Toon posts:

[XP] 1 laptop in 2 domeinen gebruiken

Pagina: 1
Acties:
  • 202 views sinds 30-01-2008
  • Reageer

donderdag 21 september 2006 10:03

Acties:

Verwijderd

Topicstarter
De situatie is als volgt: Wij werken hier met een klein domein, 1 x W2k3 + ca. 10 werkstations (WinXPPro). Een collega van een andere dienst komt hier een enkele keer werken. Andere dienst heeft ander domein (geen trust, helemaal niks, willen wij ook niet). Collega heeft een account op ons domein. Ik heb reeds uitgevonden dat collega resources op ons domein zou moeten kunnen gebruiken door lokaal op haar laptop (XPPro)in te loggen en daarna via mijn netwerklocaties een resource (map of printer) van ons domein kan benaderen. inloggen met: domein.local\accountnaam. Dit lukt; collega kan shares benaderen. Vervolgens blijkt dat collega alleen leesrechten blijkt te hebben, terwijl ik haar vanuit ons domein zeer zeker lees, schrijf en wijzig rechten heb gegeven (zowel op share als op NTFS).
Wanneer collega werkt op één van de werkstations is er dus geen enkel probleem. Alleen als zij haar laptop gebruikt.

donderdag 21 september 2006 10:13

Acties:
  • Question Mark
  • Registratie: Mei 2003
  • Laatst online: 13:31

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Wat is de exacte foutmelding die ze krijgt als ze vanaf haar laptop probeert te schrijven op één van deze shares?

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

donderdag 21 september 2006 10:17

Acties:
  • FaceDown
  • Registratie: Juni 2003
  • Laatst online: 04-02 22:51

FaceDown

Storende factor.

Je kan haar aanmaken als user binnen jullie domein. Als zij dan met dezelfde naam en zelfde password lokaal op haar laptop inlogt, dan kan ze shares benaderen (lees + schrijf). Dan hoeft ze met de domeinnaam helemaal niks te doen.

[ Voor 13% gewijzigd door FaceDown op 21-09-2006 10:18 ]

Groetjes, FaceDown.

donderdag 21 september 2006 11:25

Acties:

Verwijderd

Topicstarter
Question Mark schreef op donderdag 21 september 2006 @ 10:13:
Wat is de exacte foutmelding die ze krijgt als ze vanaf haar laptop probeert te schrijven op één van deze shares?
Weet het niet zeker, maar iets als: U heeft onvoldoende rechten om deze bewerking uit te voeren.....

(Collega is pas volgende week hier weer aanwezig).

zaterdag 23 september 2006 00:16

Acties:
  • djluc
  • Registratie: Oktober 2002
  • Laatst online: 12-03 19:55

djluc

FaceDown schreef op donderdag 21 september 2006 @ 10:17:
Je kan haar aanmaken als user binnen jullie domein. Als zij dan met dezelfde naam en zelfde password lokaal op haar laptop inlogt, dan kan ze shares benaderen (lees + schrijf). Dan hoeft ze met de domeinnaam helemaal niks te doen.
Is dat dan niet een enorm beveiligingsrisico? Ik kan dus als ik eenmaal het wachtwoord van iemand heb afgekeken met elke willekeurige computer toegang krijgen tot de data zonder dat deze computer in het domein opgenomen is?

zaterdag 23 september 2006 09:48

Acties:
  • Zwelgje
  • Registratie: November 2000
  • Laatst online: 20-01 19:37

Zwelgje

djluc schreef op zaterdag 23 september 2006 @ 00:16:
[...]

Is dat dan niet een enorm beveiligingsrisico? Ik kan dus als ik eenmaal het wachtwoord van iemand heb afgekeken met elke willekeurige computer toegang krijgen tot de data zonder dat deze computer in het domein opgenomen is?
dat is dus standaard onder windows, je pc hoeft geen lid te zijn van het domain om domainresources te kunnen gebruiken

resources verdeel je op username niet op computername. iedereen kan met een domain\username connecteren naar resources

kan wel anders maar dan moet je je servers met ipsec gaan dichttikken, dan kan je er *wel* voor zorgen dat je alleen met domainmembers kan connecteren naar de server.

