Windows Server 2003 e Login

[sp1no]

Salve a tutti!
Scusate la mia ignoranza ma avrei un piccolo quesito:
Ho una rete di pc in cui è inserito un pc-server con il so in oggetto.
Generalmente per accedere al server mi viene richiesto di inserire login e psw e fin qui tutto bene...il prob nasce perchè da una macchina con winxp pro l'accesso risulta automatico...
E' possibile che inserito il login la prima volta lo mantenga in eterno? e se si, come disabilitarlo?

Grazie a tutti

PS: C'è qualche gabola per inserire delle macchine con winxp home in un dominio?

[lukkissimo]

ciao, scusa ma non ho capito bene, la rete è un workgroup od un dominio?

[plikojim]

se il gruppo è in un dominio bisogna prima far aderire il pc (servono permessi amministratore) e l'utente deve essere creato precedentemente

l'accesso automatico con xp è impossibile (servirebbe mettere nel registro il logon automatico)

se non c'è dominio, il pc in questione vede solo le cartelle con permessi everyone e le stampanti

[sp1no]

Scusate il ritardo e grazie per le risposte...
Dunque: il dominio l'ho creato ma per ora è praticamente inservibile visto che in rete ho parecchie macchine con winxp home: volevo capire se anche con questo SO riesco a sfruttare il dominio e riuscire ad effettuare i login dalle varie postazioni (con tutti i vantaggi che ne derivano).
Per ora il server funziona all'interno di un workgroup con i pc che per accedervi devono effettuare un semplice login che da loro privilegi o meno in base all'username; c'è però una macchina (con winxp PRO) che riesce ad entrare lo stesso senza login (in realtà il login è stato fatto solo una volta e ora lo tiene memorizzato)...com'è possibile 'sta cosa?
Spero riusciate a capire qualcosa..
Grazie a tutti !

[lukkissimo]

per ciò che riguard Xp Home nn so dirti come si comporta in un dominio (ma mi hai fatto incuriosire e domani lo installo su di una macchina! ) per il login dovresti controllare nel pannello di controllo -> account utente -> cambia modalità di accesso e disconnessione (l'opzione di loggarti con utenti differenti dipende da A: la macchina è in un dominio o B: sono presenti più account utente sul pc)

[plikojim]

la versione home non è "costruita" per lavorare in un dominio, devi procurarti versioni pro.

... c'è chi nei forum parla che con delle modifiche si riesce anche con la home...

[sp1no]

Grazie,
qualche idea su come mai la macchina con xppro mantenga le informazioni di login? se volessi cambiare il tipo di utente come faccio?

Thanks

Ps: qualche link sui forum dove si parla di xphome?

[plikojim]

Quote:

Originariamente inviato da sp1no

Grazie,
qualche idea su come mai la macchina con xppro mantenga le informazioni di login? se volessi cambiare il tipo di utente come faccio?

è molto probabile che hai un solo account e quindi acceda in automatico.
Se vuoi cambiare utente ne crei altri in pannello di controllo > account utente
(facendo attenzione al livello con cui li crei)
In fase di login, vedrai i relativi nomi di connessione ....versione Workgroup
In versione Dominio compare la schermata classica (per intenderci ... User + Password + Dominio)

Thanks

Ps: qualche link sui forum dove si parla di xphome?

sinceramente no, anche perchè per i pc "aziendali" richiedendo la versione PRO per funzionare correttamente e non mi sono preoccupato di leggere attentamente quale procedimento "usavano"

intanto leggi questo
http://www.pc-facile.com/forum/viewt...=23091&start=0

[Khana]

In realtà esiste un work-around per far accedere i PC WinXP Home Edition ai domini.
1. Creare sul server di dominio un utente e un account PC
2. Dal client con WinXP Home Edition, impostare il WORKGROUP con lo STESSO IDENTICO NOME DEL DOMINIO e rinominare il PC dandogli il nome assengato all'account PC sul controller di dominio.
3. Utilizzare per l'accesso al PC client locale un utente che abbia lo stesso nome e la stessa password di quello inserito nel controller di dominio.

