| Siec TCP/IP || Otoczenie Sieciowe || Poczta || Usnet || FTP || Konto Shellowe || Czat || IRC || Serwer PROXY |

Otoczenie sieciowe - Sieć SMB

utworzono: 24/06/2002 :: modyfikacja: 17/07/2007
autor: Marcin Moczkowski :: glappo (at) banita (dot) pl

Logowanie do Domeny Windows NT

Żeby korzystać z logowania do domeny w Windows 9x należy posiadać zwykłe konto na serwerze będącym podstawowym kontrolerem domeny (PDC) czyli na Archiwum (banita.pl). Następnie owe konto musi być uaktywnione jako konto SMB. Oczywiście jeśli nie posiadasz konta lub nie jest one odpowiednio ustawione dla SMB to zgłoś się do admina. Owe konto SMB posiada inne hasło mimo tego samego loginu jak na zwykłym koncie, gdyż baza haseł miedzy nimi nie jest synchronizowana. Kiedy otrzymasz od niego dane konta możesz przystąpić do konfiguracji Logowania do Domeny na twoim komputerze.

Logowanie do Domeny NT w Windows 95/98/Me

  • Przejdź opcji Sieci w Panelu Sterowania
  • Wybierz właściwości "Klienta sieci Microsoft Networks" i twym oczom ukarze się obrazek jak poniżej

  • Zaznacz "Logowanie do domeny Windows NT" oraz w polu "Domena Windows NT" wpisz "wariaci"
  • Po ponownym uruchomieniu komputera ujrzysz "nowe" powiększone okno logowania

  • Wpisz swoją nazwę użytkownika (login) i hasło natomiast domeny nie zmieniaj
  • Poprawność wpisanych danych zostanie od razu zweryfikowana i w razie pomyłki zostaniesz poproszony o wpisane jeszcze raz poprawnych danych.
  • Następnie pojawi się okienko informujące o logowaniu do domeny (takie jak na obrazku poniżej) oraz okno dialogowe skryptu synchronizującego czas i mapującego dyski (czyli nie panikuj:)

 

  • No i po sprawie, masz szybki dostęp do Archiwum poprzez zmapowane dyski no i aktualny czas:). Możesz też używać udostępniania plików z uwierzytelnianiem na poziomie zasobów.

Żeby uniknąć mozolnego procesu logowania a przez to wpisywania za każdym razem hasła można zautomatyzować to przy pomocy programu Tweak UI 2000. Program ten jest dla Windows 95/98/Me, a opis jego konfiguracji dla możesz przeczytać poniżej.

Automatyczne Logowanie do Sieci w Tweak UI 2000

Klient Active Directory

W czasach gdy powstawały systemy Windows 95/98 jedynym rodzajem domen w sieciach SMB były domeny NT oparte o styl Windows NT 4.0. Co prawda Windows Me bazujący na linii 95/98, zostało wydane wraz z premierą Windows 2000, który wprowadził domeny AD (Active Directory). Żeby usprawnić funkcjonowanie Windows 95/98/Me oraz NT 4.0 w środowisku Active Directory lub po prostu tylko rozszerzyć funkcjonalność tych systemów należy zainstalować klienta Active Directory. Jest to "Active Directory Client Extensions for Windows 95/98 and Windows NT 4.0" czyli dsclient.  Wymagania dsclient to Windows 95/98/ME lub NT 4.0 z Service Pack 6a oraz minimum Internet Explorer 4.01. Zawarty jest on na płycie Windows 2000 Server w katalogu clients\win9x\dsclient.exe, alternatywna metodą zdobycia jego jest pobranie ze stron Microsoft:

http://www.microsoft.com/ntworkstation/downloads/Other/adclient.asp

Klient  Active Directory wprowadza następującą funkcjonalność w Windows 95/98/Me oraz NT 4.0:

  • Autentyfikacja haseł opartą o kodowanie NTLM i NTLMv2. Możesz o tym poczytać w Dodatkowy opis tyczący haseł SMB (kodowanie). Bardzo przydatna cecha zwiększająca bezpieczeństwo systemów Windows 95/98/Me oraz NT 4.0.

  • Klient Distributed File System (DFS) umożliwiającego korzystanie z owego wynalazku tym systemom. O DFS możesz poczytać w DFS - Rozproszony system plików. Bardzo przydatna cecha rozszerzająca użyteczność systemów Windows 98/Me oraz NT 4.0.

  • Książka adresowa Active Directory (WAD), dostępna poprzez "Menu Start -> "Znajdź" -> "Osoby". Użytkownicy z odpowiednimi uprawnieniami mogą modyfikować, wprowadzać nowe oraz przeglądać właściwości (numer telefonu, adres, adres e-mail) innych użytkowników.

  • Active Directory Service Interfaces (ADSI) czyli użyteczny interfejs programowania API oraz skrypty AD.

