[IIS FTPserver] Operator-machtigingen werken niet goed

woensdag 19 februari 2003 00:03

Poef!

ook @ win2k (Advanced Server)

hee.. verrek.. dat probleem had ik blijkbaar ook (nooit getest omdat er nog maar één normale user op mijn netwerk zat en die nog nooit gebruik gemaakt heeft van de FTP)..

dus ik hetzelfde proberen als jij.. en ja hoor. wil niet aanmelden met een 530 fout. maakte ik de user lid van de administrators deed ie het wel.. en weer niet lid maken van de administrators ging weer fout..

maar toen probeerde ik hem lid te maken van de "build-in" users en ja hoor en toen deed ie het.

dus ff naar je Active Directory Users and Computers ga naar de users mapje en klik met de rechtermuisknop de betreffende user aan en selecteer properties en ga naar "Member Of" druk op Add en selecteer "Users activedirectorynaam/buildin" waarbij "activedirectorynaam" je naam van je active directory

.. als het goed is werkt het dan wel

Acties:

woensdag 19 februari 2003 00:04

daddy cool, crazy like a fool

Topicstarter

mmm, werkt nog niet. Heb hem lid gemaakt van builtin/gebruikers en domeingebruikers, maar geen verschil...

Acties:

KorZijl

errare humanum est

Ik had bij NT4 hetzelfde. Volgens mij moest de user toen "logon locally" rechten hebben om het te laten werken. Weet niet of dat ook voor W2K met AD een oplossing is...

woensdag 19 februari 2003 00:08

Acties:

woensdag 19 februari 2003 07:25

Poef!

hmm.. blijft weinig over.. welke foutcode krijg je als je met FTP probeert aan te melden..
misschien is de FTP root directory afgeschermd voor de gebruiker in kwestie. dat bijvoorbeeld domeingebruikers en buildin/gebruikers geen rechten hebben lees/filescan rechten hebben toegekend aan de ftp-root directory.

Acties:

Gert

Luister naar Korzijl, hij spreekt wijze woorden.

woensdag 19 februari 2003 07:30

Acties:

Zwelgje

KorZijl schreef op 19 February 2003 @ 00:04:
Ik had bij NT4 hetzelfde. Volgens mij moest de user toen "logon locally" rechten hebben om het te laten werken. Weet niet of dat ook voor W2K met AD een oplossing is...

psies, log on locally is de oplossing,

een ftp sessie is immer voor het OS niks anders als een 'lokale' sessie, (net als een Terminal server sessie, hier heb je ook deze rechten voor nodig)

A wise man's life is based around fuck you

woensdag 19 februari 2003 07:49

Acties:

Verwijderd

Waar kan je dit aangeven binnen W2k (Ik zit ff niet achter m'n server)

Ik heb ook dit probleem en ben hier ook ooit eens een draadje over tegen gekomen met een oplossing van pech-net (werkte dus mooi niet

)

woensdag 19 februari 2003 15:14

Acties:

woensdag 19 februari 2003 15:52

daddy cool, crazy like a fool

Topicstarter

Welke foutcode ik krijg, geen idee, want ik FTP via Windows Explorer, hij springt gewoon terug bij het inlogschermpje op het moment dat ik in wil loggen.

Over die logon locally: wat is dat in vredesnaam en waar zet ik dat dan aan? Aangezien die server een ad-domaincontroller is, heeft hij geen lokale users, alles gaat via de ad. Ik gebruik gewoon een account die normaal via de ad kan inloggen op het domein.

Hij heeft leesrechten vanaf de root van de drive t/m de betreffende dirs en schrijfrechten in de root van de ftp-map, dat lijkt me in orde dus.

Acties:

woensdag 19 februari 2003 16:51

Poef!

probeer eens met de FTP commando van windows 2000

dus start->uitvoeren..

FTP [enter]

krijg je de volgende fout?

code:

Microsoft Windows 2000 [versie 5.00.2195]
(C) Copyright 1985-2000 Microsoft Corp.

C:\>ftp
ftp> open goliath
Verbonden met goliath.phibian.local.
220 goliath Microsoft FTP Service (Version 5.0).
Gebruiker (goliath.phibian.local:(none)): tester
331 Password required for tester.
Wachtwoord:
530 User tester cannot log in.
Aanmelden mislukt.
ftp>_

hier krijg ik een 530 fout doordat de betreffende user geen lid is van "buildin/users".. en btw. dit is ook via de active directory.. waarbij login locally geen optie is..

------ edit

hee het wordt nu interessant.. nu bij lid maken van "buildin/users" geeft geen effect bij de foutmelding.. kortom. ik kan hier met deze user hetzelfde probleem hebben wat jij nu hebt.

