Re: samba : windows clienten die administratoren rechte haben verweigern
Hallo Florian (flobee), hallo auch an alle anderen Am Samstag, 21. Mai 2005 23:02 schrieb Florian (flobee): Thomas Preissler wrote: Am 21.05.2005 schrieb Florian: Andreas Kretschmer wrote: Florian (flobee) [EMAIL PROTECTED] schrieb: Die Idee ist Benutzer der windows Administratoren Guppen aus zu sperren. Mit dem kleinen Unterschied das der Windows Benutzer mit Admin- Rechten sich ber den Browser beispielsweise sofort ausfhrbare Dateien einfngt Hm. Ich halte das fr den falschen Ansatz. Ein guter Virenscanner und die Sache ist gegessen. Und auf dem Client keinen IE mehr zur Verfgung stellen, sondern Firefox. bitte eine kl. empfehlung was gut und endanwenderfreundlich auf debian installierbar ist. Den F-Prot mag ich und kenne ihn auch bedingt unter der konsole durch windows... Aber einrichten und prfen, warten... wie leicht ist das? Siehe meine andere Mail: H+B Antivir (http://www.antivir.de) bietet einen schnellen, schlanken Virenscanner, der einfach zu installieren und automatisch zu updaten ist (z.B. alle 2 Stunden). Fr privat kostenlos, fr Firmen fr relativ schmales Geld. Mit dazuko kann der AVGuard automatisch alle Dateien in den ausgewhlten Ordnern beim Lesen, Schreiben und/oder Ausfhren scannen (/etc/avguard.conf -- AccessMask x mit x aus 0..7 analog der Rechtemaske bei Dateirechten). Ausserdem - ich verstehe den Zusammenhang zwischen Samba-Freigabe und Browser nicht so ganz. wenn virale Dateien auf der Freigabe sind, knnen auch normale Benutzer davon betroffen sein, sie brauchen die Dateien ja nur zu starten. also: wenn du windows installierst whlst du einen benutzernamen ichBins und dieser ist automatisch mit allen rechten bestckt die einem virus das leben erleichtern. Nein. Normaler Weise sollte ein neuer User unter Windows standardmig in der Gruppe Benutzer stehen und sonst nirgends (wir sprechen doch hier ber NT-basierte Windosen?). Wenn man das nicht von anfang an weiss und ndert bekommt man spter probleme auf normale benutzer zu wechseln (kost ein wenig mehr arbeit). Da ist bei dir schon was verstellt. berprf mal deine Systeme. Ich war nun der Meinung das ich mit Samba den User ichBins auch genauer untersuchen kann und im falle das er admin rechte auf _seiner_ maschine hat den zugriff zu verweigern. Das der User sich ggf. mit einem anderen login auf dem Samba anmeldet meine ich in diesem fall garnicht. Du kannst bei invalid users auch Gruppen angeben. Allerdings sagt das auch noch nicht viel ber die konkreten Rechte der betreffenden User aus, denn ein User kann ja sowohl in der Gruppe Benutzer als auch in der Gruppe Administratoren sein. Aber du hast hier prinzipiell ein anderes Problem: Deine Windows-User sollten lernen, dass sie geflligst nicht als Administrator zu arbeiten haben. Das muss ein Linux-User auch lernen (nicht als root). Es ist doch widersinnig, dem Administrator knstlich die Rechte zu beschneiden. Denn schlielich soll doch der Administrator-Account der sein, unter dem man zur Not Probleme beheben kann, was als normaler User nicht mehr geht. Im Gegenteil, der Administrator sollte ein Passwort bekommen, was der Normaluser gar nicht kennt (auch unter Windows). Dann kann er auch nicht als Administrator arbeiten. -- Gru MaxX Bitte beachten: Diese Mailadresse nimmt nur Listenmails entgegen. Fr PM bitte den Empfnger gegen den Namen in der Sig tauschen.
