[XP]XP login op domein

Is naar mijn weten niet mogelijk... kort maar krachtig..

Volgens mij is dit ook niet mogelijk... XP login zonder domein of win2k login met domein... maar niet XP login en domein.

Is neit mogelijk, staat op Technet.

"This behaviour is by design"

Ik kan alleen bevestigen wat jij al zegt: standaard kan het niet. In een domein inloggen betekent username intikken, en je krijgt nooit een lijstje te zien van alle users die bekend zijn.

Volgens mij zijn er ook geen tools die dat doen. Een lijst van alle users uit een domaincontroller zuigen betekent dat je toch iets van admin-rechten moet hebben, en dat betekent dat er een user ingelogd moet zijn, en er is geen user ingelogd als je het loginscherm ziet.

Hooguit zou je een tooltje kunnen zoeken wat van te voren al een lijstje van users heeft waaruit gezocht kan worden, maar vraag me af of dat bestaat.

Wel kun je Windows standaard aan laten melden met een bepaalde user, die optie zit ergens in het configuratiescherm verstopt.

een workaround zou kunnen zijn de gebruikers aanmaken op de lokale machine. als ze dan lokaal inloggen en ze moeten op een server komen, dan wordt de inlognaam gecontroleerd met die van de server.

toevoeging: Werkstation dus uit het domein trekken

[ Voor 13% gewijzigd door mabarto op 07-10-2003 16:35 ]

Dit is inderdaad helaas niet mogelijk - je kan dit vinden op http://support.microsoft.com als je de zoekwoorden: "logon screen windows xp domain" intypt.

Zie ook:
http://support.microsoft....aspx?scid=kb;en-us;303594

Met een beetje zoeken en initiatief van jouw kant had je dit dus makkelijk kunnen vinden

Verwijderd schreef op 07 October 2003 @ 16:26:Een lijst van alle users uit een domaincontroller zuigen betekent dat je toch iets van admin-rechten moet hebben, en dat betekent dat er een user ingelogd moet zijn, en er is geen user ingelogd als je het loginscherm ziet.

Dit is weer niet waar. Standaard kunnen domain users gewoon de hele lijst krijgen van de users in een domein. Probeer maar eens de AD-snapins te openen wanneer je als user bent ingelogd. Dat werkt gewoon. Je kunt alleen niet wegschrijven.

Na wat rechtenwerk heb ik thuis zelfs de groep "NL Account Operators" gemaakt welke rechten hebben om users aan te maken en deze toe te voegen aan "Domain Users" en "Dial-In users"

De reden dat niet alle usernames daar verschijnen is inderdaad "This behaviour is by design" omdat een gemiddelde AD wel 5000 users bevat. Das niet nodig om al die users daar weer te geven want het kost ook nog eens geheugen. En om nou voor die 1% thuisgebruikers speciaal wel deze mogelijkheid erin te zetten is ook weer overdreven

[ Voor 3% gewijzigd door Verwijderd op 07-10-2003 17:11 ]

Verwijderd schreef op 07 October 2003 @ 17:11:
[...]
Dit is weer niet waar. Standaard kunnen domain users gewoon de hele lijst krijgen van de users in een domein. Probeer maar eens de AD-snapins te openen wanneer je als user bent ingelogd. Dat werkt gewoon. Je kunt alleen niet wegschrijven.

Na wat rechtenwerk heb ik thuis zelfs de groep "NL Account Operators" gemaakt welke rechten hebben om users aan te maken en deze toe te voegen aan "Domain Users" en "Dial-In users"

De reden dat niet alle usernames daar verschijnen is inderdaad "This behaviour is by design" omdat een gemiddelde AD wel 5000 users bevat. Das niet nodig om al die users daar weer te geven want het kost ook nog eens geheugen. En om nou voor die 1% thuisgebruikers speciaal wel deze mogelijkheid erin te zetten is ook weer overdreven

Ok, ik wist niet dat standard users het recht hadden om die info uit de AD te halen, maar feit blijft dat het een privilege is die aan gebruikers wordt toegekend (al dan niet default), en mijns inziens kan dat dus niet als er geen user is ingelogd.

Even offtopic, maar soit.

/nogverderofftopicerder

kan je ook zien als je een win2k server met een default install controleert met MBSA bijvoorbeeld; RestrictAnonymous staat vaak nog op 0 (default) en geeft zo mogelijkheden om usernames te achterhalen.

The RestrictAnonymous registry setting controls the level of enumeration granted to an anonymous user. If RestrictAnonymous is set to 0 (that is, the default setting), any user can obtain system information, including: user names and details, account policies, and share names. Anonymous users can use this information in an attack against your system. The list of user names and share names could help potential attackers identify who is an administrator, which computers have weak account protection, and which computers share information with the network.