---

Hej

jeg fandt for nylig ud af at man kunne begrænse adgangen til den funktion
der gør det muligt at få en brugeroversigt på en server med en anonym
adgang. Jeg har prøvet at rette, som foreskrevet flere steder på nettet (og
genstartet) - samt brugt Domain Controller Security Policy. Men intet
virker - jeg kan stadig så let som ingen ting få en liste af mine brugere.
På min XP-workstation maskine er det het anderledes - der kan jeg ikke få en
brugerliste udenfra. Jeg har kigget i "Lokale sikkerheds-politikker" som
svarer til DCSP på min 2kServer, og opsætningen er identisk hvad angår
RestrictAnonymous.

Er der nogen som har et forslag til hvorfor? og hvordan?

på forhånd tak,

Peter

---

Pedah! skrev:

> Er der nogen som har et forslag til hvorfor? og hvordan?

"How to Use the RestrictAnonymous Registry Value in Windows 2000
(Q246261)"

<URL: http://support.microsoft.com/support/kb/articles/Q246/2/61.asp >

Der er dog negative konsekvenser ved at anvende RestricAnonnymous, læs
et par af artiklerne fundet via denne søgning:

<URL:
http://search.microsoft.com/default.asp?qu=RestrictAnonymous&boolean=ALL&nq=NEW&so=RECCNT&p=1&ig=01&ig=02&ig=03&ig=04&i=00&i=01&i=02
&i=03&i=04&i=05&i=06&i=07&i=08&i=09&i=10&i=11&i=12&i=13&i=14&i=15&i=16&i=17&i=18&i=19&i=20&i=21&i=22&i=23&i=24&i=25&i=26&i=27&i=28&i
=29&i=30&i=31&i=32&i=33&i=34&i=35&i=36&i=37&i=38&i=39&siteid=us/itresources >
--
Fix Outlook Express 5.*. Nu med emoticons, _understreget_,
/skråtstillet/ og *fed* tekst: <URL: http://flash.to/oe-quotefix >

---

Ok mange tak.. jeg kigger på sagerne.. =)


"Peder Vendelbo Mikkelsen" <pedervm@myrealbox.com> skrev i en meddelelse
news:al9kva.as.2@mjoelner.aaks.aarhus.dk...
> Pedah! skrev:
>
> > Er der nogen som har et forslag til hvorfor? og hvordan?
>
> "How to Use the RestrictAnonymous Registry Value in Windows 2000
> (Q246261)"
>
> <URL: http://support.microsoft.com/support/kb/articles/Q246/2/61.asp >
>
> Der er dog negative konsekvenser ved at anvende RestricAnonnymous, læs
> et par af artiklerne fundet via denne søgning:
>
> <URL:
>
http://search.microsoft.com/default.asp?qu=RestrictAnonymous&boolean=ALL&nq=
NEW&so=RECCNT&p=1&ig=01&ig=02&ig=03&ig=04&i=00&i=01&i=02
>
&i=03&i=04&i=05&i=06&i=07&i=08&i=09&i=10&i=11&i=12&i=13&i=14&i=15&i=16&i=17&
i=18&i=19&i=20&i=21&i=22&i=23&i=24&i=25&i=26&i=27&i=28&i
>
=29&i=30&i=31&i=32&i=33&i=34&i=35&i=36&i=37&i=38&i=39&siteid=us/itresources
>
> --
> Fix Outlook Express 5.*. Nu med emoticons, _understreget_,
> /skråtstillet/ og *fed* tekst: <URL: http://flash.to/oe-quotefix >
>

---

Hej Peder + andre,

det virker STADIG ikke.. jeg kan uden problemer hente komplet brugerliste -
også uden at være "godkendt på domænet" ... Nogen andre forslag? =)