------ edit2

heb nu precies hetzelfde probleem.. de eerste gebruiker die gisteren wel werkte is spontaan opgehouden met functioneren.. als ik een oplossing weet dan post ik hem hier..

------ edit3

blijkbaar heeft active directory ook een login locally optie. maar dan behoorlijk extreem goed verstopt.

want ik heb 'm eindelijk aan de gang gekregen..

Oplossing:

Stap #1: Druk op start -> Uitvoeren en toets in MMC en druk op OK

Stap #2: Onder menu console kies Module toevoegen / verwijderen en klik vervolgens op de knop toevoegen en voeg de volgende object toe genaamd groepsbeleid en druk op de knop bladeren en selecteer Domein Controllers.<domein naam>.. 't is een mapje. Daarna selecteer je Standaard domein controller beleid druk daarna op OK en daarna op Voltooien, dan sluiten en dan weer op ok

Stap #3: dit wordt een moeilijke omdat het bij mij alles in het engels is.

ga naar computer configuratie/windows instellingen/beveilings instellingen/lokale beleid/gebruiker rechten toewijzing.. daarna dubbelklik je op Lokaal aanmelden in de rechterlijst en voeg de volgende groep toe <domein>\Domein gebruikers..

druk op OK. en sluit MMC af..

Stap #4: en de laatste stap

ga naar start -> uitvoeren en typ de volgende regel in:
secedit /refreshpolicy machine_policy

hiermee voer je de beleidwijzingen in. en je kunt nu aanmelden met een "non-administrator"

..

in iedergeval heeft het wel bij mij geholpen..

ik hoop dat dit ook bij jouw werkt..

[ Voor 76% gewijzigd door nIghtorius op 19-02-2003 16:51 ]

Acties:

woensdag 19 februari 2003 16:59

hmmm... onze users kunnen niet locally inloggen, maar wel in de ftp... heb thuis ook de iis ftp draaien op een server die zo default mogelijk geinstalleerd is, en die werkt ook gewoon..

maar goed, wat ik me opeens bedenk.. een DC heeft geen lokale users.. misschien dat het in die hoek te zoeken is..

Two advices for network troubleshooting.. learn to draw diagrams in Visio, and THINK IN LAYERS!

Acties:

woensdag 19 februari 2003 17:39

Poef!

ahum..

m'n compleet mega verhaal daarboven constateerde juist wel dat DC lokale users heeft. alleen de AD (Active Directory) bepaalt wanneer ze lokaal mogen aanmelden op een PDC/BDC computer en is op zich behoorlijk goed verstopt..

hier is een screenshotje..

Afbeeldingslocatie: http://www.phibiansoft.net/files/ad.jpg

duzz. wel lokaal aanmelden optie op je PDC

[ Voor 31% gewijzigd door nIghtorius op 19-02-2003 17:00 ]

Acties:

woensdag 19 februari 2003 17:59

daddy cool, crazy like a fool

Topicstarter

Okee, dat verhaal hierboven had ik zelf ook gevonden, maar helaas

nog geen ftp-toegang. nIghtorius, werkt het bij jou nu wel dan? (Een collega van me raadde me aan om de bewuste map eens gewoon te delen op share-niveau, maar dat lijkt me niet nodig, dat werkt dacht ik alleen binnen je Lan?)

edit: ik heb het niet via de mmc gedaan, maar via systeembeheer, lokaal beveiligingsbeleid, dat komt toch op hetzelfde neer?

[ Voor 19% gewijzigd door TheLemon op 19-02-2003 17:42 ]

Acties:

woensdag 19 februari 2003 20:01

Poef!

heb je ook die "secedit /refreshpolicy machine_policy" gedaan?

want die is extreem belangrijk en moet op de server van kwestie uitgevoerd worden.. anders doet het het nog steeds niet.

---

het functioneert hier nu prima.. kan nu gewoon users aanmaken die toegang hebben op de FTP.

--- IDEE

----

is het vinkje "Alleen anonieme verbindingen toestaan" uitgevinkt in het tabblad "Beveiligingsaccounts" van "Standaard FTP-site"???

[ Voor 47% gewijzigd door nIghtorius op 19-02-2003 18:04 ]

Acties:

KingNothing

Je moet 2 group policy settings aanpassen:

1: Access this computer from the network..