Re: samba : windows clienten die administratoren rechte haben verweigern
On 22.Mai 2005 - 10:20:49, Matthias Houdek wrote: also: wenn du windows installierst wählst du einen benutzernamen ichBins und dieser ist automatisch mit allen rechten bestückt die einem virus das leben erleichtern. Nein. Normaler Weise sollte ein neuer User unter Windows standardmäßig in der Gruppe Benutzer stehen und sonst nirgends (wir sprechen doch hier über NT-basierte Windosen?). Bei 2K wird beim Installieren kein normaler Benutzer angelegt, bei WinXP wird einer angelegt, der ist aber automatisch Administrator. Das heisst bei 2K hat er tatsaechlich das Problem, dass eine Aenderung des Benutzers evtl. Probleme nach sich zieht (wobei ein Kopieren des Inhalts von DokumenteEinstellungen/Administrator.MASCHINE ausreichen sollte). Bei WinXP jedoch nicht, da er einfach den User aus der Admin-Gruppe in die (Haupt)Benutzergruppe schieben kann. Wenn man das nicht von anfang an weiss und ändert bekommt man später probleme auf normale benutzer zu wechseln (kost ein wenig mehr arbeit). Da ist bei dir schon was verstellt. Überprüf mal deine Systeme. Es ging um den ersten Benutzer nach der Installation Andreas -- Keep it short for pithy sake. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: samba : windows clienten die administratoren rechte haben verweigern
Hallo Andreas Pakulat, hallo auch an alle anderen Am Sonntag, 22. Mai 2005 11:42 schrieb Andreas Pakulat: On 22.Mai 2005 - 10:20:49, Matthias Houdek wrote: also: wenn du windows installierst wählst du einen benutzernamen ichBins und dieser ist automatisch mit allen rechten bestückt die einem virus das leben erleichtern. Nein. Normaler Weise sollte ein neuer User unter Windows standardmäßig in der Gruppe Benutzer stehen und sonst nirgends (wir sprechen doch hier über NT-basierte Windosen?). Bei 2K wird beim Installieren kein normaler Benutzer angelegt, Ich kann mich dunkel dran erinnern, dass da irgendwie nach gefragt wurde, ob mehrere Benutzer angelegt werden sollen oder standardmäßig nur ein Benutzer mit dem System arbeitet. Dieser eine wurde dann Admin und automatisch beim Booten angemeldet (oder irre ich da jetzt - ist schon so lange her). bei WinXP wird einer angelegt, der ist aber automatisch Administrator. Das heisst bei 2K hat er tatsaechlich das Problem, dass eine Aenderung des Benutzers evtl. Probleme nach sich zieht (wobei ein Kopieren des Inhalts von DokumenteEinstellungen/Administrator.MASCHINE ausreichen sollte). Bei WinXP jedoch nicht, da er einfach den User aus der Admin-Gruppe in die (Haupt)Benutzergruppe schieben kann. Bei XP ist das möglich, bei XP-Home würde ich es nicht mal anders vermuten. Aber eigentlich ist das doch Schwachfug. Das ist nicht nur gefährlich, das ist grobe Vernachlässigung minimalster Sicherheitsmechanismen von Seiten des Herstellers. Aber das gehört wohl nicht mehr hierhin. Wenn man das nicht von anfang an weiss und ändert bekommt man später probleme auf normale benutzer zu wechseln (kost ein wenig mehr arbeit). Da ist bei dir schon was verstellt. Überprüf mal deine Systeme. Es ging um den ersten Benutzer nach der Installation Stimmt, hab ich überlesen. Trotzdem irgendwie eigenartig. :-/ -- Gruß MaxX Bitte beachten: Diese Mailadresse nimmt nur Listenmails entgegen. Für PM bitte den Empfänger gegen den Namen in der Sig tauschen.
