GPO und "Auto"-Mapping

[Forseti2003 14]

Hallöschen,

 

also mal hier eine Frage, die wohl nicht ganz sooo neu ist, aber ein wenig anders, wie die meisten die ich bisher in Foren dazu gelesen habe.

 

Ich hab ein einfaches AD, (firma.local) das mit OU's erweitert wurde.

Diese OU's bilden auf der 1. Ebene die rechtlich selbständigen Häuser ab

und in der 2. Ebene den jeweiligen Standort.

 

Bsp:

 

---- firma.local

|

|------GmbH & Co. KG

|

|---------------Mannheim

|---------------Berlin

 

Ach übrigens, handelt es sich hierbei um einen W2K3 Server Standard Edition Service Pack 2 (kein RC2).

 

Nun kann ich ja den einzelnen OU's jeweils Laufwerke und Drucker als Ressourcen mit hinterlegen, sowie dies bei Usern ja auch geht.

 

Gesagt getan, aber,....

 

diese Ressourcen verbinden sich leider ja nicht automatisch mit den Usern der gleichen OU's.

 

Nun bevor jemand zu voreilig schreibt, das es hierzu tausende von Skripts gibt,....genau die will ich ja eigentlich nicht.

 

Meine Frage ist, ob es möglich ist, das durch das Vorhandensein der Ressourcen in der OU's diese automatisch gemappt werden können, und wenn möglich ohne Skript.

 

Ich will vermeiden, das ich jeder GPO erstmal ein riesiges Skript mit geben muss, ferner das wenn ich nun den USER A aus der OU Mannheim in die OU Berlin schieben, alle Ressourceneinträge nun in den Skripten wieder ändern kann.

 

Oder umgekehrt, es wird ein neuer Drucker oder Laufwerk für Mannheim eingerichtet und ich diesen erst umständlich wieder in die Skripte einpflegen kann.

 

Umständlich ist evtl. übertrieben, aber je nach Größe und Häufigkeit der Änderungen kann das in "Arbeit" ausarten, die ich mir gerne ersparen würde. Gerade in der heutigen Zeit sollte es doch hoffentlich Möglichkeiten geben, das ganze sensitiv und intelligent einsteuern zu können.

 

Für ein paar Hilfen, Tipps & Tricks wäre ich also sehr verbunden.

 

Grüße

 

Forseti

[Shinak 10]

Also ich wüste da imo nur eine Möglichkeit aber bei der komst du an den Scripten nicht ganz vorbei.

 

Was du machen kannst ist bei der OU in der GPO ein Login Script zu hinterlegen in dem die Entsprechenden Laufwerke gemapt werden.

Nur sind die jeweiligen Pfade zu den Mappings nicht auch duch bestimte Berechtigungen vor unbefugten geschützt ?

[Forseti2003 14]

Nunja, aber allein schon wenn ich rund 8 OU's der ersten Ebene und darunter nur 2 OU's der nächsten Ebene verwalten würde wären das 16 OU's mit entsprechender Einbindung eines Skripts (wäre noch realisierbar).

 

Und genau hier stoße ich mit den Skripten ja an das was ich vermeiden will.

 

Hab ich ein Skript in der GPO drin, und ändert sich nun ein Laufwerk oder Drucker (aus welchen Gründen auch immer), kann ich wieder von vorne anfangen die Skripte umzuarbeiten damit das Mapping paßt.

 

Mag es beim Laufwerk noch so sein, das es sich nicht ganz vermeiden läßt, wegen den Buchstaben, aber gerade durch die Drucker sollte es einfacher gehen.

 

Die Vorstellung liegt ja darin, das ich sagen kann, Drucker X kommt in den Betrieb nach Mannheim neu hinzu. Sobald ich ihn in das AD OU Mannheim schiebe, sollte der User automatisch diesen Drucker bei sich sehen können (ohne erst diesen hinzuzufügen müssen).

 

Wäre jetzt ein Skript möglich, das zumindest in der GPO sagt, wenn Drucker OU = User OU dann User = Drucker (mal platt ausgedrückt), dann wäre das noch durchaus positiv, weil dieses Skript nur einmal vorhanden wäre und auf alle späteren Änderungen ja reagieren könnte ohne das ein Administrator nochmal eingreifen müßte.

 

Beim Laufwerk geht es leider nur in die eine Richtung das man sagen kann

OU Mannheim : Laufwerksfreigabe X gemappt auf J:

 

und sobald der User in die OU Mannheim kommt erhält er das Laufwerk und wenn ergeht verliert er es wieder.