- Peter

"Peder Vendelbo Mikkelsen" <pedervm@myrealbox.com> skrev i en meddelelse
news:al9kva.as.2@mjoelner.aaks.aarhus.dk...
> Pedah! skrev:
>
> > Er der nogen som har et forslag til hvorfor? og hvordan?
>
> "How to Use the RestrictAnonymous Registry Value in Windows 2000
> (Q246261)"
>
> <URL: http://support.microsoft.com/support/kb/articles/Q246/2/61.asp >
>
> Der er dog negative konsekvenser ved at anvende RestricAnonnymous, læs
> et par af artiklerne fundet via denne søgning:
>
> <URL:
>
http://search.microsoft.com/default.asp?qu=RestrictAnonymous&boolean=ALL&nq=
NEW&so=RECCNT&p=1&ig=01&ig=02&ig=03&ig=04&i=00&i=01&i=02
>
&i=03&i=04&i=05&i=06&i=07&i=08&i=09&i=10&i=11&i=12&i=13&i=14&i=15&i=16&i=17&
i=18&i=19&i=20&i=21&i=22&i=23&i=24&i=25&i=26&i=27&i=28&i
>
=29&i=30&i=31&i=32&i=33&i=34&i=35&i=36&i=37&i=38&i=39&siteid=us/itresources
>
> --
> Fix Outlook Express 5.*. Nu med emoticons, _understreget_,
> /skråtstillet/ og *fed* tekst: <URL: http://flash.to/oe-quotefix >
>

---

Pedah! skrev:

> det virker STADIG ikke.. jeg kan uden problemer hente komplet
> brugerliste - også uden at være "godkendt på domænet" ... Nogen andre
> forslag? =)

Det bliver godt nok svært, hvis du ikke fortæller mere om konfigurati-
onen og hvad du har forsøgt at ændre og til hvad du har ændret en ind-
stilling.

Hvilke lyttende porte er der på serveren?
Hvilke services kører på serveren?
Hvordan er de services konfigurerede?

Læs eventuelt:

"Q143474 Restricting information available to anonymous logon users"

<URL: http://support.microsoft.com/support/kb/articles/Q143/4/74.asp >

Afsnit 4 i Hacking Exposed Windows 2000: Network Security, Secrets and
Solutions gennemgår de forskellige muligheder der er for at få fat i
brugerlisten. F.eks. nævnes der problemer, hvis serveren er blevet op-
graderet fra NT4 til W2K.

"Q240855 Using Windows NT 4.0 RAS Servers in a Windows 2000 Domain"

<URL: http://support.microsoft.com/support/kb/articles/Q240/8/55.asp >

Det er meget nemmere for mig, at læse og besvare dit indlæg, hvis du
benytter en bedre citat-teknik. Sådan at du klipper alt væk du ikke
svarer på og svarer under det du citerer.
--
Fix Outlook Express 5.*. Nu med emoticons, _understreget_,
/skråtstillet/ og *fed* tekst: <URL: http://flash.to/oe-quotefix >

---

Hej igen,

du har helt ret, jeg må hellere præcisere lidt:
Jeg har en windows 2000 server. REN installation - ikke opgradering. Den
står som Domain Controller, så jeg kan logge på fra min workstation. Som der
står beskrevet i "... Hacking Exposed" har jeg fået brugerlisten. Også fra
en computer som ikke har andet tilfældes med serveren end at den har samme
IP-"serie". Fra den computer kan jeg hente brugerlisten - og DET vil jeg jo
gerne have lukket.
Jeg læste så at man kunne rode med "sikkerheds-politikkerne", der var 3
muligheder. 0: Ingen restrictioner, 1: Ingen optælling af SAM-konti
og -shares, 2: Ingen adgang uden utrykkelige anonyme godkendelser. På
serveren er der 2 steder man kan gå ind i "sikkerheds-politikker", den ene
er for lokal-computeren og den anden er for domænet. Jeg har prøvet alle
kombinationer i både lokal og domæne politikker - og intet hjælper... jeg
har også prøvet direkte med REGEDIT (og genstartet) men det virker heller
ikke. Computeren er fornylig installeret og de eneste services (og porte) er
dem som standard ligger i installationen - og ingen ændringer, udover de
førnævte er foretaget.
Jeg læser lige på de links du sendte, og så vender jeg tilbage om jeg fandt
noget,