  • Wyszukiwanie udostępnionych drukarek w katalogu Active Directory.

  • Możliwość rozpoznania najbliższego kontrolera domeny Active Directory

Funkcje nie obsługiwane przez rozszerzenie Active Directory dla Windows 98/Me oraz NT 4.0:

  • Brak wsparcia dla Kerberos

  • Brak wsparcia dla Windows 2000 Group Policy oraz IntelliMirror.

  • Brak wsparcia dla IPSec oraz L2TP czyli protokołów zaawansowanych wirtualnych prywatnych sieci (VPN), takich jak Internet Protocol security (IPSec) oraz Layer 2 Tunneling Protocol (L2TP).

  • Brak wsparcia dla Service Principal Name (SPN) oraz autentyfikacji mutual.

O możesz poczytać "Active Directory Client Extensions for Windows 95/98 and Windows NT 4.0" czyli dsclient na stronach Microsoft http://www.microsoft.com/windows2000/server/evaluation/news/bulletins/adextension.asp.

Podłączenie do domeny Windows 2003

Aby podłączyć klienta Windows 98/Me do domeny bazującej na kontrolerze z systemem Windows 2003 potrzebne jest wykonanie paru zabiegów głownie po stronie klienta. W przypadku kiedy byśmy chcieli podłączyć klienta bazującego na Windows 95 trzeba wykonać jeszcze zabiegi po stronie serwera Windows 2003 co spowoduje obniżenie bezpieczeństwa domeny.

Poniżej przedstawiona jest procedura dostosowania klienta Windows 95/98/Me do podłączenia do domeny Windows 2003:

Całą owa procedura wraz z przydatnymi odnośnikami jest opisana w artykule "How to enable Windows 98MENT clients to logon to Windows 2003 based Domains" znajdującym się pod adresem - http://support.microsoft.com/default.aspx?scid=kb;en-us;555038

Niedostępność (kontrolera) domeny NT

Czasem może się zdarzyć że podstawowy kontroler domeny NT, będzie niedostępny. w takich wypadkach jego role powinien przejąć zapasowy kontroler domeny ale takowego w naszej sieci po prostu nie ma. taka sytuacja może się też wydarzyć jak twój komputer będzie odłączony od sieci. W takiej sytuacji system nie będzie wstanie zweryfikować poprawności użytkownika i hasła w domenie i wtedy system odmówi "posłuszeństwa" czyli mimo wpisania prawidłowych danych odrzucić je z powodu niedostępności domeny NT. Jedynym rozwiązaniem w takim wypadku w Windows 95/98/Me jest wybranie "Anuluj" podczas logowania sieciowego.

Pominiecie logowania do domeny NT

Popularną metodą pominięcia uprawnień jakie nadaje nam domena jest podczas logowania się do niej na komputerze z Windows 95/98/Me w polu "Domena" wpisanie jakiejkolwiek byle by to nie była nasza prawdziwa domena NT. Użytkownik się może nawet zautentyfikować a nazwa "nowej" domeny zostanie nawet zapisana w wartości ciągu AuthenticatingAgent w kluczu rejestru:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\MSNP32\NetworkProvider

Podczas ponownego logowania na tym komputerze pozostanie ta "nowa" nazwa domeny a nie nasza właściwa czyli wszystko się sypnie a użytkownik będzie miał pełne prawa na tym komputerze a nie takie jakie mu narzuciliśmy np. poprzez Poledit i config.pol. Inna metoda pominięcia logowania do domeny NT to po prostu wybranie "Anuluj" lub wciśniecie klawisza "Esc" podczas logowania sieciowego. Żeby uniknąć tego typu problemów czyli uniemożliwić zmianę domeny NT oraz uniemożliwić dostęp do komputera bez poprawnej autentyfikacji zastosuj poniższe porady.

Brak możliwości zmiany domeny NT podczas logowania

Żeby uniknąć problemów należy uniemożliwić zmianę domeny NT w oknie logowania. Aby to osiągnąć trzeba podmienić plik systemowy mprserv.dll znajdujący się w katalogu c:\windows\system\ na komputerze klienckim na jego spreparowana wersje. Oczywiście trzeba wpierw zdobyć jakoś spreparowaną wersje pliku mprserv.dll dla twojej wersji systemu Windows 95/98/Me (ważna jest też wersja językowa). Poniżej masz opis jak przygotować samodzielnie plik mprserv.dll z polem "Domena" w oknie logowania którego nie można edytować.