 

Durch die Rechtezuordnung der OU und der Gruppe dazu, erhält er ja automatisch Zugriff oder verliert diesen wieder, wenn er der Gruppe nicht mehr angehört. Dafür brauche ich also nicht das Skript.

 

Mir ist schon klar das beim Laufwerkmapping wohl ein Skript fast unumgänglich sein wird, aber es muss halt auch so einfach wie möglich sein.

 

Die Problematik Drucker verbinden sollte dagegen selbst wenn mit einem Skript, später dann ganz automatisch funktionieren.

 

Und ich erwähne jetzt noch nicht, das es logischerweise noch toller wäre, wenn ich dann auch auf diese gleiche Art und Weise Anwendungssymbole auf dem Desktop steuern könnte.

[Sunny61 773]

Schau dir doch mal diese Beispiele hier an: Anmelde Skripe - Möglichkeiten und Funktionen Mit der IFMEMBER.EXE solltest Du schon sehr weit kommen.

[lefg 276]

Bei Server 2003 und XP habe ich für das Gewünschte noch keine eingebauten Möglichkeiten entdecken können.

 

Freigegebene Drucker können im AD veröffentlicht werden.

 

Für Laufwerkmappings gibt es selbstgebaute GPO, müsste hier im Forum auffindbar sein.

 

Ich vermeide die Zuweisung an User, Drucker werden den Maschinen zugeordnet. Laufwerke werden nach Berechtigung auf die Ziele mapped. Um einige Skripte komme ich da nicht rum, das erschien mir aber wesentlich weniger umständlich als mit GPOs, die Skripte sind weitgehend universell angelegt.

 

Ansonsten muss man sich wohl mit dem Möglichkeiten von Server 2008 und Vista beschäftigtenn.

[Forseti2003 14]

Das man Drucker im AD freigeben kann, darum geht es ja nicht, sondern eher darum das der Drucker in der AD OU Einheit automatisch dann auch dem User gemappt wird, der der gleichen OU angehört.

 

Aber der Hinweis auf 2008 prüf ich mal nach, inwiefern das sinnvoller dann ist.

 

 

@Sunny61 : Schau ich mir mal an, aber so wie es aussieht, ist das Thema Skripting damit dann eigentlich immer irgendwie verbunden, was schade ist, da ja die OU schon in diese Richtung läuft dann aber abrupt stehen bleibt.

[lefg 276]

.....sondern eher darum das der Drucker in der AD OU Einheit automatisch dann auch dem User gemappt wird, der der gleichen OU angehört.....

Das erschliesst sich mir nicht wirklich. In den von mir betreuten Bereichen sind an den Maschinen die nötigen Druckertreiber installiert und die User erhalten Berechtigung darauf. Vom Mappen der Drucker durch die Benutzer selbst oder Skripte bin ich schon viele Jahre ab. Es gibt bei mir auch keine an Workstations oder Server freigegebenen Drucker, auf Printserver NT/2000/2003 konnte ich (bisher) auch verzichten.

[Forseti2003 14]

Das erschließt sich aber dann, wenn ich an den Terminalclients lokal weder Drucker anschließen kann, noch diese (aufgrund nicht dafür vorgesehenem OS) installieren kann.

[Sunny61 773]

Das man Drucker im AD freigeben kann, darum geht es ja nicht, sondern eher darum das der Drucker in der AD OU Einheit automatisch dann auch dem User gemappt wird, der der gleichen OU angehört.

 

Aber der Hinweis auf 2008 prüf ich mal nach, inwiefern das sinnvoller dann ist.

 

Unbedingt anschauen, das geht natürlich auch mit Drucker: GPP - Group Policy Preferences - Gruppenrichtlinien Einstellungen

http://www.grurili.de/Bilder/gpp_12.png

[Forseti2003 14]

Ne, wenn ich den Artikel richtig lese und verstehe, wird darin eines ganz klar festgestellt und damit macht es das ganze erstmal uninteressant sogar:

 

ZITAT

Grundbedingungen:

Auf jeden Rechner (XP, 2003, Vista) müssen die CSEs aus dem Artikel 943729 installiert sein und nur zur Verwaltung der Richtlinien benötigt man zwingend ein Vista SP1 oder einen Server 2008.

 

Es ist in unserer Unternehmung weder ein VISTA noch ein Server 2008 derzeit vorhanden.

