Lesezugriff auf alle Freigaben eines Domänencontrollers, warum?

Erwähnenswert ist noch, dass der Windows-Serverdienst beim Zugriff auf Freigaben keine Rücksicht auf die Domänenmitgliedschaft nimmt. Solange Benutzername und Passwort eines berechtigten Benutzers angegeben werden, ist der Zugriff möglich.

Der Benutzername/das Passwort können explizit angegeben werden, wenn versucht wird, über die GUI auf eine Freigabe zuzugreifen oder ein Laufwerk über den Befehl „net use“ zuzuordnen. Alternativ können Sie den Benutzernamen und das Passwort auch implizit über einen automatisierten NTLMv2-Austausch angeben, wenn der lokale Benutzername und das Passwort des aktuellen lokalen Windows XP-Benutzers zufällig mit einem gültigen Benutzer auf dem Server übereinstimmen.

Es hängt davon ab, was Sie genau mit „nur sichtbar“ meinen. Das Durchsuchen eines Computers ist etwas anderes als die Berechtigung zum Zugriff auf seine Freigaben, sei es schreibgeschützt oder mit vollständiger Kontrolle.

Vor diesem Hintergrund gibt es für eine Freigabe tatsächlich drei Sicherheitsstufen: Durchsuchen, Lesezugriff und vollständige Kontrolle.

Überprüfen Sie die Gruppenrichtlinienanwendung (installieren und verwenden Sie die GPMC, sie ist dem alten, miesen System um Längen überlegen), überprüfen Sie den gesamten Top-Down-DACL-Baum für den physischen Standort Ihrer Freigabe und überprüfen Sie die genaue Anwendung und Einbeziehung aller Benutzer und Gruppen, die Zugriff auf dieAktie(nicht der physische Standort).

Sofern Sie nicht, wie gesagt, verhindern möchten, dass Benutzer überhaupt zu einer Freigabe navigieren, sollten Sie den Freigabezugriff normalerweise auf „Jeder – Vollzugriff“ belassen; die eigentliche Zugriffskontrolle erfolgt besser über das Dateisystem.