Zugriff auf Netzlaufwerk über periodischen Agenten...

Bemüh doch bitte die Suche, solcherlei Themen hatten wir hier schon mehrfach. Danke!

Dann solltest du mal deine Sucheingaben überprüfen.

Nehme ich die drei Worte "netzlaufwerk periodisch agent" aus deiner Überschrift habe ich gleich die entsprechenden Threads

Hi,

es sind evtl nicht nur die Rechte. Der Agent muss mind. "Allow restricted access" haben.

Dann kann ein Backgroundagent nur auf Laufwerksbuchstaben zugreifen. Ein UNC-PFad geht nicht. Wenn DU also einen anderen Server hast, dann musst Du dieses Laufwerk als festes Laufwerk mappen.

Ich hoffe ich konnte Dir helfen

Manu

Ich hatte bisher keinerlei Schwierigkeiten auf UNC Pfade zuzugreifen.
Agent auf "3. Beschränkte Operationen mit vollst. Admin-Rechten zulassen" und im UNC Pfad entsprechende Rechte für den Domino Servers setzen schon klappt das einwandfrei.

Hi,

muss der Dominoserver_Dienst dann unter einem User laufen?

Ich hab es nämlich nicht hinbekommen

Gruß Manu

Hi,

Hilft zwar nicht weiter, aber diese Frage sollte man eigentlich an Muesly weitergeben.

Der Domino laeuft standardmaessig unter keinem Benutzer, man kann ihn jedoch auch so einrichten, dass er unter einem bestimmten Account laeuft.
Unter unter keinem Benutzer heisst, er laeuft unter dem Systemkonto und mit deisem duerfte der Zugriff auf Netzwerk-Ressourcen (UNC-Pfade) relativ schwer sein.

Andreas

Hi,

genau das meine ich ja. Wenn er unter einem Systemkonto (also Standard) läuft, dann geht das mit UNC nicht.

Aber wenn er unter einem User läuft, dann gibt es andere Probleme.

Gruß Manu

Nein unser Domino (8.5.3 FP2 HF23) Dienst läuft per Default unter "Lokales System".
Im UNC Pfad (bei uns Windows 2003 R2 FileServer) gebe ich im benötigten Verzeichnis dem ADS Computer Objekt (Windows Servername auf dem der Domino läuft) die entsprechenden Rechte.
Klappt einwandfrei.

Das hat natürlich den Nachteil das JEDER der sich an diesem Server anmelden kann ebenfalls Rechte in diesem Verzeichnis hat. Da diese aber nur der Domino Admin sein sollte sehe ich hier zumindest bei uns kein Sicherheitsrisiko.

Hi,

Zitat

Das hat natürlich den Nachteil das JEDER der sich an diesem Server anmelden kann ebenfalls Rechte in diesem Verzeichnis hat. Da diese aber nur der Domino Admin sein sollte sehe ich hier zumindest bei uns kein Sicherheitsrisiko.

Dann hofft mal, dass ihr keine 'experimentierfreudige' Benutzer habt.

Also mir waere ein derartiges Szenario zu riskant und vielen Firmen in denen ich taetig war, waere die Revision im Dreieck gesprungen.

Andreas

So habe ich es gemacht. Klappt hier.

netuse="net use x: \\server\share /user:bekannterNetzuser bekanntesPasswort"


k=shell(netuse)


dummy = Dir$("x:",0)

Zitat von ascabg

Hi,

Dann hofft mal, dass ihr keine 'experimentierfreudige' Benutzer habt.

Also mir waere ein derartiges Szenario zu riskant und vielen Firmen in denen ich taetig war, waere die Revision im Dreieck gesprungen.

Andreas

Alles anzeigen

Hallo Andreas,

also auf unserem Domino Server kanns ich kein User am Betriebssystem anmelden (und das wäre der einzige Fall wo die oben genannte Berechtigung auch greifen würde), womit die Revision sehr zufrieden ist.
Ein Mounten der Laufwerke halte ich für wesentlich kritischer, da dies schief geht sobald das Kennwort dieses Users geändert wird.

Grüsse

Muesly,

Und die Server stehen 'natuerlich' in der Domaene (Netzwerk).
Wenn die Benutzer im Explorer anfangen zu spielen und auf Netzwerk gehen und hier der Reihe nach die ganzen angezeigten Rechner durchklicken, koennen sie sehrwohl auf den betreffenden
Server relativ einfach kommen.

Ich weiss auch, dass dieses geschilderte Szenario relativ unwahrscheinlich ist, aber die Erfahrung spricht dafuer, dass es immer wieder auch derartiege Benutzer gibt.

Und wenn das passiert, und gehen hierduch Daten verloren bzw. werden geaendert, ist das Geschrei danach sehr gross, und die Revision schreit danach um so lauter nach der Sicherheit der Daten.

Andreas

Zitat von ascabg

Muesly,

Und die Server stehen 'natuerlich' in der Domaene (Netzwerk).
Wenn die Benutzer im Explorer anfangen zu spielen und auf Netzwerk gehen und hier der Reihe nach die ganzen angezeigten Rechner durchklicken, koennen sie sehrwohl auf den betreffenden
Server relativ einfach kommen.

Ich weiss auch, dass dieses geschilderte Szenario relativ unwahrscheinlich ist, aber die Erfahrung spricht dafuer, dass es immer wieder auch derartiege Benutzer gibt.

Und wenn das passiert, und gehen hierduch Daten verloren bzw. werden geaendert, ist das Geschrei danach sehr gross, und die Revision schreit danach um so lauter nach der Sicherheit der Daten.

Andreas

Alles anzeigen

Da möchte ich nun doch nochmals drauf eingehen.
Durch die von mir beschriebene Lösung tritt kein Sicherheitsproblem auf und es ist auch nicht möglich das ein User über den Netzwerkbrowser hier Zugriff auf irgendwelche Ressourcen bekommt.

Es geht darum irgendwelche Verzeichnisse auf irgendwelchen FileServern vom Domino (Agenten, Aktionen oder sonstige Skripte) aus per UNC Pfade zu beackern.
Mein Lösungsansatz ist hier auf dem entsprechenden Verzeichnis dem ADS Computer Objekt des Domino Servers Rechte zu erteilen.
Dies wäre nur dann ein Sicherheitsproblem wenn sich User am Betriebssystem des DominoServers anmelden dürften, was bei einem Server meines erachtens nicht möglich sein darf.

Als Ergänzung dazu vielleicht noch.

Nicht nur jeder der sich an dem Server anmelden kann hat dann auf die Daten Zugriff, sondern auch jeder der die Möglichkeit hat einen Agent mit unrestricted Methoden laufen zu lassen.
Und das könnte dann eher zum Problem werden