Zum Inhalt wechseln


Foto

GPO NetShare pro Gruppe verbinden, allerdings viele Gruppen


  • Bitte melde dich an um zu Antworten
58 Antworten in diesem Thema

#1 schumischumi

schumischumi

    Newbie

  • 25 Beiträge

 

Geschrieben 08. Juli 2014 - 11:01

Hi,

 

die ausgangssituation:

recht viele user (> 100) die je einer team gruppe zugeordnet sind(jeder user ist in maximal einem team). jedes team hat ein eigenes teamlaufwerk auf das ausschließlich sie zugreifen dürfen. die user haben einen client und zugriff zu einem terminalserver.

Die Information zu welchem team ein user gehört findet sich nur in der gruppenzugehörigkeit, könnte aber theoretisch noch über das user-attribut department abgebildet werden wenn nötig.

 

anforderung:

1. das gruppenlaufwerk soll bei der anmeldung am terminalserver verbunden werden

2. am client soll kein gruppenlaufwerk verbunden werden

 

umsetzungsvorschlag:

zu 1: das teamlaufwerk hätte ich per gpo (verlinkt auf die ou wo alle user sind) und die regel "drive map" mit item-level-targeting "member of security group teamXY" verbunden

Zu 2: Hier hätte ich loopbackprocessing nach dem vorbild hier verwendet, da ja auf ein und den selben user je nachdem wo er sich anmeldet zwei verschiedene regeln greifen sollen.

 

fragen:

ist das best-practice oder habt ihr andere vorschläge?

bekomme ich probleme wenn es in der gpo (zu punkt 1) sehr viele teamgruppen auf mitgliedschaft geprüft werden müssen? teilweise gibt es leider teams mit nur einem user und es wird in der zukunft noch stark wachsen. irgendwann wahrscheinlich > 200 team ads gruppen und damit auch shares. ich denke hier an lange anmeldezeiten bzw. zeiten zur verarbeitung der gpos.

 

wie würdet ihr das umsetzten?



#2 NorbertFe

NorbertFe

    Expert Member

  • 30.605 Beiträge

 

Geschrieben 08. Juli 2014 - 11:22

Liegen die Daten alle in einem Verzeichnis? Dann wärst du wahrscheinlich mit ABE und nur einem Laufwerk für alle schneller und einfacher. ;)

Make something i***-proof and they will build a better i***.


#3 schumischumi

schumischumi

    Newbie

  • 25 Beiträge

 

Geschrieben 08. Juli 2014 - 11:25

ABE?
auf dem fileserver siehts ca so aus:

 

d:\

---TeamLWs

------Team001 (freigegeben als Share \\server\team001)

----------file1.doc

----------file2.doc

------Team002 (freigegeben als Share \\server\team002)

----------file1.doc

----------file2.doc

------Team003 (freigegeben als Share \\server\team003)

----------file1.doc

----------file2.doc

 

usw.

ist noch nicht final kann also geändert werden.

 

edit: ABE das hier?

funktioniert das auch mit failover cluster? gibts da irgendwelche nachteile? sonst siehts auf den ersten blick ganz gut aus (nur schnell überflogen)


Bearbeitet von schumischumi, 08. Juli 2014 - 11:28.


#4 NorbertFe

NorbertFe

    Expert Member

  • 30.605 Beiträge

 

Geschrieben 08. Juli 2014 - 11:41

Ja das funktioniert und du brauchst nur \\server\teamLWs freigeben und jeder sieht nur seinen Teamordner. Alles andere ist viel Aufwand für wenig sinnvollen Nutzen (in meinen Augen).

Bye
Norbert

Make something i***-proof and they will build a better i***.


#5 Dunkelmann

Dunkelmann

    Expert Member

  • 1.862 Beiträge

 

Geschrieben 08. Juli 2014 - 12:09

Moin,

 

wie immer die Frage: Was willst Du erreichen?

 

Da die Benutzer per ACL und Freigabeberechtigung Zugriff auf das Laufwerk haben müssen bringt das Verbinden oder Nicht-Verbinden mMn gar nichts - der Benutzer kann den UNC Pfad immer noch direkt im Explorer eingeben und die Ressource verwenden.

 

Willst Du 'Sicherheit'? Dann müssten Clients, FileShare und RDS durch eine entsprechend konfigurierte Firewall getrennt sein.