A wise man's life is based around fuck you

zaterdag 23 september 2006 10:16

Acties:

Verwijderd

titelfix en tikje naar WOS :)

[ Voor 45% gewijzigd door Verwijderd op 23-09-2006 10:17 ]

zaterdag 23 september 2006 10:50

Acties:
  • djluc
  • Registratie: Oktober 2002
  • Laatst online: 12-03 19:55

djluc

Mm, dat verbaasd me eigenlijk wel. Stel: Je hebt een computer-policy waarmee je alle USB sticks en andere datadragers blokkeerd om gegevensdiefstal te voorkomen. Die wordt niet toegepast op de prive-laptop die pietje meeneemt, oftwel hij logt lokaal in met zijn gegevens en kan rustig de data op zijn lokale schijven zetten.

zaterdag 23 september 2006 10:55

Acties:
  • Zwelgje
  • Registratie: November 2000
  • Laatst online: 20-01 19:37

Zwelgje

als je het echt zo veilig wilt dan heb je vast ook wel een ipsec policy in place ;)

* Zwelgje wel

A wise man's life is based around fuck you

zaterdag 23 september 2006 11:02

Acties:
  • djluc
  • Registratie: Oktober 2002
  • Laatst online: 12-03 19:55

djluc

Gelukkig heb ik daar nog niet mee te maken ;)

zaterdag 23 september 2006 11:08

Acties:
  • Tweeker
  • Registratie: April 2003
  • Laatst online: 01-10-2023

Tweeker

1 + 1 = 3

djluc schreef op zaterdag 23 september 2006 @ 10:50:
Mm, dat verbaasd me eigenlijk wel. Stel: Je hebt een computer-policy waarmee je alle USB sticks en andere datadragers blokkeerd om gegevensdiefstal te voorkomen. Die wordt niet toegepast op de prive-laptop die pietje meeneemt, oftwel hij logt lokaal in met zijn gegevens en kan rustig de data op zijn lokale schijven zetten.
In dat geval moet je geen computers van derden in je netwerk toestaan, alleen door het bedrijf geconfigureerde pc's / laptops, waarvan de eigenaar niet het admin wachtwoord van heeft.

Anders heb je het geval:
pietje hangt zijn prive laptop in het netwerk, kopieert de data die hij wil hebben naar zijn desktop, logt in als local administrator en gooit het alsnog op CD/USB stick. En dan heb je nog niks bereikt.

[ Voor 0% gewijzigd door Tweeker op 23-09-2006 11:10 . Reden: toetsen zaten op de foute plaats... ]

1 + 1 = 3

zaterdag 23 september 2006 11:11

Acties:
  • djluc
  • Registratie: Oktober 2002
  • Laatst online: 12-03 19:55

djluc

Klopt inderdaad, had alleen gedacht dat dit standaard ook al zo was.

zaterdag 23 september 2006 11:19

Acties:
  • aZuL2001
  • Registratie: September 2002
  • Laatst online: 31-01 11:11

aZuL2001

Het hangt er van af of je de rechten op domain users hebt staan.

En jantje in domein 1 is niet dezelfde als jantje in domein 2.
De users hebben een verschillende Security Identifier.
En ook al is de naam hetzelfde, de sid niet.
En daar staan de rechten op, niet op de naam.

Abort, Retry, Quake ???

zaterdag 23 september 2006 12:31

Acties:
  • Zwelgje
  • Registratie: November 2000
  • Laatst online: 20-01 19:37

Zwelgje

aZuL2001 schreef op zaterdag 23 september 2006 @ 11:19:
Het hangt er van af of je de rechten op domain users hebt staan.

En jantje in domein 1 is niet dezelfde als jantje in domein 2.
De users hebben een verschillende Security Identifier.
En ook al is de naam hetzelfde, de sid niet.
En daar staan de rechten op, niet op de naam.
nee maar als je connect met

net use * \\server\share /user:domain\user password dan kom je er onder de target domain credentials in hoor ;)

dat heeft niks met sids te maken in dit specifiek geval

A wise man's life is based around fuck you

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq