Hallo,

ich habe immer wieder das Problem, daß in unserem kleinen Netzwerk die Benutzer nicht "erwartungskonform" funktionieren.

Ich möchte zum Beispiel auf einem Rechner einen Ordner freigeben, den nur ich mit Vollzugriff und ein bestimmter Benutzer eines anderen Rechners mit Lesezugriff einsehen kann.

Bisher war die einzige Möglichkeit, wie ich dies hinbekommen habe, jeden Benutzer des Netzwerks mit gleichem Passwort auf jedem Rechner anzulegen. Aber auch dies funktioniert nicht immer.

Ab und an erscheint dann in etwa "kein Zugriff oder Berechtigung, wenden sich sich an den Administrator, .. etc", ab und an erscheint ein Login Dialog, aber auch dies hilft dann nicht immer vernünftig.

Selbst wenn ich angebe beim Zugriff "Jeder" oder/und "Authentifizierte Benutzer" einteile, funktioniert es nicht. Wichtig wäre es mir zu wissen, was gerade oder warum nicht funktioniert anstatt immer die Meldung "kein Zugriff" zu erhalten. Bzw. einfach einem anderen Benutz im Netzwerk unkompliziert Zugriff auf etwas geben?

Woran kann es liegen, daß dies nur so unstabil funktioniert?

das ganze scheitert daran, das windows den benutzer nicht am namen und passwort festmacht sonder an einer so genannten SID (Security Identifier). Dieser ist versteckt und eigentlich nicht modifizierbar. Problem ist, auf jedem Rechner ist trotz selben Namens und Passwort die SID unterschiedlich.

also z.B.

rechner 1 - benutzer Werner - SID 2003
rechner 2 - benutzer Werner - SID 2031

also Werner1 != Werner2 auch bei gleichen Passwörtern.

Leider weiß der Rechner 1 nichts von Werner auf Rechner 2. So was funktioniert nur sauber in einer Domäne wo es einen zentralen Server gibt, der alle Benutzerkonten verwaltet. das Problem tritt auch auf einem einzelnen Rechner auf, wenn man einen Benutzer löscht und neu anlegt. Dabei wird wieder eine neue SID erzeugt. Und nur an dieser macht Windows die Sicherheit fest.

Eine mögliche Lösung: Netzlaufwerke verbinden verwenden und dann "verbindung unter anderem Benutzernamen herstellen" verwenden. Damit
"zwingst" du windows, den Benutzer des Zielrechners zu nehmen. Wenn du einfach im Explorer die Freigabe des Rechners eintippst, versucht Windows den Benutzer des Rechners zu nehmen, an dem man gerade sitzt, den der Zielrechner aber ja nicht kennt.

Die andere Möglichkeit ist mit Gastaccounts zu arbeiten.

Ach ja jeder1 ist auch nicht jeder2.

Ach und wenn jemand fragt warum es mit dem Administrator immer klappt, obwohl der Admin auf den Rechnern nicht der gleiche sein kann: Der Benutzer Administrator ist der einzige Account, der auf allen Windows Rechnern IMMER die selbe SID hat :biggrin:

Theoretisch kann es doch vorkommen, dass zweimal die gleiche SID erzeugt wird :D

Ich habe mal den Fehler gemacht, mehrere Rechner ohne Sysprep zu clonen (Domäne). Es lief zwar alles aber ich wollte auf Nummer sicher gehen und habe über Newsid neue SIDs angelegt.

Läuft alles, nur manche User melden Probleme mit den Internetzugang über Proxs. Das hat sich bisher aber dann nach einem Tag oder so erledigt.

Theoretisch kann es doch vorkommen, dass zweimal die gleiche SID erzeugt wird :D


die SID sieht z.B. so aus

S-1-5-21-3315780778-2009380819-3228356172-1400

wobei da auch die SID des Rechners mit drin ist. kannst ja mal ausrechnen wie wahrscheinlich ist, dass du 2 mal die selbe SID erzeugst. MS hat sicher irgendwo dokumentiert wie sich die SID genau zusammen setzt. bin aber zu faul zum suchen. Der Admin hat am Ende immer die 500. Und auch der Gast hat immer die selbe.