Così siete in grado di vedere le risorse condivise.
Può essere che il Server ancora vi chiederà una password e un utente abilitato se cercate di aprire cartelle protette, ma basta inserire LO STESSO UTENTE E LA STESSA PASSWORD che avete usato per connettervi al client (che, ribadisco, DEVE corrispondere ad un utente del dominio) e il gioco è fatto.

Viva la sicurezza...


Per chi non capisse il commento finale: vi basta essere in qualche modo connessi ad una rete, sapere il nome del dominio e il nome di un utente del dominio e potete bucare qualsiasi LAN Windows...

Per quanto invece riguarda le "modifiche" all'OS, la differenza tra PRO e Home sta solo nel fatto che quest'ultima difetta delle DLL per la gestione e l'associazione ai domini. Basta identificarle nel CD di installazione di PRO (o in una installazione attiva di PRO) e copiarle nella vostra installazione Home.
Funziona.

[Einstein]

Quote:

Originariamente inviato da Khana

In realtà esiste un work-around per far accedere i PC WinXP Home Edition ai domini.
1. Creare sul server di dominio un utente e un account PC
2. Dal client con WinXP Home Edition, impostare il WORKGROUP con lo STESSO IDENTICO NOME DEL DOMINIO e rinominare il PC dandogli il nome assengato all'account PC sul controller di dominio.
3. Utilizzare per l'accesso al PC client locale un utente che abbia lo stesso nome e la stessa password di quello inserito nel controller di dominio.

Così siete in grado di vedere le risorse condivise.
Può essere che il Server ancora vi chiederà una password e un utente abilitato se cercate di aprire cartelle protette, ma basta inserire LO STESSO UTENTE E LA STESSA PASSWORD che avete usato per connettervi al client (che, ribadisco, DEVE corrispondere ad un utente del dominio) e il gioco è fatto.

Viva la sicurezza...

Questo metodo si chiama "pass-through authentication" ed è molto diverso dall'appartenere ad un dominio; appartenere ad un dominio non significa vedere le risorse condivise, ma anche sfruttare una serie di servizi. Applicazioni che fanno uso intensivo di Active Directory non funzionano con questo metodo.

Quote:

Originariamente inviato da Khana

Per chi non capisse il commento finale: vi basta essere in qualche modo connessi ad una rete, sapere il nome del dominio e il nome di un utente del dominio e potete bucare qualsiasi LAN Windows...

Se sono possesso di un nome di dominio, di un nome utente e relativa password, potrei bucare anche la rete della NASA o dell'FBI, non solo una rete Windows...

[Khana]

Quote:

Originariamente inviato da Einstein

Questo metodo si chiama "pass-through authentication"

Questo metodo ha un nome perché la Microsoft si è accorta del Bug ed è subito corsa ai ripari facendo finta di averlo previsto.
In realtà si possono anche eeguire script di log-on con questo metodo, che mi sembra facciano proprio parte dei "servizi di active directory"

Quote:

Originariamente inviato da Einstein

Se sono possesso di un nome di dominio, di un nome utente e relativa password, potrei bucare anche la rete della NASA o dell'FBI, non solo una rete Windows...

Commento prevedibile... peccato che di norma nelle reti "serie" si imposti anche un controllo via MAC address che il caro Winzozz 2000 server o il 2003 server, di default, non supporta... senza contare che di norma viene proibita la coesistenza di uno stesso utente su 2 macchine differenti... cosa che i domini Windows ignorano...

[Dardalo]

Quote:

Originariamente inviato da Khana

Commento prevedibile... peccato che di norma nelle reti "serie" si imposti anche un controllo via MAC address che il caro Winzozz 2000 server o il 2003 server, di default, non supporta... senza contare che di norma viene proibita la coesistenza di uno stesso utente su 2 macchine differenti... cosa che i domini Windows ignorano...