Re: samba : windows clienten die administratoren rechte haben verweigern
Am 21.05.2005 schrieb Florian: Andreas Kretschmer wrote: Florian (flobee) [EMAIL PROTECTED] schrieb: Die Idee ist Benutzer der windows Administratoren Guppen aus zu sperren. Also nur echte/reine User drfen auch Samba :-) Hat den kleinen Hintergrund das das System auch seitens Windows sicherer wird und nicht irgendwelche viren ber den admin modus einfach ausgefhrt werden die dann ggf schaden auf der Samba maschine anrichten. Schmarrn. Wer ein Share RW gemountet hat, darf lschen, egal, ob er lokal Admin oder Putzfrau ist. Nicht ganz! Mit dem kleinen Unterschied das der Windows Benutzer mit Admin- Rechten sich ber den Browser beispielsweise sofort ausfhrbare Dateien einfngt whrend das ber normale Benutzer relativ gut abgeschirmt ist. Viele Programme werden ber den system oder admin account ausgefhrt die dann den schaden anrichten. Hm. Ich halte das für den falschen Ansatz. Ein guter Virenscanner und die Sache ist gegessen. Und auf dem Client keinen IE mehr zur Verfügung stellen, sondern Firefox. Ausserdem - ich verstehe den Zusammenhang zwischen Samba-Freigabe und Browser nicht so ganz. wenn virale Dateien auf der Freigabe sind, können auch normale Benutzer davon betroffen sein, sie brauchen die Dateien ja nur zu starten. Bei Normalen Benutzern geht das in der regel nicht mehr. Das funktioniert unter XP recht gut wenn man es konsequent durch zieht. Meine Erfahrung ist der Beweis: 2 Rechner wo nur Benutzer dran arbeiten hatten seither (2, 3 jahre) NIE probleme. Bei anderen muss ich regelmssig Doktor spielen... Bis mal irgendwann dateien gelscht werden :-( ) Und diese will ich draussen lassen und zur Besinnung zwingen. Ich dachte das geht irgendwie! Man kann doch auch (ich weiss nicht wie) ber windows sein samba passwort ndern oder die REG bearbeiten. D.h. das Samba auch status informationen ber den Benutzer mitbekommt die man dann blocken knnte. Diejenigen unbesinnlichen bekommen die Share einfach nicht gemountet? Wie wäre es damit? hosts allow/deny, valid/invalid users. Grüße, Thomas -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: samba : windows clienten die administratoren rechte haben verweigern
Hallo Florian (flobee), hallo auch an alle anderen Am Freitag, 20. Mai 2005 22:45 schrieb Florian (flobee): Goran Ristic wrote: Hallo, Florian! Thursday, 19. May 2005 Hallo Ich weiss leider nicht mehr wo ich etwas in der Art gelesen habe und ob es überhaupt geht: Kann man Benutzer von Windows-Clienten die Adminstrator sind oder Benutzer mit Administrator- Rechten den Zugriff auf den Samba-Share verweigern? Äh? Was hat denn ein Admin einer Wintendo-Maschine auf dem Server rum zu rooten? Windowsadmin != root (!). ja schon klar! Die Idee ist Benutzer der windows Administratoren Guppen aus zu sperren. Also nur echte/reine User dürfen auch Samba :-) Auch wenn ich mich wiederhole: invalid users = [...] entweder ins betreffende Share oder gleich in die [global]-Sektion. Hat den kleinen Hintergrund das das System auch seitens Windows sicherer wird und nicht irgendwelche viren über den admin modus einfach ausgeführt werden die dann ggf schaden auf der Samba maschine anrichten. Hat der Win-User (egal ob Admin oder nicht) einen aktiven Virus auf seiner Maschine, so kann der sich natürlich auch auf das Samba-Share kopieren. Und vo dort wieder auf andere Windows-Clients. Deshalb sollten auf jeden Fall die freigegebenen Ordner durch einen aktuellen AV-Scanner permanent überwacht werden (z.B. dazuko (H+B Antivir) - checkt jede Datei beim Lesen und Schreiben). Aber Schaden auf der Smaba-Maschine kann er nicht anrichten. -- Gruß MaxX Bitte beachten: Diese Mailadresse nimmt nur Listenmails entgegen. Für PM bitte den Empfänger gegen den Namen in der Sig tauschen.
