nicht angemeldet
benutzerbeschränkung IIS Netzwerk
hallo ihr lieben
mal wieder eine frage an die spezies ;)
ich habe hier einen "server", also keinen richtigen, aber win xp pro IIS mit php5.1.2
ich habe das problem, dass ich mit php nicht auf netzwerkfreigaben anderer rechner zugreifen kann
da das hier ein internes firmennetzwerk ist, sind alle rechner so eingerichtet, dass überall der administrator ohne passwort angemeldet ist
so kann auch jeder ganz einfach auf jede netzwerkfreigabe zugreifen, das will chef so....
na jedenfalls sind überall die sicherheitseinstellungen so, dass auch jeder benutzer vom netzwerk aus zugreifen darf, sowohl die ntfs-einstellungen sind so, als auch die freigabe-einstellungen
ABER: wie gesagt komme ich nicht auf die netzwerkfreigaben der anderen rechner, was wohl auch daran liegt, dass unter IIS ein spezieller benutzer IUSR_ angemeldet wird, und unter dem php dann auch läuft
wenn ich php von der commandozeile aufrufe habe ich ohne probleme zugriff, weil es dann unter dem administrator läuft
ich habe auch schon versucht, einen neuen benutzer anzulegen, unter dem dann IIS läuft, und diesen benutzer dann testweise mit dem selben passwort auf dem rechner mit der netzwerkfreigabe angelegt und ihm auch nochmal zugriff gewährt, auch wenn ja jeder-berechtigungen verwendet werden
trotzdem funktioniert es nicht
auf einem win2000 rechner habe ich IIS unter dem administrator laufen, und da funktioniert es einwandfrei
aber unter xp pro kann ich das nicht machen, naja, kann ich schon, aber wenn ich dann versuche auf den hhtp-server des IIS zuzugreifen, dann bekomme ich eine seite wo steht, dass auf grund von benutzereinschränkungen die seite nicht angezeigt werden kann
sprich ich bräuchte entweder eine lösung, wie ich den adminidtrator im IIS verwenden kann, oder eine alternative, mit einem extra benutzer, die ja bei mir auch nich wirklich erfolgreich verlief
nur als info, der rechner mit IIS, von dem aus es funktionieren soll hat xp pro
alle anderen rechner mit den freigaben haben win 2000 pro
ich hoffe jemand von euch hat damit erfahrung und ich hoffe jemand hat eine lösung ;)
bis denn dann
euer SorgenkindMech
-
Hoi,
warum lässt du den IIS nicht auch gleich als Administrator laufen. Andersherum kannst du den IUSR_#Machine# ja per Script in lokale Administratorengruppe jedes eurer Rechner hängen.
Wie das in euer Sicherheitskonzept passt und ob man das Informationssicherheitssicht so überhaupt machen sollte liegt nicht in meiner Beurteilungsgewalt.
Cheers,
Frank-
Wie das in euer Sicherheitskonzept passt und ob man das Informationssicherheitssicht so überhaupt machen sollte liegt nicht in meiner Beurteilungsgewalt.
Das "Sicerheitskonzept" heisst "alle dürfen alles", d.h. es gibt keins. Man hat halt nur Probleme mit dem vom MS angebotenen Sicherheits-Frameword.
-
Wolltest du eigentlich irgendwas bedeutungsvolles mitteilen oder nur irgendwas daherplappern?
Frank
-
ejal, über die "sicherheit" bin ich mir durchaus im klaren
aber
das problem scheint noch woanders zu liegenich habe es jetzt hinbekommen, den administrator beim iis einzutragen, sodass die seiten immernoch aufgerufen werden können
war eine sicherheitsrichlinie, die das verboten hat
jedenfalls läuft IIS jetzt unter dem Administrator und es funktioniert immernoch nicht ....
was kann es sein?
btw eine firewall ist es nicht
-
ejal, über die "sicherheit" bin ich mir durchaus im klaren
aber
das problem scheint noch woanders zu liegen»»
ich habe es jetzt hinbekommen, den administrator beim iis einzutragen, sodass die seiten immernoch aufgerufen werden können
Es ging mal um "ich habe das problem, dass ich mit php nicht auf netzwerkfreigaben anderer rechner zugreifen kann". Läuft der IIS-Dienst mit dem Account "administrator" (lokaler Admin vermute ich mal) und darf dieser Account auf die o.g. "netzwerkfreigaben zugreifen"?
