Windows Server 2008: Die besten Tipps und Tricks

>Aus Sicherheitsgründen dürfen auf das File- und Print-Sharing von Domain-Controllern nur Clients zugreifen, die ihre Kommunikation digital signieren. Viele Samba-Clients, beispielsweise in Mac OS bis 10.4 und in vielen Linux-Distributionen, haben diese Signatur abgeschaltet.

Gerade kleinere Unternehmen betreiben häufig keinen Domain-Controller, der ausschließlich die Funktion des Benutzer-Log-ins übernimmt, und verwenden Domain-Controller auch als Fileserver. Die einfachste Möglichkeit ist, den Zwang zur digitalen Signatur auf dem Server abzustellen. Dazu geht man wie folgt vor:

Mmc.exe starten. „File – Add Remove Snapin“ auswählen. „Group Policy Management Editor“ hinzufügen. Die Gruppenrichtlinie (GPO) „Default Domain Controller Policy“ auswählen. Alle Dialoge mit OK bestätigen. Im Tree-Control zu „Computer Configuration – Policies – Windows Settings – Security Settings – Security Options“ wechseln. Die Einstellung „Microsoft network server: Digitally sign communications (always)“ auf „disabled“ setzen.

Sicherheitsimplikationen

Microsoft verbietet den Zugriff auf Domain-Controller von unsignierten Computern, um zu verhindern, dass Benutzer selbst Fake-Domain-Controller aufsetzen, die dann per Man-In-The-Middle-Attacke gefälschte Administrator-Accounts in das Active Directory schleusen. Eine derartige Attacke ist allerdings äußerst kompliziert zu realisieren.

In kleineren Installationen, bei denen davon ausgegangen werden kann, dass Benutzer keine derartige Attacke ausführen werden, ist die beschriebene Möglichkeit einfach durchzuführen. Als Alternative verbleibt ansonsten nur, alle Macintosh-Rechner auf Leopard aufzurüsten und alle Linux-Samba-Clients so zu konfigurieren, dass sie ihre CIFS/SMB-Kommunikation signieren.