Simulare un MAC Address è molto più facile di quanto si possa pensare...

E' possibile impostare l'accesso di un utente ad una sola sessione per volta, anche se serve a poco (è facile forzare anche quella...)

Cmq. con un po' di attenzione non è così male

[Einstein]

Quote:

Originariamente inviato da Khana

Questo metodo ha un nome perché la Microsoft si è accorta del Bug ed è subito corsa ai ripari facendo finta di averlo previsto.
In realtà si possono anche eeguire script di log-on con questo metodo, che mi sembra facciano proprio parte dei "servizi di active directory"

Non è un bug. E' una funzionalità presente sin da NT 4.0. Ma se dici che è un bug, mi sapresti dire chi l'ha classificato tale?
Gli script di logon non fanno parte dei servizi di active directory, ma sono mantenuti per compatibilità con client pre-Windows 2000. Da Windows 2000 in avanti, quelli che prima erano gli script di logon, vengono distribuiti tramite Group Policies, che non sono applicabili a macchine non appartenenti al dominio. Altro servizio non applicabile a macchine non di dominio è, ad esempio, la distribuzione centralizzata del software.

Quote:

Originariamente inviato da Khana

Commento prevedibile... peccato che di norma nelle reti "serie" si imposti anche un controllo via MAC address che il caro Winzozz 2000 server o il 2003 server, di default, non supporta

Questo non penso sia vero, comunque, supponendo che fosse vero: quanti secondi servono per fare spoofing di un MAC address? Saresti davvero al sicuro?

Quote:

Originariamente inviato da Khana

... senza contare che di norma viene proibita la coesistenza di uno stesso utente su 2 macchine differenti... cosa che i domini Windows ignorano...

Anche questa non la sapevo. Anche su sistemi Unix posso usare lo stesso utente su più terminali...

[Khana]

Guarda... a me interessa poco la teoria.
Non è "sicurezza" che un PC -non- autenticato come computer facente parte del dominio sia in grado di accerede alle risorse dello stesso. Non importa che sofisticazioni da "manuale dell'amministratore" la Microsoft tira fuori. Nel modo che ho spiegato io, un PC XP Home Edition è in grado di utilizzare cartelle e stampanti di Active Directory, andando ad usare le policy assegnate all'utente di dominio "emulato".
Questo è SBAGLIATO, perché l'utente dovrebbe essere riconosciuto come diverso, dato che non è un utente del dominio.
Il problema, ovviamente, non è per quelle situazioni in cui già si conoscono nome utente e password, ma in quelle situazioni dove:
1 - il dominio vinene dato con il nome dell'azienda (99% dei casi)
2 - qualsiasi macchina windows ha un utente administrator

Questo vuol dire che una qualsiasi macchina Windows necessita solo di un brute-force sulla password di amministratore per poter bucare un dominio in tutta tranquillità.

Il problema su NT invece derivava dal fatto che NT server era pensato per poter accettare di default client con sistemi operativi non windows, quindi aveva integrato il modo per ovviare al riconoscimento di appartenenza al dominio. In più, all'epoca Internet non era una cosa così "evoluta" e diffusa come adesso, quindi gli attacchi esterni erano decisamente meno frequenti.

Su linux, invece, l'utente root può essere "disabilitato" dal log in e puoi impostare il sistema in modo da usare soltanto SU in console.
"SU" è un comando, non un utente, quindi devi aver già fatto un log in per usarlo.

Se per te questo non fa nessuna differenza, non so cosa dirti...

[Arcom17]

Quote:

Originariamente inviato da Khana

Su linux, invece, l'utente root può essere "disabilitato" dal log in e puoi impostare il sistema in modo da usare soltanto SU in console.
"SU" è un comando, non un utente, quindi devi aver già fatto un log in per usarlo.

