Net Send deaktivieren
 

Hallo zusammen!

Net send ist ja schön und gut, aber es kann einem auch auf den Wecker gehen.
Kann ich net send so deaktivieren, dass es keiner mehr im Netz verwenden kann.
Ist net send im ganzen Netzwerk deaktiviert, wenn ich am Server den Nachrichtendienst deaktiviere?

Danke für die Beiträge
MfG

net send generell deaktivieren würd ich nicht. du verhinderst somit u.u. dass du nachrichten vom warndienst erhältst - sofern du den verwendest...

Deaktivierst Du damit nicht eine notwendige Funktion für das Netz?

net send
 

Hallo,

ich verwende keine Warndienste am Server.
Was ich wissen müsste ist ob, wenn ich den Dienst deaktiviere, die anderen Benutzer das Net send nicht mehr zwischen den Workstations verwenden können. Dies ist nämlich das Aufreibende. Dauernd senden irgendwelche Quatschmeldungen von PC zu PC und dies will ich unterbinden.

MfG
Keop

> net stop msg
bzw
net start msg

auf der kommandozeile

wie man es global aktiviert weiß ich nicht, aber damit kannst du zumindest auf deinem rechner das ganze abdrehen, damit dir keiner was schicken kann

net send
 

Hallo,

danke für den Beitrag!

Das haben wir auch schon herausgefunden, aber wie können wir das bei allen Arbeitsstationen machen, auf dem Server wahrscheinlich. Aber wie?

Danke
MfG
Keop

Mich ein wenig umgesehen, gibt gleichnamiges kleines Tool mit graphischer Oberfläche auch. Unter Win9x kein send für den net-Befehl verfügbar. Wenn möglich (wie?) sollte man das Zeug aber wirklich deaktivieren, weil es Sicherheitslücke darstellt: IP-Addr. können angeblich mit Usern und Rechnern in Verbindung ausgespäht werden.

verwendest du login-scripte?
dann könntest du net stop msg dort mitausführen.

login scripte
 

Hallo,

ja wir verwenden ein login script.
Klingt schon mal gut.

Wie muss ich den Befehl da genau reinschreiben?

Genügt hier:
net stop msg

oder muss ich noch irgendwelche zusätze angeben.

MfG
Keop

im prinzip reicht das!
probier es vorsichtshalber mal mit einem "spezialscript" auf einem spielpc aus.

welche betriebssystem verwendet ihr eigentlich?

lg
andi

script
 

Danke, werde dies mal ausprobieren.

Noch verwenden wir Windows NT4

MfG
Keop

es gilt aber zu bedenken, dass

net stop msg

nicht funktioniert, wenn der user keine admin rechte hat, was ich mal annehme...

[edit]
im prinzip müsste es aber über globale domänenrichtlinien gehn...

hm, ich kann hier nicht testen, sonst krieg ich eins auf die finger, aber probier mal folgendes:

einloggen am domaincontroller

start -> ausführen

"poledit" eingeben -> neue richtlinie (bzw vorhandene richtlinie öffnen)

"Standard-Computer" auswählen

unter "System\Ausführen" bei der eingabemaske "Hinzufügen"

eingeben:
Name des neuen Objekts: $Objektname
Wert des Objekts: net stop msg

[edit]
das file dann auf dem server als "Ntconfig.pol" nach "c:\winnt\system32\repl\import\scripts" (\\$servername\netlogon) speichern, der client sollte es (laut resourcekit buch) ausführen, wenn dsa file vorhanden ist...

probiern kann ichs aber leider nicht :(

[edit2]
ausprobiert :D aber scheinbar irgendeinen fehler gemacht... "cmd.exe" starten funzt, "net stop msg" funzt ned... :confused:

ich werd einfach mal weiterprobiern...

so, das zeug schreibt sich einfach in die registry rein unter:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

da kann man genausogut auch reinschreiben: "cmd /k net stop msg" und bekommt ein "Zugriff verweigert" als antwort...

wenn du das über die registry löst, musst du auch den zugriff auf regedit.exe und regedt32.exe für die user sperren...

registery
 

Hallo,

danke für den Beitrag.

Dann muss ich aber das bei allen PC machen.
Des ist aber viel arbeit!

MfG
Keop

..steht schon in meiner personal knowledge base. Freu mich über Bestätigungen der korrekten Information, bevor ich's selber brauche.

registry funzt nicht, wenn der user keine admin rechte bzw keine rechte hat, dienste zu starten/beenden

und eintragen lassen kannst es mit dem policy editor, da brauchst nicht zu jedem rechner gehn.... ;)

nur musst du jetzt noch einen weg finden, wie du einem normalen user die rechte dienste zu kontrolliern gibst, dann kannst es aber auch gleich bleiben lassen... :rolleyes:

also übrigbleibt:
1.) zu jedem rechner hingehn und den nachrichtendienst auf startart "Manuell" oder "Deaktiviert" stellen.
2.) einen weg finden, als admin beim start den dienst zu deaktiviern :confused:

key als .reg-Datei speichern und überall lokal einmal aufrufen = zuviel Arbeit: wie faul sind heutige Admins schon?

ok, weiter gehts :D

unter HKLM\System\CurrentControlSet\Services\

der wert "Messenger", das ist der nachrichtendienst.

dort gibt es einen

key: "Start"
typ: "REG_DWORD"
wert: "0x00000002 (2)" // sofern startart "automatisch" eingestellt ist

der wert für startart "deaktiviert" ist "4", für "manuell" ist "3"

wenn du jetzt diesen wert auf zb "4" setzen würdest, dann kann der user zwra noch nachrichten verschicken, der andere rechner nimmt allerdings nichts an :hehe:

sollte eigentlich auch mit poledit einzustellen sein....

