auch noch an den Server zu übergeben??

Oder Intessiert den Server gar der gerade angemeldete Benutzer mal garnicht und die authentifizierung passiert komplett anders???

Gruß
Ra1976

[Martin]

Grundsätzlich funktioniert das so:
Da sich die Clients und der Server nicht in der gleichen Domäne befinden, wird User A mit Passwort B vom Client (=Client\A) auf den gleichlautenden User A mit Passwort B am Server gemappt (=Server\A).
Das klappt solange die Passwörter identisch sind.

Hast du den Gast-Account aktiviert?

Gruß
Martin

[Ra1976]

Hola

Nein das Gast Konto ist deakiviert.

Die Passwörter der einzelenen Accs sind auch nicht gleich, ausser das "Serverkennwort" und das Passwort für meinen Administrativen Acc sind identisch.

Die Kennwörter des Client/Servers Accs sind gleich, somit klappt das Mapping ja theoretisch, aber dennoch erklärt das den effekt nicht.

Wenn User x mit passwort x eine verbindung zu Server öffnet wieso kann dann ein eingeschränktes Konto auf Shares zugreifen die nicht für ihn gedacht sind?

Kann es daran liegen das ich einige Minuten vorher mit meinem Admin über diesem Client am Server tätig war? Und die Verbindung noch offen war, als der eingeränkte Acc Aktiv war?
Normalerweise übergibt doch XP-Pro die Anmeldedaten sofort, somit hätte der Server doch gleich wissen müssen das da jetzt "wer anderes" kommt..

Gruß
Ra1976

[Martin]

Eventuell spielen da noch gespeicherte Passwörter eine Rolle. Windows speichert beim Zugriff auf eine Freigabe, die unter einer anderen Identität gemacht wird, diese Eigenschaften.
D.h. wenn du unter User X einen Zugriff auf Freigaben machst un dich dabei als Administrator identifizierst, kann das gespeichert worden sein.

Gruß
Martin