Zašto nekim mašinama u mreži mogu da pristupim bez unosa imena i šifre?

[ zoran81 @ 24.05.2006. 23:23 ] @

Izvinite zbog opširnosti, ali mislim da je ovde neophodno što preciznije opisati problem.
Mreža od nekih 50tak kompjutera. Osim 2 servera w2003, nijedna druga mašina nije član domena.
Primetio sam da se nekim kompjuterima (rekao bih da nije vezano za OS, ali nisam siguran, nisam još proverio) pristupa bez ikakvog unošenja korisničkog imena i šifre. Pritom, na nekima ne postoji nijedan share(osim default, c$ i slično) i onda je to normalna situacija, ali nije mi jasno zašto se to dešava sa mašinama na kojima postoje šerovi koje sam kreirao ja ili neko drugi, svejedno.

KONKRETAN PRIMER

• komp 1 - XP - korisnici uobičajeno rade pod lokalnim admin nalogom koji ćemo nazvati "1"
 postoji već jedan share, na njemu su Share Permissions default tj. grupa Everyone ima Read pravo, a Security Permissions su takođe default (Administrators, Creator Owner, System, Users)
 pravim novi share "SHARE2", a pre toga kreiram novog korisnika nazvanog "2", člana lokalne Users grupe. Share Permissions ostavljam Everyone-Read, a Security Permissions usmeravam samo na novog korisnika "2" i dajem mu Full Control

• komp 2 - mašina s koje pristupam (ustvari, ovo sam probao sa više kompjutera, između ostalih XP, w2000 i w2003 Server, svuda je slično, ali ajde, uzeću primer sa jednog XPa)
 Mašina je tek restartovana, hoću da pristupim šeru koji sam upravo kreirao, koristim My Network Places, kliknem na komp 1 i, umesto da mi traži User Name i Password, propušta me bez pitanja. Dalje, kliknem na spomenuti "SHARE2", ali, naravno, imam zabranu pristupa jer se pre toga nigde nisam prijavio kao korisnik "2".
 Da ne opisujem šta sam sve pokušavao, uglavnom, nađem rešenje, ali izgleda polovično. . . Znači, probam sa GROUP POLICY, izbacim Everyone grupu iz sledećeg
podešavanja: Access this computer from the network. (nalazi se u "User Rights Assignment")
Međutim, nakon toga, kada sam ulogovan na komp 2 kao običan korisnik, ne moram i dalje da upisujem User Name i Password pri ulasku u komp 1, što ne valja, ali kada se izlogujem iz komp 2 i ulogujem kao administrator, onda se sve odvija kako treba i traži mi ime i šifru pri pokušaju ulaska u komp 1. Tada upišem korisnika "2" i njegovu šifru i normalno uđem u share "SHARE2", kako sam prvobitno i zamislio.

Napominjem da lokalni korisnici na komp 1 , znači Admin i "2", imaju potpuno različita imena i šifre u odnosu na Admina i običnog korisnika na mašinama s kojih sam pokušao da pristupim šeru koji se nalazi na komp 1.

[ Mitar Ostojic @ 27.05.2006. 14:12 ] @

Vidim da si na drugom forumu dobio odgovor pa da se ne ponavljam,napisi sam mozda jos nekom zatreba.

[ Ivek33 @ 27.05.2006. 19:39 ] @

Vrlo zanimljiv problem, a mislim da bi mogao staviti i odgovor ako si riješio problem, mislim da je on još zanimljiviji širem krugu ljudi.

[ Mitar Ostojic @ 30.05.2006. 07:37 ] @

Guest nalog bio aktiviran na masinama

[ zoran81 @ 31.05.2006. 17:11 ] @

Tako je, treba disejblovati Guest account i to je sve.
Bio sam malo zauzet ovih dana pa sam tek sad video da je i ovde bilo odgovora.

[ kumkat @ 01.06.2006. 12:42 ] @

Kada kazete da se iskljuci guest account, da li mislite na onaj u Control Panel -> User Accounts ? Ili se to negde drugde iskljucuje ?