-
ejal, über die "sicherheit" bin ich mir durchaus im klaren
aber
das problem scheint noch woanders zu liegen
»»
ich habe es jetzt hinbekommen, den administrator beim iis einzutragen, sodass die seiten immernoch aufgerufen werden könnenEs ging mal um "ich habe das problem, dass ich mit php nicht auf netzwerkfreigaben anderer rechner zugreifen kann". Läuft der IIS-Dienst mit dem Account "administrator" (lokaler Admin vermute ich mal) und darf dieser Account auf die o.g. "netzwerkfreigaben zugreifen"?
nja ich hab ja ursprünglich vermutet, dass ich nicht zugreifen kann weil IIS unter IUSR ausgeführt wurde
aber das ist nicht der fall, das problem liegt irgentwo anders, sprich ich habe jetzt IIS unter dem Administrator laufen, mit dem ich auch normal auf die freigaben zugreifen kann
aber unter IIS kann ich nicht zugreifen
-
Hi,
du setzt sicher den lokalen Administrator-Account des Rechners ein auf dem der IIS läuft. Also IISPC\Administrator. Das ist aber nicht derselbe wie PC2\Administrator. Wenn du dich interaktiv (also als Mensch) anmeldest auf dem anderen PC, dann gibst du meistens nur den unvollständigen Accountnamen (ohne die Domain (der Rechnername ist auch eine Domain)) an und per default wird erstmal die Domain des Zielrechners angenommen?!? (Vermutung, die ich jetzt nicht 100%ig bestätigen kann). Und damit funktioniert es dann für den Share-Zugriff. Du solltest meiner Meinung nach explizit dem Benutzer IISPC\Administrator oder IISPC\IUSR_IISPC die notwendigen Zugriffsrechte auf _allen_ anderen Rechnern gewähren.
Aber bitte, überdenke einfach mal eure Infrastruktur und suche nach Alternativen.
Ciao, frank
-
Du solltest meiner Meinung nach explizit dem Benutzer IISPC\Administrator oder IISPC\IUSR_IISPC die notwendigen Zugriffsrechte auf _allen_ anderen Rechnern gewähren.
Aber bitte, überdenke einfach mal eure Infrastruktur und suche nach Alternativen.
Ich empfehle bei solchen Anforderungslagen immer die Erstellung eines speziellen Dienstkontos mit entsprechenden Berechtigungen. Es ist nämlich nicht der Admin (auf welcher Ebene auch immer) oder ein spezieller Nutzer der den Dienst fährt.
Ausserdem dürfte eine Beschäftigung mit dem angebotenen Sicherheitskonzept von Microsoft von Nutzen sein, wenn nicht notwendig.
-
-
-
-
-
Wolltest du eigentlich irgendwas bedeutungsvolles mitteilen oder nur irgendwas daherplappern?
Ich wollte dazu einladen zu bemerken, dass sich die Sciherheitsphilosophie von MS ("alle dürfen alles", bspw. leere sa-Kennwörter, "fröhliche" IIS-Dienste) geändert hat und nun eben Rechte anfangs sinnvoll eingestellt und verwaltet werden müssen.
Beides hat eben vor und Nachteile.
-
Aha,
das kam etwas zusammenhangslos bei mir an.
Ciao, Frank
-
-
-
-
Hoi,
warum lässt du den IIS nicht auch gleich als Administrator laufen. Andersherum kannst du den IUSR_#Machine# ja per Script in lokale Administratorengruppe jedes eurer Rechner hängen.
hallo frank
wie ich bereits geschrieben habe, habe ich das schon ausprobiert, und es geht unter Xp irgentwie nicht, da er mir dann, wenn ich versuche die seite aufzurufen, sagt, dass die seite auf grund von benutzerbeschränkungen nicht darstellen kann ....
ich habe gerade aber noch was anderes probiert
ich habe ja einen extra benutzer angelegt, unter dem IIS jetzt läuft
und es funktioniert trotzdem nicht
also habe ich jetz mal probiert, mit dem benutzer die php-kommandozeile aufzurufen, mit ausführen als
und in der kommandozeile hat es unter dem benutzer funktioniert!!also im moment bin ich mit meinem latein echt am ende
hoffe jamdn hat noch einen rat für mich
-