Re: samba : windows clienten die administratoren rechte haben verweigern
Thomas Preissler wrote: Am 21.05.2005 schrieb Florian: Andreas Kretschmer wrote: Florian (flobee) [EMAIL PROTECTED] schrieb: Die Idee ist Benutzer der windows Administratoren Guppen aus zu sperren. Mit dem kleinen Unterschied das der Windows Benutzer mit Admin- Rechten sich ber den Browser beispielsweise sofort ausfhrbare Dateien einfngt Hm. Ich halte das fr den falschen Ansatz. Ein guter Virenscanner und die Sache ist gegessen. Und auf dem Client keinen IE mehr zur Verfgung stellen, sondern Firefox. bitte eine kl. empfehlung was gut und endanwenderfreundlich auf debian installierbar ist. Den F-Prot mag ich und kenne ihn auch bedingt unter der konsole durch windows... Aber einrichten und prfen, warten... wie leicht ist das? Ausserdem - ich verstehe den Zusammenhang zwischen Samba-Freigabe und Browser nicht so ganz. wenn virale Dateien auf der Freigabe sind, knnen auch normale Benutzer davon betroffen sein, sie brauchen die Dateien ja nur zu starten. also: wenn du windows installierst whlst du einen benutzernamen ichBins und dieser ist automatisch mit allen rechten bestckt die einem virus das leben erleichtern. Wenn man das nicht von anfang an weiss und ndert bekommt man spter probleme auf normale benutzer zu wechseln (kost ein wenig mehr arbeit). Ich war nun der Meinung das ich mit Samba den User ichBins auch genauer untersuchen kann und im falle das er admin rechte auf _seiner_ maschine hat den zugriff zu verweigern. Das der User sich ggf. mit einem anderen login auf dem Samba anmeldet meine ich in diesem fall garnicht. Ich dachte das geht irgendwie! Man kann doch auch (ich weiss nicht wie) ber windows sein samba passwort ndern oder die REG bearbeiten. D.h. das Samba auch status informationen ber den Benutzer mitbekommt die man dann blocken knnte. Diejenigen unbesinnlichen bekommen die Share einfach nicht gemountet? Wie wre es damit? hosts allow/deny, valid/invalid users. Das ist bereits geschehen. Aber ob ichBins potenziell empfnglich ist (weil er Admin rechte hat) will ich ausschliessen, sofern mglich. Gre, Thomas Gru Florian -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: samba : windows clienten die administratoren rechte haben verweigern
Florian (flobee) schrieb: Hm. Ich halte das fr den falschen Ansatz. Ein guter Virenscanner und die Sache ist gegessen. Und auf dem Client keinen IE mehr zur Verfgung stellen, sondern Firefox. es gibt natrlich auch noch bessere Browser ;) www.opera.com bitte eine kl. empfehlung was gut und endanwenderfreundlich auf debian installierbar ist. Den F-Prot mag ich und kenne ihn auch bedingt unter der konsole durch windows... Aber einrichten und prfen, warten... wie leicht ist das? ich hab irgendwo mal gelsesn, dass man den clamav sogar in samba integrieren kann, hab's selber aber noch nie gemacht Ich dachte das geht irgendwie! Man kann doch auch (ich weiss nicht wie) ber windows sein samba passwort ndern oder die REG bearbeiten. D.h. das Samba auch status informationen ber den Benutzer mitbekommt die man dann blocken knnte. ich denke das geht nur, wenn samba als DC luft, doch selbst dann knnte der Nutzer noch lokaler Admin sein, was samba dann nicht mitbekommen wrde. Es gibt wohl mitlerweile auch Mglichkeiten ber samba Policies zu verteilen, womit Du dann die Rechte schon recht schn einschrenken kannst. Bin mir jetzt aber net sicher, ob man dann immer noch lokaler Admin sein kann. Ralph -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: samba : windows clienten die administratoren rechte haben verweigern
Hallo Florian, hallo auch an alle anderen Am Donnerstag, 19. Mai 2005 11:55 schrieb Florian: Hallo Ich weiss leider nicht mehr wo ich etwas in der Art gelesen habe und ob es überhaupt geht: Kann man Benutzer von Windows-Clienten die Adminstrator sind oder Benutzer mit Administrator- Rechten den Zugriff auf den Samba-Share verweigern? Dem Benutzer Administrator den Zugriff zu verweigern dürfte trivial sein: invalid users = Administrator Admin [...] Du musst also nur wissen, welche User Administratorrechte haben. Wenn die User zentral auf einem PDC verwaltet werden, dürfte das auch sehr eindeutig sein. Mit @Gruppenname in dieser Liste soll man auch Mitglieder ganzer Gruppen ausschließen können. Hab allerdings keine Erfahrung damit. -- Gruß MaxX Bitte beachten: Diese Mailadresse nimmt nur Listenmails entgegen. Für PM bitte den Empfänger gegen den Namen in der Sig tauschen.