- Peter

"Peder Vendelbo Mikkelsen" <pedervm@myrealbox.com> skrev i en meddelelse
news:almpua.7g.1@mjoelner.aaks.aarhus.dk...
> Pedah! skrev:
>
> > det virker STADIG ikke.. jeg kan uden problemer hente komplet
> > brugerliste - også uden at være "godkendt på domænet" ... Nogen andre
> > forslag? =)
>
> Det bliver godt nok svært, hvis du ikke fortæller mere om konfigurati-
> onen og hvad du har forsøgt at ændre og til hvad du har ændret en ind-
> stilling.
>
> Hvilke lyttende porte er der på serveren?
> Hvilke services kører på serveren?
> Hvordan er de services konfigurerede?
>
> Læs eventuelt:
>
> "Q143474 Restricting information available to anonymous logon users"
>
> <URL: http://support.microsoft.com/support/kb/articles/Q143/4/74.asp >
>
> Afsnit 4 i Hacking Exposed Windows 2000: Network Security, Secrets and
> Solutions gennemgår de forskellige muligheder der er for at få fat i
> brugerlisten. F.eks. nævnes der problemer, hvis serveren er blevet op-
> graderet fra NT4 til W2K.
>
> "Q240855 Using Windows NT 4.0 RAS Servers in a Windows 2000 Domain"
>
> <URL: http://support.microsoft.com/support/kb/articles/Q240/8/55.asp >
>
> Det er meget nemmere for mig, at læse og besvare dit indlæg, hvis du
> benytter en bedre citat-teknik. Sådan at du klipper alt væk du ikke
> svarer på og svarer under det du citerer.
> --
> Fix Outlook Express 5.*. Nu med emoticons, _understreget_,
> /skråtstillet/ og *fed* tekst: <URL: http://flash.to/oe-quotefix >
>

---

Hej Peder,

jeg undskylder mange gange... jeg har fundet "fejlen", jeg andt ud af at jeg
sådan set HAVDE adgang til serveren som adm., for jeg havde et
netværks-share og det gælder åbenbart med. så nu kører det perfekt. MEN,
hvis nu man forestiller sig at der er et brugere af domænet som ikke må få
listen, kun adm. - hvordan skal det så laves? og kan det lade sig gøre?

- Peter
"Peder Vendelbo Mikkelsen" <pedervm@myrealbox.com> skrev i en meddelelse
news:almpua.7g.1@mjoelner.aaks.aarhus.dk...
> Pedah! skrev:
>
> > det virker STADIG ikke.. jeg kan uden problemer hente komplet
> > brugerliste - også uden at være "godkendt på domænet" ... Nogen andre
> > forslag? =)
>
> Det bliver godt nok svært, hvis du ikke fortæller mere om konfigurati-
> onen og hvad du har forsøgt at ændre og til hvad du har ændret en ind-
> stilling.
>
> Hvilke lyttende porte er der på serveren?
> Hvilke services kører på serveren?
> Hvordan er de services konfigurerede?
>
> Læs eventuelt:
>
> "Q143474 Restricting information available to anonymous logon users"
>
> <URL: http://support.microsoft.com/support/kb/articles/Q143/4/74.asp >
>
> Afsnit 4 i Hacking Exposed Windows 2000: Network Security, Secrets and
> Solutions gennemgår de forskellige muligheder der er for at få fat i
> brugerlisten. F.eks. nævnes der problemer, hvis serveren er blevet op-
> graderet fra NT4 til W2K.
>
> "Q240855 Using Windows NT 4.0 RAS Servers in a Windows 2000 Domain"
>
> <URL: http://support.microsoft.com/support/kb/articles/Q240/8/55.asp >
>
> Det er meget nemmere for mig, at læse og besvare dit indlæg, hvis du
> benytter en bedre citat-teknik. Sådan at du klipper alt væk du ikke
> svarer på og svarer under det du citerer.
> --
> Fix Outlook Express 5.*. Nu med emoticons, _understreget_,
> /skråtstillet/ og *fed* tekst: <URL: http://flash.to/oe-quotefix >
>