  • Pobierz darmowy program Resource Hacker z www.users.on.net/johnson/resourcehacker

  • Uruchom Resource Hacker i przejdź w menu górnym do File --> Open... --> otwórz plik c:\windows\system\mprserv.dll

  • Następnie w prawym oknie przejdź do gałęzi Dialogs --> 1 --> 1045, uwaga ta ostania cyfra jest zależna od wersji pliku i może być to np. 1033

  • Wciśnij przycisk "Show Dialog" jeśli nie pojawiło się samo okno dialogowe

  • W owym oknie dialogowym zaznacz obiekt gdzie wpisuje się nazwę domeny i wybierz klikając prawym przyciskiem myszki "Edit control".

  • W tzw. liście stylów jaka ci się pokaże zaznacz "ES_READONLY", niektórzy polecają zaznaczenie "WS_DISABLED", co oznacza że pole będzie tylko do odczytu bez możliwości edytowania nazwy domeny w nim wpisanej.

  • Po zatwierdzeniu, wybierz przycisk "Compile Script" , a następnie z menu File > Save as... > mprserv1.dll.

Możesz pobrać też gotowy plik mprserv.dll przygotowany dla polskiej wersji Windows 98/98 SE >>  mprserv-win98pl.zip.

Powyższy plik można podmienić tylko w trybie MS-DOS gdyż normalnie jest on używany dlatego przejdź do menu Start --> Zamknij.. --> Uruchom w trybie MS-DOS. Następnie w DOSie wpisz:
CD SYSTEM
REN MPRSERV.DLL MPRSERV.DLL.OLD
REN MPRSERV1.DLL MPRSERV.DLL

Teraz pozostało ci ponownie uruchomić komputer i powinieneś ujrzeć okno jako poniżej, gdzie możesz tylko wpisać Nazwę użytkownika i Hasło. natomiast pole Domena nie jest edytowalne a wpisana jest w nim nazwa domeny z pola właściwości "Klienta sieci Microsoft Networks".

Wymaganie poprawnego zalogowania do sieci

Właśnie dzięki tej opcji możesz zobaczyć zaletę domeny NT dla Windows 95/98/Me. Mianowicie gdy użytkownik nie zaloguje się poprawnie do domeny NT (czyli nie będzie znał hasła użytkownika w tej domenie) nie będzie mógł w ogóle skorzystać z komputera. Po prostu dzięki tej opcji Windows 9x zyskuje chodź trochę funkcjonalności Windows NT czyli weryfikacje i autoryzacje użytkownika, a przez to kontrole dostępu do systemu. Żeby to osiągnąć przejdź do klucza w rejestrze:

HKEY_LOCAL_MACHINE\Network\Logon

Utwórz wartość DWORD o nazwie MustBeValidated i nadaj jest wartość 1 żeby włączyć tą funkcje lub 0 żeby ją wyłączyć.

UWAGA: Oczywiście gdy z jakiś powodów kontroler domeny będzie niedostępny nie będziesz mógł się zalogować do systemu. Rozwiązaniem jest uruchomienie systemu w trybie awaryjnym

Wymaganie poprawnego zalogowania - inna metoda

Można ustawić tak komputer klienta żeby gdy się nie powiedzie logowanie (błędy użytkownik lub hasło) lub gdy zostanie anulowana autoryzacja (np. poprzez klawisz Esc) maszyna podjęła jakoś akcje. Oczywiście owa akcja może być zdefiniowana. Do najbardziej przydanych należy działanie polegające na powrocie do okna logowania lub wyłączenie komputera tudzież jego restart. W te metodzie użytkownik może się zautoryzować w domenie NT lub lokalnie czyli nawet gdy nie ma domeny NT.

Gdy komputer nie jest w domenie NT wykonaj następujące kroki, a gdy jest w domenie NT sprawdź ewentualnie te kroki. Przejdź do "Panel sterowania" -> "Hasła", wybierz zakładkę "Profile użytkownika" i zaznacz tutaj "Użytkownicy mogą dostosowywać preferencje..." i następnie "Panel sterowania" -> "Użytkownicy", gdzie utwórz użytkownika który będzie twoim domyślnym i zaloguj się na niego na którym wykonasz zabawę w rejestrze.

Przejdź teraz do klucza w rejestrze:

HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run

Utwórz wartość REG_SZ (ciąg) o nazwie właściwie dowolnej (najlepiej nazwą sugerującą działanie) w której wpiszesz autmagiczną komendę jaka ma się wykonać przy błędnym logowaniu. Być może będziesz musiał również utworzyć podklucz Run z powyższej ścieżki, gdyż nie ma go w domyślnej konfiguracji. A o to przykładowe wartości ciągów wraz z ich nazwą (która jak pisałem może być dowolna):

  • Ciąg REG_SZ o nazwie NoLogon i wartości "RUNDLL32 shell32,SHExitWindowsEx 0" - po niepoprawnym zalogowaniu użytkownik zostanie wylogowany czyli właściwie wróci do okna logowania.

  • Ciąg REG_SZ o nazwie Shutdown i wartości "RUNDLL32 shell32,SHExitWindowsEx 1" - po niepoprawnym zalogowaniu komputer się wyłączy.