Re: samba : windows clienten die administratoren rechte haben verweigern
Goran Ristic wrote: Hallo, Florian! Thursday, 19. May 2005 Hallo Ich weiss leider nicht mehr wo ich etwas in der Art gelesen habe und ob es überhaupt geht: Kann man Benutzer von Windows-Clienten die Adminstrator sind oder Benutzer mit Administrator- Rechten den Zugriff auf den Samba-Share verweigern? Äh? Was hat denn ein Admin einer Wintendo-Maschine auf dem Server rum zu rooten? Windowsadmin != root (!). ja schon klar! Die Idee ist Benutzer der windows Administratoren Guppen aus zu sperren. Also nur echte/reine User dürfen auch Samba :-) Hat den kleinen Hintergrund das das System auch seitens Windows sicherer wird und nicht irgendwelche viren über den admin modus einfach ausgeführt werden die dann ggf schaden auf der Samba maschine anrichten. Gruß Florian -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: samba : windows clienten die administratoren rechte haben verweigern
Florian (flobee) [EMAIL PROTECTED] schrieb: Die Idee ist Benutzer der windows Administratoren Guppen aus zu sperren. Also nur echte/reine User dürfen auch Samba :-) Hat den kleinen Hintergrund das das System auch seitens Windows sicherer wird und nicht irgendwelche viren über den admin modus einfach ausgeführt werden die dann ggf schaden auf der Samba maschine anrichten. Schmarrn. Wer ein Share RW gemountet hat, darf löschen, egal, ob er lokal Admin oder Putzfrau ist. Andreas -- Diese Message wurde erstellt mit freundlicher Unterstützung eines freilau- fenden Pinguins aus artgerechter Freilandhaltung. Er ist garantiert frei von Micro$oft'schen Viren. (#97922 http://counter.li.org) GPG 7F4584DA Was, Sie wissen nicht, wo Kaufbach ist? Hier: N 51.05082°, E 13.56889° ;-) -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: samba : windows clienten die administratoren rechte haben verweigern
Andreas Kretschmer wrote: Florian (flobee) [EMAIL PROTECTED] schrieb: Die Idee ist Benutzer der windows Administratoren Guppen aus zu sperren. Also nur echte/reine User dürfen auch Samba :-) Hat den kleinen Hintergrund das das System auch seitens Windows sicherer wird und nicht irgendwelche viren über den admin modus einfach ausgeführt werden die dann ggf schaden auf der Samba maschine anrichten. Schmarrn. Wer ein Share RW gemountet hat, darf löschen, egal, ob er lokal Admin oder Putzfrau ist. Nicht ganz! Mit dem kleinen Unterschied das der Windows Benutzer mit Admin- Rechten sich über den Browser beispielsweise sofort ausführbare Dateien einfängt während das über normale Benutzer relativ gut abgeschirmt ist. Viele Programme werden über den system oder admin account ausgeführt die dann den schaden anrichten. Bei Normalen Benutzern geht das in der regel nicht mehr. Das funktioniert unter XP recht gut wenn man es konsequent durch zieht. Meine Erfahrung ist der Beweis: 2 Rechner wo nur Benutzer dran arbeiten hatten seither (2, 3 jahre) NIE probleme. Bei anderen muss ich regelmässig Doktor spielen... Bis mal irgendwann dateien gelöscht werden :-( ) Und diese will ich draussen lassen und zur Besinnung zwingen. Ich dachte das geht irgendwie! Man kann doch auch (ich weiss nicht wie) über windows sein samba passwort ändern oder die REG bearbeiten. D.h. das Samba auch status informationen über den Benutzer mitbekommt die man dann blocken könnte. Andreas Gruß Florian -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
samba : windows clienten die administratoren rechte haben verweigern
Hallo Ich weiss leider nicht mehr wo ich etwas in der Art gelesen habe und ob es überhaupt geht: Kann man Benutzer von Windows-Clienten die Adminstrator sind oder Benutzer mit Administrator- Rechten den Zugriff auf den Samba-Share verweigern? gruß florian -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)