[ dmax @ 01.06.2006. 13:34 ] @

Kroz Control Panel je jedan od nacina da iskljucis guest.

[ andre2000 @ 02.06.2006. 16:07 ] @

Mogu li ja jedno pitanje: zašto se u mreži od 50 računara dva servera stavljaju u domen, a računari ne? Ozbiljno, interesuje me koji je razlog, ja ne mogu da se setim ni jednog.

Pozz

[ Mitar Ostojic @ 03.06.2006. 07:45 ] @

Nisam bas razumeo pitanje ali kod mene na primer 64 racunara i svi su pod domenom i oni na udaljenim lokacijama,zavisi kako zelis da organizujes mrezu mada nevidim smisao dizati domen i staviti samo dva servera pod njega,mozda mislis na organizaciju sa poddomenima ili tako nesto?

[ zoran81 @ 03.06.2006. 10:16 ] @

Odlično razmišljate (i logično), a odgovor sam već dao ovde:
_{[mod trooper - uklonjen link ka drugom forumu]}
pa da se ne ponavljam...

_{[Ovu poruku je menjao trooper dana 03.06.2006. u 15:57 GMT+1]}

[ dmax @ 03.06.2006. 10:54 ] @

Procitao sam postove sa ovog linka što si dao i samo da ti kažem, da je i u nekim privatnim firmama isto npr. mojoj

Imamo preko 200 radnih stanica i vise od 10 servera na mnogo lokacija...
Ako me pitate kako se snalazimo, pa recicu samo jedno, na svim win mašinama samo jedna lozinka za administratora koju svi admin koriste....zamisli koliko posla da se zameni svuda....
Politika firme je sledeca: Što jeftinije, pa makar bilo i mnog manje!

[ zoran81 @ 03.06.2006. 22:35 ] @

Kod mene nije problem sa lovom, pogotovo kad se troši na gluposti,
kao što su dnevnice, prezentacije, šofer za svaku šušu i sl., ali zato
je ova mreža, koja je plaćena preko pola miliona evra(zajedno sa
specijalizovanim softverskim paketom), prvo bila u opasnosti zbog
običnog produžnog kabla, koji je stavljen na listu za nabavku i
čekan ko zna koliko, a trenutno celu serversku sobu hladi
jedan jedini klima uređaj, neke "Bog te pita" firme...

Šta reći...

[ dmax @ 04.06.2006. 10:28 ] @

Što se tice klime, kod mene racunarski centar zavisi od centralne klime (i grejanja) na kojoj su i sve ostale kancelarije. To znaci da kada je napolju oko 10 stepeni (tada je u racunarskom oko 28) i dalje se ne prebacuje sa grejanja na hladjenje, jer je jako hladno u kancelarijama. A kada stigne napolju do 15 (unutra prelazi 30 ... i pocinje slabi miris topljene plastike) prebacuje se na hladjenje. Tada je ujutro smrz po kancelarijama, pa me svi "mrze" jer se zbog "mene" iskljucilo grejanje.

[ zoran81 @ 04.06.2006. 21:39 ] @

:)
Sve divnije od divnijeg...
BTW I kod mene su svi admin passwords lokalni i isti na svim
kompjuterima(ovo drugo i ima neke logike u našem slučaju).

[ zoran81 @ 06.06.2006. 19:25 ] @

Moje mišljenje:

Vidim da je admin uklonio link ka Benchmark-u.
Ne znam da li je to pravilo na ovom forumu, ali i ako je tako to mi izgleda prilično nezrelo. Zar sam trebao da kažem ljudima "idite na Bench i stavite u Search to i to"?

Forumi i treba da služe za razmenu informacija između ljudi dobre volje i tu ne treba da bude zavisti i surevnjivosti. Siguran sam da ovo mišljenje dele svi članovi svih foruma.
To što je izbrisan link ka nekom srodnom forumu neće ni malo umanjiti popularnost istog, a o Elit-u stvara ružnu sliku.