 

Ferner liegen die AD GPO nicht auf einem Client, sondern durch direkt im AD, womit mir die Clientsoftware derzeit keinen Vorteil bringt.

 

Aber dennoch Danke für den Link.

[NorbertFe 1.836]

Es ist in unserer Unternehmung weder ein VISTA noch ein Server 2008 derzeit vorhanden.

 

Dann wäre deine Anforderung einen Vista-PC zu erhalten jetzt ja bestens zu begründen. ;)

 

Ferner liegen die AD GPO nicht auf einem Client, sondern durch direkt im AD

 

Sag bloß. Ich würde sagen, Sunny weiß ziemlich genau wie ein GPO funktioniert. Sein Tipp ist genau der richtige um dein Problem zu lösen.

 

womit mir die Clientsoftware derzeit keinen Vorteil bringt.

 

Doch würde sie, du mußt nur verstehen wie das zusammenhängt. ;)

 

 

Aber dennoch Danke für den Link.

 

Du solltest dir den nochmal genau durchlesen, da der genau deine Problemlösung beinhaltet.

 

Bye

Norbert

[Sunny61 773]

Ne, wenn ich den Artikel richtig lese und verstehe, wird darin eines ganz klar festgestellt und damit macht es das ganze erstmal uninteressant sogar:

 

ZITAT

Grundbedingungen:

Auf jeden Rechner (XP, 2003, Vista) müssen die CSEs aus dem Artikel 943729 installiert sein und nur zur Verwaltung der Richtlinien benötigt man zwingend ein Vista SP1 oder einen Server 2008.

 

Es ist in unserer Unternehmung weder ein VISTA noch ein Server 2008 derzeit vorhanden.

 

CSEs kannst Du mittels WSUS ganz easy verteilen. Und ja, es reicht sogar ein virtueller VISTA-Client vollkommen aus. Von dem aus administrierst Du dann die GPOs, bei denen Du die Preferences nutzen willst. Ist genauso wie beim Wechsel von W2K zu XP ohne W2K3-Server.

 

Ferner liegen die AD GPO nicht auf einem Client, sondern durch direkt im AD, womit mir die Clientsoftware derzeit keinen Vorteil bringt.

 

Du siehst den Vorteil noch nicht, natürlich kannst Du eine GPO mit der GPMC bis XP auch von einem Client aus bearbeiten. Für VISTA/W2K8 ist dieser Artikel für dich wichtig: Gruppenrichtlinien - Übersicht, FAQ und Tutorials

 

Aber dennoch Danke für den Link.

 

Bitte, gern geschehen. Lies doch einfach noch ein bisschen weiter, Du wirst sicherlich verstehen, weshalb wir das nahe legen. ;)

[Forseti2003 14]

Dann wäre deine Anforderung einen Vista-PC zu erhalten jetzt ja bestens zu begründen. ;)[/Quote]

 

Naja sagen wir mal so, das erhalten wäre nicht unmittelbar das größte Problem, sondern eher, das durch die Änderung der gesamten Hardware- und Softwarestruktur da mehr als nur eine Baustelle gerade aufgetan ist.

 

 

Sag bloß. Ich würde sagen, Sunny weiß ziemlich genau wie ein GPO funktioniert. Sein Tipp ist genau der richtige um dein Problem zu lösen.

[/Quote]

Davon gehe ich auch aus, der Vermerk ist auch nicht abwertend gemeint, sondern soll nur nochmal ergänzen, das wir nicht aneinander vorbeireden.

 

 

CSEs kannst Du mittels WSUS ganz easy verteilen. Und ja, es reicht sogar ein virtueller VISTA-Client vollkommen aus. Von dem aus administrierst Du dann die GPOs, bei denen Du die Preferences nutzen willst. Ist genauso wie beim Wechsel von W2K zu XP ohne W2K3-Server.

 

Für virtuell brauch ich aber auch eine Lizenz ;-)

[Sunny61 773]

Für virtuell brauch ich aber auch eine Lizenz ;-)

 

Ja und, wo ist das Problem? Eine Lizenz wird sich die Firma bestimmt leisten können. ;) Alternativ kannst Du ja ein VISTA auch ohne Key installieren und dann 30 Tage nutzen.

[NorbertFe 1.836]

Naja sagen wir mal so, das erhalten wäre nicht unmittelbar das größte Problem, sondern eher, das durch die Änderung der gesamten Hardware- und Softwarestruktur da mehr als nur eine Baustelle gerade aufgetan ist.

 

Inwiefern?

 

Bye

Norbert