Soll es nur 'Kosmetik' sein, könntest Du Dir mal Group Policy Preferences (GPP) mit Zielgruppenadressierung anschauen.


Keep It Small - Keep It Simple


#6 Dr.Melzer

Dr.Melzer

    Moderator

  • 26.226 Beiträge

 

Geschrieben 08. Juli 2014 - 12:18

@schumischumi:

 

Bitte benutze doch auch Großbuchstaben. Sie machen deine Beiträge für uns besser lesbar und je besser wir deine Beiträge lesen können umso besser können wir dir helfen. :)


Never argue with an idíot, they drag you down to their level and beat you with experience!

#7 schumischumi

schumischumi

    Newbie

  • 25 Beiträge

 

Geschrieben 08. Juli 2014 - 15:34

Danke schon mal an NorbertFe. Sieht sehr vielversprechend aus.

 

@Dunkelmann:

Was ich erreichen will steht im Prinzip oben unter Anforderungen und im Text.

Klar müssen die Ordner/Shares auch "sicher" sein (sehr weit definierbarer Begriff). Hierfür benötige ich mMn keine Firewall sondern kann das über die Berechtigungen der Shares und/oder Ordner machen. Die Teams dürfen theoretisch sehen, dass es andere Team-LW gibt. Theoretisch heisst eben "Pfad im Explorer eingeben und es wird gelistet". Zugreifen und in die Ordner einsehen, dürfen sie hingegen nicht.

 

Das Problem was ich mit ABE habe, ohne mich eingehender damit beschäftigt zu haben, ist, dass der User ein LW verbunden bekommt z.B. L:\ auf dem er eigentlich keine schreibberechtigungen hat. Erst wenn er in den Unterordner z.B. L:\Team015 wechselt hat er seine Daten, anstatt direkt unter L:\. Ist jetzt eher ein kosmetischer "Fehler" aber muss ich mir durch den Kopf gehen lassen. Im Prinzip eine Usability Frage und nichts technisches. 

ABE würde mir allerdings meine Angst vor einer langen Anmeldung bzw. ewigen GPO-Prüferei nehmen.

 

Trotzdem nochmal kurz die Frage von oben: Gibt es bei einem Umsetzungsvorschlag wie zu 1. ein (zeitliches) Problem mit den GPOs oder ist es dem AD vollkommen egal und des macht alles wie von Zauberhand ganz fix?



#8 NorbertFe

NorbertFe

    Expert Member

  • 30.605 Beiträge

 

Geschrieben 08. Juli 2014 - 15:57

Du musst doch bei abe nur auf den teAm Ordner leserechte für alle Teams vergeben. Und zwar nur für diesen Ordner.

Bearbeitet von NorbertFe, 08. Juli 2014 - 15:58.

Make something i***-proof and they will build a better i***.


#9 Dunkelmann

Dunkelmann

    Expert Member

  • 1.862 Beiträge

 

Geschrieben 08. Juli 2014 - 15:58

Mit GPP im Benutzerkontext + Zielgruppenadressierung auf Gruppenmitgliedschaft und Terminalsitzung,Computername oder IP Bereich sollte es eigentlich flott laufen.

 

Bei ein paar hundert Gruppen ist es natürlich Fleißarbeit.

Da die Definition des Laufwerksmappings nur eine xml ist, kann man das auch semi-automatisch per Copy, Edit & Paste lösen. Vielleciht zaubert auch jemand ein fertiges Skript aus dem Hut.


Keep It Small - Keep It Simple


#10 schumischumi

schumischumi

    Newbie

  • 25 Beiträge

 

Geschrieben 08. Juli 2014 - 16:00

Was würdet ihr aus eurer Erfahrung raus empfehlen?

 

Die GPO Lösung oder ABE? Letzteres ist atm mein Favorit.

Gerne auch mit kurzer Begründung.



#11 lefg

lefg

    Expert Member

  • 20.479 Beiträge

 

Geschrieben 08. Juli 2014 - 16:01

Trotzdem nochmal kurz die Frage von oben: Gibt es bei einem Umsetzungsvorschlag wie zu 1. ein (zeitliches) Problem mit den GPOs oder ist es dem AD vollkommen egal und des macht alles wie von Zauberhand ganz fix?

