>Aus Sicherheitsgründen dürfen auf das File- und Print-Sharing von Domain-Controllern nur Clients zugreifen, die ihre Kommunikation digital signieren. Viele Samba-Clients, beispielsweise in Mac OS bis 10.4 und in vielen Linux-Distributionen, haben diese Signatur abgeschaltet.
Gerade kleinere Unternehmen betreiben häufig keinen Domain-Controller, der ausschließlich die Funktion des Benutzer-Log-ins übernimmt, und verwenden Domain-Controller auch als Fileserver. Die einfachste Möglichkeit ist, den Zwang zur digitalen Signatur auf dem Server abzustellen. Dazu geht man wie folgt vor:
Mmc.exe starten. „File – Add Remove Snapin“ auswählen. „Group Policy Management Editor“ hinzufügen. Die Gruppenrichtlinie (GPO) „Default Domain Controller Policy“ auswählen. Alle Dialoge mit OK bestätigen. Im Tree-Control zu „Computer Configuration – Policies – Windows Settings – Security Settings – Security Options“ wechseln. Die Einstellung „Microsoft network server: Digitally sign communications (always)“ auf „disabled“ setzen.
Sicherheitsimplikationen
Microsoft verbietet den Zugriff auf Domain-Controller von unsignierten Computern, um zu verhindern, dass Benutzer selbst Fake-Domain-Controller aufsetzen, die dann per Man-In-The-Middle-Attacke gefälschte Administrator-Accounts in das Active Directory schleusen. Eine derartige Attacke ist allerdings äußerst kompliziert zu realisieren.
In kleineren Installationen, bei denen davon ausgegangen werden kann, dass Benutzer keine derartige Attacke ausführen werden, ist die beschriebene Möglichkeit einfach durchzuführen. Als Alternative verbleibt ansonsten nur, alle Macintosh-Rechner auf Leopard aufzurüsten und alle Linux-Samba-Clients so zu konfigurieren, dass sie ihre CIFS/SMB-Kommunikation signieren.
- Windows Server 2008: Die besten Tipps und Tricks
- Windows Server 2008 länger ohne Product Key nutzen
- Shutdown und Reboot ohne Rückfrage
- NTFS-Tuning mit Fsutil
- Skripting: Dienste mit ihrem eindeutigen Namen identifizieren
- Teile von Fileshares auf andere Laufwerke bringen
- Robocopy kopiert mit Sicherheit
- Sicherungen per Snapshots mit Diskshadow
- IIS 7.0: Erst downloaden, dann installieren
- Macintosh- und Linux-Rechner auf Domain-Controller zugreifen lassen
- Frühere Windows Version wiederherstellen
- Remote Desktop Applications ohne Terminal-Server-Lizenzen nutzen
- Windows Server 2008: Das schnellste Vista mit SP1
- Der Weg in den Produktivbetrieb: Upgrade oder Neuinstallation?
- Updates und Patches im Safe Mode deinstallieren
- Virtuelle Netzwerke in Hyper-V richtig verbinden
- Fileserver-Performance optimieren
Neueste Kommentare
Noch keine Kommentare zu Windows Server 2008: Die besten Tipps und Tricks
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.