@Klingsor:
als normaler user darfst du in diesen schlüssel nicht schreiben, das machts zum problem weil sich überall anmelden is zu stressig... ;) das kann ich verstehen...

werds mal ausprobiern... und mich dann wieder melden...

Schon verstanden, daß ich mich als Admin überall einmal anmelden müßte, aber zu stressig?! Gelegentlich (so alle 2-3 Monate) melde ich mich natürlich an jedem von mir betreuten Gerät an (oder ein SubAdmin), von Fernwartung versteh ich ehrlicherweise zuwenig und interessiert mich auch nicht. Was wirklich vorort los ist (mir der User immer viel zu spät berichtet) kann ich doch nur selbst feststellen.
OK, mehr als 200 Geräte in einer Firma hab ich noch nicht verantwortet, aber meine Philosphie wäre dann halt, mehr Leute einzusetzen. Und jetzt bitte um Kommentare: Bin ich damit schon völlig veraltet und unprofessionell unterwegs?
Das eigentlich Thema des Threads verfolge ich ungeachtet dessen weiter höchst interessiert!

verteilen
 

Hallo zusammen!

Mit Windows 2000 könnte man das sehr gut verteilen, leider mit
Windows Nt nicht, oder besser gesagt, kenne mich in Windows NT4 nicht
gerade gut aus.
Vielleicht gehts ja irgendwie etwas komfortabler?

MfG
Keop

@klingsor
ab und zu seine maschinen anzuschauen is ok, aber nicht regelmässig, is zu aufwendig, vorallem, wenn eine maschine läuft, lass ich sie lieber ;)

die problem maschinen kriegt man sowieso auf regelmässiger basis zu sehen :mad: bis man den fehler hat (oder manchmal auch nicht... :confused: )

und fernwartung ist etwas sehr praktisches, wills nicht mehr missen...

@keop
jep, mit w2k würds leichter gehn, aber was solls, die aufgabenstellung ist eben anders :D

@klingsor:
Ich hab 5 Jahre in einer Firma mit 5000 PCs österreichweit verteilt gearbeitet. Da schaust Du Dir einen PC nur an, wenn er ein Problem macht bzw. fahrst einfach mit einem Image drüber - dann gehts schon wieder :)

Gerade heutzutage ist ein Mehr an Personal kaum durchzusetzen - vorallem, wenn es genug Remote-Wartung bzw. Remote-Überwachungstools gibt. Und W2K bzw. XP lassen sich mir den Policies wunderbar verwalten.

ad ausbringen des reg-keys:
AFAIK gibt es im RessourceKit ein tool zum Umschalten in dem Admin-Modus. Das könntest Du in ein Logon-Script einbauen.

@_m3
im nt4 res kit? puh, werd ich wohl nochmal das buch durchackern... :confused:

also man kann auch über ein script einem client ein recht zuweisen, sowas wurde bei mir in der arbeit gebastelt, damit im logon script ein "net time" als normaler user ausgeführt werden kann.

allerdings versteh ich das script noch nicht ganz ....

grundsätzlich funzt das aber so:

das script holt sich aus der domäne alle computer namen, schreibt diese in eine text datei. dann nimmt das script nacheinander jeweils einen eintrag aus der datei, loggt sich als admin auf dem rechner ein, setzt in der registry einen wert um und das wars... alle rechner die sich nicht haben ändern lassen (aus welchen gründen auch immer [abgedreht, fehlerhafte domänenmitgliedschaft, etc]) werden in ein anderes file geschrieben und dieses lässt sich dann später nochmal abarbeiten...

ONTOPIC
 

ich hatte grad noch eine idee :)

sind deine maschinen alle auf dem neuesten stand? wenn nein, könntest du doch einen exploit verwenden, um admin rechte zu erlangen... (DebPloit [hint];))

damit könntest du den regedit als admin starten, dieser trägt dir den registry key ein dass der messaging dienst deaktiviert ist...

das ganze aus dem loginscript dürfte relativ zuverlässig funktioniern...

habs aber nicht ausprobiert...

siehe anhang: das regfile....

das es funzt hab ich ausprobiert, du brauchst nur irgendwie admin rechte... :confused:

@_m3
5000 CPU's in ganz Österreich? Alleine?
Naja, Du sprichst ja selbst von Images, die rasch zurückgespielt werden. Da ergäbe sich für mich einfach die Möglichkeit einen Katalog an updates und Einstellungen mit mir mitzuführen, die vom damaligen Image abweichen. (Meinem gestiegenen Wissenstand [= Einstellungen anpassen] entspricht das update von Treibern).