 

Hallo,

 

Du kannst es so machen, wie Du es in #3 dargestellt, für jedes Team ist sein Ordner freigegegeben und daruf wird die Netzlaufwerkverbindung vom Benutzer am Client aus hergestellt. Natürlich müssen die Benutzer direkt oder inderekt über Sichereheitsgruppen(Teamxxx) Berechtigung auf Freigabe und Teamordner. haben. Für diesen Fall ist ABE aber sinnlos.

 

Ein zeitliches Problem gibt es nicht, falls alles rrichtig konfiguriert und funktioniert, die Namanauflösung per DNS in der Domäne und auch das GPO ".... immer auf das Netzwerk warten", der Client wartet vor der Anmeldung, bis die Netzwerkverbindung zum Server hergestellt.

 

Edit Diese Lösung ist aber weder elegent noch best pract.


Bearbeitet von lefg, 08. Juli 2014 - 18:39.

Das Messbare messen, das Nichtmessbare messbar machen. Galilei.

 

Diskutiere nicht mit ***en, denn sie ziehen dich auf ihr Niveau und schlagen dich dort mit Erfahrung! (Hab ich bei Tom abgeguckt)

 

Koinzidenz begründet keine Korrelation und ist kein Beweis für Kausalität. (Hab ich bei Daniel abgeguckt) https://de.wikipedia...rgo_propter_hoc

 

Absolutistischer“ Geschäftsführungs-Dogmatismus, der jedwede Empirie aus der „Werkstatt“ schlichtweg ignoriert , führt eben zumeist früher als später ….  (Hab ich von Klabautermann)


#12 NorbertFe

NorbertFe

    Expert Member

  • 30.605 Beiträge

 

Geschrieben 08. Juli 2014 - 16:11

Ich würde mir diese Arbeit sparen. Wenns berechtigungstechnisch korrekt gemacht ist, spart es jede menge Zeit und hat als einzigen Nachteil, dass die User in dem Laufwerk erst in den unterordner klicken müssen, als Vorteil aber dass ein User mehreren Teams angehören kann. Die Zuordnung User zu Gruppe muss man sowieso machen.

Make something i***-proof and they will build a better i***.


#13 Dunkelmann

Dunkelmann

    Expert Member

  • 1.862 Beiträge

 

Geschrieben 08. Juli 2014 - 16:12

Was würdet ihr aus eurer Erfahrung raus empfehlen?

Ich bin ein überzeugter Nutzer von GPP.
Die Zielgruppenadressierung erlaubt eine sehr granulare Steuerung ohne wie anno 1995 Skripte basteln zu müssen.

 

ABE sehe ich eher als ergänzende Technik. Falls der User doch mal durch die Shares surft, wird er nicht durch die Anzahl von Freigaben 'verwirrt' bzw. es werden keine Begehrlichkeiten geweckt.


Bearbeitet von Dunkelmann, 08. Juli 2014 - 16:15.

Keep It Small - Keep It Simple


#14 Daniel -MSFT-

Daniel -MSFT-

    Expert Member

  • 2.434 Beiträge

 

Geschrieben 08. Juli 2014 - 16:14

Mal eine ganz andere Frage: Muss es zwingend ein Laufwerksbuchstabe sein? Netzwerkressourcen sind da viel flexiblerund können im TS-Profil per xcopy verteilt werden: http://blogs.technet...rbindungen.aspx

.: Daniel Melanchthon :.

 

Ich arbeite für die Microsoft Deutschland GmbH.

Koinzidenz begründet keine Korrelation und ist kein Beweis für Kausalität.

 

Hinweis zur Rechtsverbindlichkeit dieser Informationen

Diese Informationen sind Hinweise, die das Verständnis hinsichtlich der Microsoft Produktlizenzierung verbessern sollen. Microsoft weist ausdrücklich darauf hin, dass diese Informationen keinen rechtsverbindlichen Charakter haben, sondern als erklärende Informationen zu verstehen sind. Die einzig rechtsverbindlichen Lizenzinformationen sind in den entsprechenden Endnutzer-Lizenzverträgen (als Beilage zu Softwarepaketen oder in Form von Lizenzverträgen) zu finden.


#15 Dunkelmann

Dunkelmann

    Expert Member

  • 1.862 Beiträge

 

Geschrieben 08. Juli 2014 - 16:18

Die Netzwerkressourcen kann ich auch per GPP steuern :cool:

Leider gibt es immer noch Schrott Anwendungen, die nicht mit UNC Pfaden klarkommen


Keep It Small - Keep It Simple