BTW
Ovde sam član mnogo duže nego na Bench-u i nadam se da admin neće ovo izbrisati jer izražavam svoje mišljenje i ne koristim nedolične reči :) .

BTW2
Tamo sam davao linkove ka Elit-u i nikom nije palo na pamet da briše (ovo je proveriva činjenica i opet nikog ne vređam)

[ zoran81 @ 06.06.2006. 19:35 ] @

Tek što sam napisao setio sam se da sam i na Elit-u već davao link ka Benchmark-u (Hardware-Storage) i da nije izbrisan.

Evo dokaz:
http://www.elitesecurity.org/tema/134525/0

Poziv adminu ovog foruma na demokratiju, nema ljutnje :)

[ InfHeat @ 23.06.2006. 19:43 ] @

Da se vratimo na temu, dakle ako je iskljucen Guest nalog, i pristupis nekoj masini kroz "My Net. Places" vidis sve foldere koji su sherovani ali da mi za samo neke trazi login a za neke ne.

Za one kojima hocu da dozvolim da svi imaju pristup nije problem u propertis /security dodam grupu Guests i radi.
E sad zeleo bih da mi za pristup nekom privatnom folderu trazi da se logujem a ne poruku da mi je pristup zabranjen!

Mogu to da podesm kada Mapiram Network Drive, tada mogu da biram skojm cu userom ali mi to ne odgovara!

Kada pristupam Windows-ovim sherovanim folderima koristeci smb client sa linux-a tada mi uredno prikaze sve sherove na masini za one koji nemaju setovanu Guest grupu trazi login za one koji imaju ne.!!! Kako to kad idem sa win na win????

A i jos jedno pitanje, moda bi za ovo trebala nova tema ali opet, uzeo sam da sredim jednu malu mrezu od 8 racunara pod WinXP. Na svim sistemskim particijama je bio FAT32, po jedan korisnik sa admin pravima, particije sam konvertovao u NTFS, sve naloge ubacio u grupu "Power Users" i naravno stavio na sve masine isti pass na Admin nalog.! Sva office dokumenta su dobila atribut "Read-only" -iskljucim read-only, medjutim kada preko mreze pristupim nekoj masini i pokrenem neki office dokument on ima read-only !?!? bez razlike da li se prethodno logujem kao administrator ili gost?

[ InfHeat @ 27.06.2006. 06:52 ] @

Ima li neko neki, predlog... komentar....??

[ ivanknezovic @ 27.06.2006. 12:15 ] @

mislim da te pod win xp pita prvi put kad se logujes a nemas neka prava, sa kojim nalogom da pristupis. mislim da takodjer ako hoces pristupit nekoj masini sa drugog korisnickog naloga mozes upisat nesto kao //ime masine/shared folder:username:sifra...ili nesto tako,malo proguglaj ili idi na microsoftov sajt i naci ces

[ InfHeat @ 27.06.2006. 13:08 ] @

Pa znam kako ja da se logujem ali moram namestiti korisnicima koji to ne znaju da im jednostavno Win trazi Login za odredjeni sherovan folder!

[ zoran81 @ 19.08.2006. 22:47 ] @

Bez obzira što se kasnije uključujem, da probam...

Obično su rešenja ovakvih problema vrlo jednostavna pa zato mislim da je u pitanju to što su SHARE permissions netaknuta, tj. ona su nakon instalacije ili konverta po default-u READ, a preklapaju se sa Security Permissions (restrikcije uvek imaju prednost), što znači da ako neke grupe nema na npr. drugopomenutoj od ove dve liste ona neće moći ništa da uradi ili npr. ako je na SHARE listi ta grupa samo sa Read pravom, a ne Security listi ima i Write pravo, član te grupe će ipak imati samo Read pravo kad pristupa preko mreže.

Čini mi se da ti nisi ni dirao SHARE permissions, a najbolje je da izbaciš Everyone grupu s liste i dodaš one kojima hoćeš da dozvoliš Write pravo. Ima logike i da ostaviš Everyone sa Read, a dodaš npr. Power Users sa Read i Write pravima.