  • Ciąg REG_SZ o nazwie Restart i wartości "RUNDLL32 shell32,SHExitWindowsEx 2" - po niepoprawnym zalogowaniu komputer się zrestartuje.

Po więcej działań odsyłam do spisu poleceń programu RunDLL, bo jak widać sporo zależy od inwencji własnej. Podsumowując masz teraz komputer który pozwoli tylko na zalogowanie się użytkowników posiadających konta w domenie NT lub posiadających lokalne konto na Windows 95/98/Me które zostało utworzone przed wprowadzeniem powyższych zmian w rejestrze.

Dodatkowo musisz pamiętać gdy utworzysz nowego użytkownika w systemie np. o nazwie nowy_user po wprowadzeniu zmian w rejestrze, musisz przejść go jego gałęzi rejestru tutaj HKEY_USERS\nowy_user\... i skasować ciąg REG_SZ o nazwie np. NoLogon (czyli ten co utworzyłeś) W przeciwnym razie jak tego nie zrobisz uniemożliwisz userowi korzystanie z systemu nawet po poprawnym zalogowanie się.

UWAGA: Gdy z jakiś powodów nie będziesz mógł się zalogować do systemu (np. zapomniane hasło). Rozwiązaniem jest uruchomienie systemu w trybie awaryjnym i skasowanie powyższego ciągu w rejestrze.

Wyświetlenie potwierdzenia o zalogowaniu do domeny

W Windows 95/98/Me po poprawnym zalogowaniu do domeny NT nie jesteś o tym informowany w jakiś szczególny sposób poza tym że wszystko po prostu działa ;-). Możesz uzyskać okno potwierdzające poprawne zalogowanie do domeny w stylu znanym choćby z Windows for Workgroup 3.11. Dokładnie zostanie wyświetlone okno z nazwą domeny, do której użytkownik się zalogował oraz nazwa tego użytkownika, nazwa kontrolera domeny, który przeprowadził proces uwierzytelnienia oraz uprawnienia w tejże domenie. Możesz to osiągnąć na dwa sposoby za pomocą Poledit (Edytor założeń systemowych) i bezpośredniej edycji rejestru przy pomocy regedit.

Użycie Poledit (Edytor założeń systemowych):

  • W Poledit wybierz z menu "Plik" -> "Otwórz rejestr", teraz kliknij "Komputer lokalny"

  • W nowym oknie rozwiń gałąź "Sieć Windows 98" i dalej "Klient Microsoft dla Windows Networks"

  • Zaznacz teraz pole "Zaloguj do Windows NT"

  • W "Ustawienia dla Zaloguj do Windows NT" kliknij "Wyświetl potwierdzenie logowania do domeny"

  • Zatwierdź i zapisz zmiany (menu  "Plik" -> "Zapisz") oraz zamknij Poledit

Użycie bezpośredniej edycji rejestru przy pomocy regedit. Żeby to osiągnąć przejdź do klucza w rejestrze:

HKEY_LOCAL_MACHINE\Network\Logon

Utwórz wartość DWORD o nazwie DomainLogonMessage i nadaj jest wartość 1 żeby włączyć tą funkcje lub 0 żeby ją wyłączyć.

Możesz o tym poczytać w bazie wiedzy Microsoft pod numerem 150898 - How to Display Domain Logon Confirmation in Windows.

Wyłączenie buforowania hasła domenowego

W Windows 95/98/Me możesz wyłączyć buforowanie hasła domenowego co spowoduje że hasło będzie wymagane przy dostępie do dodatkowym zasobów domenowych. Możesz to osiągnąć na dwa sposoby za pomocą Poledit (Edytor założeń systemowych) i bezpośredniej edycji rejestru przy pomocy regedit.

Użycie Poledit (Edytor założeń systemowych):

  • W Poledit wybierz z menu "Plik" -> "Otwórz rejestr", teraz kliknij "Komputer lokalny"

  • W nowym oknie rozwiń gałąź "Sieć Windows 98" i dalej "Klient Microsoft dla Windows Networks"

  • Zaznacz teraz pole "Zaloguj do Windows NT"

  • W "Ustawienia dla Zaloguj do Windows NT" kliknij "Wyłącz buforowanie haseł domeny"

  • Zatwierdź i zapisz zmiany (menu  "Plik" -> "Zapisz") oraz zamknij Poledit

Użycie bezpośredniej edycji rejestru przy pomocy regedit. Żeby to osiągnąć przejdź do klucza w rejestrze:

HKEY_LOCAL_MACHINE\Network\Logon

Utwórz wartość DWORD o nazwie NoDomainPwdCaching i nadaj jest wartość 1 żeby włączyć tą funkcje lub 0 żeby ją wyłączyć.

na górę


Drukuj Dokument