2: Log on locally..

bij beide policies je gebruikers toevoegen, thats it

Die-hard Brexiteer

woensdag 19 februari 2003 22:32

Acties:

woensdag 19 februari 2003 23:44

daddy cool, crazy like a fool

Topicstarter

Well, het blijft erg vreemd allemaal. Al die policy settings bleven niets helpen. Wat nu lijkt te gebeuren is dat als ik de FTP-user lid maak van de administrator-groep, dan één keer inlog en daarna weer verwijder uit die groep (hij is dan alleen nog lid van een FTP-user groep die verder geen enkele rechten heeft in het domein) dan blijft hij werken. Ik moet morgen kijken of hij dan nog werkt, maar het is wel erg wazig.

Acties:

Verwijderd

Ik krijg het ook niet voor elkaar hoor.
Tijdens het aanmaken van die policy geeft hij ook de melding dat de domaincontroller ook niet gevonden kan worden.
Ik stel het in op de server en geef dan aan dat het dan op deze computer moet.
Verder kan ik dan wel alles doen

In de group policy's staat bij access this computer .... de group everyone, dus daar hoef je die users dan toch niet meer toe te voegen?? (zolang ze nog member zijn van die group)

woensdag 19 februari 2003 23:47

Acties:

donderdag 20 februari 2003 00:53

daddy cool, crazy like a fool

Topicstarter

Precies, maar volgens mij haalt dat niks uit, bij mij iig niet.

Acties:

donderdag 20 februari 2003 01:50

Poef!

TheLemon schreef op 19 February 2003 @ 22:32:
Well, het blijft erg vreemd allemaal. Al die policy settings bleven niets helpen. Wat nu lijkt te gebeuren is dat als ik de FTP-user lid maak van de administrator-groep, dan één keer inlog en daarna weer verwijder uit die groep (hij is dan alleen nog lid van een FTP-user groep die verder geen enkele rechten heeft in het domein) dan blijft hij werken. Ik moet morgen kijken of hij dan nog werkt, maar het is wel erg wazig.

je beschrijft precies wat ik had.. dus mijn oplossing zou het probleem moeten oplossen.. maar het doet 't niet

.. weet je zeker dat je de secedit regel ingetoetst hebt in de command console?? deze is namelijk zeer belangrijk.. anders worden het beleid niet doorgevoerd.

btw.. de secedit command moet op de server worden uitgevoerd!

JE MOET wel het beleid hebben van je Active Directory Domein, want anders gaat 't niet werken. omdat de AD beleid alle andere beleid override..

[ Voor 8% gewijzigd door nIghtorius op 20-02-2003 00:54 ]

Acties:

donderdag 20 februari 2003 01:52

aha..

The server was unable to logon the Windows NT account 'justauser' due to the following error: Logon failure: the user has not been granted the requested logon type at this computer. The data is the error code.
For additional information specific to this message please visit the Microsoft Online Support site located at:

in de event log.. komt omdat een DC automagisch het 'default domain controller policy' aanneemt waarin staat dat users niet lokaal mogen inloggen..

je kan secedit gebruiken, of rebooten.. all the same..

Du hast recht

Two advices for network troubleshooting.. learn to draw diagrams in Visio, and THINK IN LAYERS!

Acties:

donderdag 20 februari 2003 10:50

Stap #1: Druk op start -> Uitvoeren en toets in MMC en druk op OK

Stap #2: Onder menu console kies Module toevoegen / verwijderen en klik vervolgens op de knop toevoegen en voeg de volgende object toe genaamd groepsbeleid en druk op de knop bladeren en selecteer Domein Controllers.<domein naam>.. 't is een mapje. Daarna selecteer je Standaard domein controller beleid druk daarna op OK en daarna op Voltooien, dan sluiten en dan weer op ok

Je kan ook naar start > programs > administrative tools > default domain controller policy gaan op je DC. Zo verstopt zit ie niet..

[ Voor 5% gewijzigd door axis op 20-02-2003 01:52 ]

Two advices for network troubleshooting.. learn to draw diagrams in Visio, and THINK IN LAYERS!

Acties:

donderdag 20 oktober 2005 11:38

daddy cool, crazy like a fool

Topicstarter

Ja secedit heb ik gedaan exact zo en ook nog op de server. Ook die logon locally en die andere setting op ALLE policies ingesteld, local, domain, pdc, default domain controller, etc.
Ik ga vanmiddag wel eens rebooten, want hij draait al een maand onafgebroken, misschien haalt dat wat uit.

Acties:

justys7

Precies dit probleem had ik ook. Na lang zoeken ben ik er achter gekomen dat en Domain controller eigen Security Policy heeft met de naam Domain Controller Security Policy. Hierin moet je aangeven dat het account wat je voor ftp'en gebruikt, lokaal mag inloggen.

Let op: De Domain Controller Security Policy is alleen zichtbaar op een domain controller in de Administrative Tools.

donderdag 20 oktober 2005 20:51

Acties: