Ffaw

year :)

Dickes Danke Sunny und daabm

Ich habe jetzt ein neues GPO-Objekt erstellt, hier nur das Loopbackverhalten aktiviert, und dieses Objekt mit dem ersten Klassenraum verknüpft. Mehr nicht. Sonst nichts geändert.

Rechner neu gestartet, als user (verwaltung) angemeldet, und siehe da, dass Laufwerk ist gemapped :)

Super super super cool. hab jetzt einen rechner in den Räumen hin und her geschoben, und jedes mal wird das für den gewählten Raum eingerichtete Laufwerk gemapped.

 

Danke Danke danke :):))))

hi, was ist denn loopback merge ?

 

Die Konfiguration "Computer ist mitglied von gruppe Raum1" hatte ich vorher so probiert, und für jeden Raum eine Gruppe mit PCs angelegt. Aber das hatte auch nicht funktioniert :-/

vor 15 Stunden schrieb Sunny61:

Laufwerksbuchstaben sind eine reine Benutzerkonfiguration, deshalb ist in der Computerkonfig nichts zu finden.

Was genau meinst Du damit? Wo hast Du das Lesen Recht eingestellt? Sie müssen auch das Übernehmen Recht haben. Die Computer benötigen das Lesen Recht. Diese Änderung wurde 2016 eingeführt, Details stehen in diesem Artikel: https://www.gruppenrichtlinien.de/artikel/sicherheitsfilterung-neu-erfunden-ms16-072-patchday-14062016/

direkt im verknüpften Gruppenrichtlinienobjekt unter "Delegierung"

da ich von hier nicht aufs entsprechende System komme, kann ich leider keine screenshots machen. daher versuche ich mal das irgendwie darzustellen

AD-Baum:
Domain.LOCAL
-S-Net

---Dozenten (hier sind BENUTZER drin, die sich als Lehrer/Dozenten anmelden)
---EDV Räume
------Raum1 (hier sind COMPUTER drin, die sich im Raum1 befinden)

--------- SCHULUNGSPC1
------Raum2 (hier sind COMPUTER drin, die sich im Raum2 befinden)

---------SCHULUNGSPC45

---Sicherheitsgruppen (hier sind alle Sicherheitsgruppen drin)

------SNET_Schüler (hier sind alle SCHÜLERACCOUNTS Mitglied)

------SNET-DOZENTEN (hier sind alle DOZENTENACCOUNTS Mitglied)

------SNET-VERWALTUNG (....)

------SNET-Admins (...)
---Schüler (hier sind alle BENUTZER drin, mit denen sich die Schüler anmelden sollen)
---Verwaltung (hier sind Benutzer drin, die Verwaltungszugang erhalten - Mitarbeiteraccounts für spezielle Fälle)
---Admins (hier sind BENUTZER drin, die admin rechte erhalten)

 

Die erstellte Gruppenrichtlinienverknüpfung habe ich direkt an S-net\EDV RÄUME\RAUM1 gehangen. An dieser Richtlinie hängen die 4 Sicherheitsgruppen (Verwaltung,Admin,Dozent,Schüler)

 Der zu mappende Ordner für für Jeder lesbar

In die GPO dann Benutzer->xxx->Laufwerkzuordnungen. Hier die Pfade vom Laufwerk rein. -> Zielgruppenadressierung -> Gruppe Verwaltung OR Gruppe Admin OR Gruppe Dozent OR Gruppe Schüler

 

Die Berechtigung der Gruppenrichtlinie ist auf "Lesen" für alle 4 Gruppen (Schüler,Admin,Veraltung,Dozenten) sowie für "Authentifizierte Benutzer"

 

Ist es hier irgendwie von Bedeutung, ob die Sicherheitsgruppen vom Typ GLOBAL oder UNIVERSAL sind ?

hab ich gemacht. wird gar keine angewendet. verflixt

EDIT

so, ich hab das jetzt probiert.

Ich habe eine neue GPO-Verknüpfung angelegt, und diese in EDV-Räume->Raum1 Verknüpft

An dieser Richtlinie hängen 4 Sicherheitsgruppen (Verwaltung,Admin,Dozent,Schüler)

Der zu mappende Ordner für für Jeder lesbar

In die GPO dann Benutzer->xxx->Laufwerkzuordnungen. Hier die Pfade vom Laufwerk rein. -> Zielgruppenadressierung -> Gruppe Verwaltung OR Gruppe Admin OR Gruppe Dozent OR Gruppe Schüler

Nun sitze ich an einem Rechner (PC1) aus Raum 1 -> PC1 wurde in der AD erkannt (OS usw) - > Laufwerk wird beim anmelden aber nicht gemappt :-/

okay, ich versuche das mal nachzustellen. Vielleicht komm ich dann drauf  :)

 

Großes Dankeschön 

hm, ich dachte die Benutzerrichtlinien greifen ausschließlich für Benutzer, und nicht für Computer, ganz egal wo was verknüpft ist ? Oder liege ich da falsch?!

Moin, ja da hab ich mir jetzt jeden Punkt angeschaut, und nichts finden können

 

Die Beschreibung von Hologram zeigt mir die Verknüpfung zu Benutzern. Ich benötige aber die Verknüpfung zu Computern, weshalb es auch eine Computerrichtlinie sein muss (?)

... na gut lassen wir das  :-D

nun funktioniert das Thema anmelden scheinbar ganz gut. Hab das soweit verinnerlicht.Das ist ja alles so furchtbar umständlich, da muss man sich erst einmal dran gewöhnen, aber das wird, google hilft auch viel  :)

 

Nun bin ich wieder bei den Laufwerken. Ich würde das gerne ohne Startskript sondern über eine GPO lösen. Aber ich weiß nicht wie, da es im Gruppenrichtlinienverwaltungs-Editor unter der Computerkonfiguration keinen entsprechenden Punkt gibt.

 

Was ich möchte ist, bestimmten Klassenräumen ein bestimmtes Laufwerk zuordnen, unabhängig vom angemeldeten Benutzer. Hierfür habe ich Computer zugefügt (die nach join auch erkannt worden, OS usw) und in Klassenraum-OEs gelegt (EDV101 bspw)

Nun erstelle ich im GPOEditor eine neue GPO-Verknüpfung auf die OE Klassenräume, und bearbeite diese. Unter "Benutzer" kann ich direkt Netzlaufwerk wählen, aber unter Computer finde ich nichts dergleichen.

Das muss doch sauber machbar sein ?

vor 36 Minuten schrieb Sunny61:

Dieser Artikel sollte Klarheit bringen: https://www.windows-faq.de/2010/06/10/administrator-zugriff-auf-v2-profile/

supercool, danke  :)

Vielen Dank Sunny61, dass hilft ungemein

 

Kann ich denn die Berechtigung so ändern, dass der Admin da reinsehen darf? Das wäre mir schon wichtig. Ich habs eben selbst probiert, aber dann war das Profil defekt (...)

hi mba, und auch Dir dankeschön :)

 

okay, dass hab ich jetzt verstanden. Irrtümlicherweise nahm ich an, dass ein servergespeichertes Profil grundlegend alle Profildaten (eigene dateien) mitnimmt. War wohl falsch :)

 

Für Roaming Profiles muss ich nun also beides einrichten: Die Ordnerumleitung in der Gruppenrichtlinienverwaltung sowie das servergespeicherte Profil in den Benutzereinstellungen ?

 

EDIT

Ich habe nun die Ordnerumleitung eingerichtet und das erste Profil eingerichtet. Ich sehe nun nach abmeldung den erstellten Ordner des Profils in meinem Share, darf aber als Admin da nicht reingucken um zu prüfen, ob auch die Daten korrekt abgeladen worden sind.

 

Die Freigabe des Benutzerprofil$ Ordners habe ich nach Anleitung gemacht

https://docs.microsoft.com/de-de/windows-server/storage/folder-redirection/deploy-roaming-user-profiles

 

 

hi daabm,

 

und erst einmal ein großes Dankeschön dafür, dass du dich bemühst mir zu helfen :)

 

Die erste konkrete Frage hätte ich schon: Was ist denn der Unterschied eines Servergespeicherten Profils und einer Ordnerumleitung?

Ich habe einem Benutzer bspw. in den Eigenschaften über Profil -> Pfad den Pfad angegeben, den ich als freigegebenen Ordner eingerichtet habe. Gilt das dann als "servergespeichertes Profil" ?

Grüße

Hallo zusammen  :)

 

Ich bin leider noch nicht ganz so fit mit den vielseitigen Möglichkeiten der Domäne und speziell Computerrichtlinien, da ich bislang nur Standartprogramme abgespielt habe. Nutzer a,b,c dürfen dies und das nicht etc. pp.

 

Nun möchte ich eine neue Domäne am Arbeitsplatz (Schul-ähnlicher Betrieb mit Klassenräumen) erstellen und entsprechende Konten und Richtlinien einrichten. Ich komme aber überhaupt nicht weiter bei folgendem Problem

 

Wir haben mehrere Klassenräume mit fest installierter EDV Technik (PC1, PC2 usw usw).

Unsere Schüler wechseln ab und an den Klassenraum.

Es soll ein "Share" für jeden Klassenraum erstellt werden, sodass sich Schüler und Lehrer/Dozent austauschen können.

 

Für mich heisst das im Pflichtenheft :

 

Ich benötige Remotegespeicherte Profile für die Schüler, sodass diese auf verschiedenen Maschinen auf Ihre Daten (Desktop usw) zugreifen können

Ich benötige Computergespeicherte Netzlaufwerke, sodass PC1 in EDV Raum 1 auch immer nur das geteilte Laufwerk "EDV 1" sehen kann, egal welcher Nutzer sich anmeldet.

 

Eigentlich klingt das ganz trivial, so dachte ich auch, aber ich bekomme es nicht auf die Reihe über die Gruppenrichtlinien am Server die Netzlaufwerke per Sicherheitsgruppe zu verteilen.

 

Ich habe dafür Sicherheitsgruppen erstellt, S-EDVRAUM1, S-EDVRAUM2 etc. pp

ich habe VOR dem joinen in die Domäne die Computer händisch angelegt und entsprechend Ihrer Position diese in der korrekten Gruppe Mitglied werden lassen (PC1 ist Mitglied von S-EDVRAUM1, PC45 ist Mitglied von S-EDVRAUM3 etc. pp.)

Zudem habe ich eine OU angelegt "EDV-Räume" mit OUs "EDVRAUM1", "EDVRAUM2" usw. Der Übersicht halber. Jeder Computer wurde hier in der entsprechenden OU erstellt.

Anschließend über Tools->Gruppenrichtlinienverwaltung in die policy, und habe dort ein neues Objekt erstellt. Pfad fürs Objekt ist \EDV-Räume\EDVRAUM1

Bei Delegierung habe ich die entsprechende Gruppe zugefügt (S-EDVRAUM1)

Als Richtlinienobjekt dann: BEnutzer-Windows-Laufwerk und die entsprechenden Daten zum Laufwerk eingetragen

 

Einmal als admin angemeldet wurde das Laufwerk gemappt, aber nicht wieder entfernt wenn ich den entsprechenden PC aus der Gruppe S-EDVRAUM1 entfernt habe

Als normal user angemeldet wird überhaupt nichts gemappt.

Da ich kurz da vor war in den Monitor zu beissen, habe ichs dann als Richtlinienobjekt statt benutzer-windows-laufwerk den weg über computer-an-abmeldescripts versucht und eine net use xxx batch abgelegt. Auch das wird beim anmelden nicht durchgeführt

 

ich hab hier bestimmt nen herben Denkfehler, und hoffe, jemand kann mich mal richtig schubbsen

 

Danke für die Geduld :)

 

Grüße