Se per te questo non fa nessuna differenza, non so cosa dirti...

Perchè secondo te in domini windows non si può disabilitare l'accesso ad account di amministrazione?
Visto che la sai così lunga, conosci le group policy vero?
Dubito che tu sappia gestire al meglio un dominio microsoft.. sennò questi problemi non li avresti..

ah e visto che dici che nei domini microsoft è impossibile impedire il logon contemporaneo da due postazioni differenti di un medesimo utente.. ti consiglio di ripassarti un pò il resource kit di windows server 2003 (e anche 2000) se vuoi ti dò l'isbn...

p.s.

ah e cmq quando si crea l'account computer in active directory, tale account viene legato al client in questione assegnandoli un sid che solo i due computer sanno.. se tu la vedi così semplice... e sei in grado di ricreare il sid...

ciao

Marco

[groot]

hai creato un utente sul server uguale a quello che usi su xp pro in questione?

[Einstein]

Quote:

Originariamente inviato da Khana

Guarda... a me interessa poco la teoria.

Vedo... Però, una ripassatina...

Quote:

Originariamente inviato da Khana

Non è "sicurezza" che un PC -non- autenticato come computer facente parte del dominio sia in grado di accerede alle risorse dello stesso. Non importa che sofisticazioni da "manuale dell'amministratore" la Microsoft tira fuori. Nel modo che ho spiegato io, un PC XP Home Edition è in grado di utilizzare cartelle e stampanti di Active Directory, andando ad usare le policy assegnate all'utente di dominio "emulato".
Questo è SBAGLIATO, perché l'utente dovrebbe essere riconosciuto come diverso, dato che non è un utente del dominio.

Secondo me stai facendo confusione tra computer account e user account.
Non è il COMPUTER account che accede alle risorse, ma lo USER account. Un XP Home non può appartenere ad un dominio perché non può avere un computer account da un Domain Controller.
Il fatto che un utente creato su un XP Home può accedere alle risorse condivise (non di Active Directory, attenzione!) è perché esiste un nome utente uguale con una password uguale sul dominio. Gli utenti sono comunque DIVERSI perché hanno sicuramente un SID diverso.

Quote:

Originariamente inviato da Khana

Questo vuol dire che una qualsiasi macchina Windows necessita solo di un brute-force sulla password di amministratore per poter bucare un dominio in tutta tranquillità.

Questo vuol dire che una qualsiasi macchina Unix necessita solo di un brute-force sulla password di root per poter bucare un dominio in tutta tranquillità.

Quote:

Originariamente inviato da Khana

Il problema su NT invece derivava dal fatto che NT server era pensato per poter accettare di default client con sistemi operativi non windows, quindi aveva integrato il modo per ovviare al riconoscimento di appartenenza al dominio.

Questa, sinceramente, non l'ho capita. Pardon...

Quote:

Originariamente inviato da Khana

Su linux, invece, l'utente root può essere "disabilitato"

Anche su Windows puoi disabilitare Administrator, e puoi anche rinominarlo via policy, se per caso Administrator è troppo lungo o ti piace di più "root".

Quote:

Originariamente inviato da Khana

Se per te questo non fa nessuna differenza, non so cosa dirti...

Se il tuo scopo è quello di dire "Linux è sicuro, Windows no", le argomentazioni che hai proposto non reggono.

[Arcom17]

Einstein, non vedi che da quando gli ho replicato non dice più nulla? Si fa presto a fare quelli che la sanno lunga finchè gli altri ne sanno ancora meno.. (mi riferisco a lui non a te eh!)

[groot]

Quote:

Originariamente inviato da Arcom17

Einstein, non vedi che da quando gli ho replicato non dice più nulla? Si fa presto a fare quelli che la sanno lunga finchè gli altri ne sanno ancora meno.. (mi riferisco a lui non a te eh!)

ma insomma che vuole fare??