Jump to content
Melde dich an, um diesen Inhalt zu abonnieren  
schumischumi

GPO NetShare pro Gruppe verbinden, allerdings viele Gruppen

Empfohlene Beiträge

Hi,

 

die ausgangssituation:

recht viele user (> 100) die je einer team gruppe zugeordnet sind(jeder user ist in maximal einem team). jedes team hat ein eigenes teamlaufwerk auf das ausschließlich sie zugreifen dürfen. die user haben einen client und zugriff zu einem terminalserver.

Die Information zu welchem team ein user gehört findet sich nur in der gruppenzugehörigkeit, könnte aber theoretisch noch über das user-attribut department abgebildet werden wenn nötig.

 

anforderung:

1. das gruppenlaufwerk soll bei der anmeldung am terminalserver verbunden werden

2. am client soll kein gruppenlaufwerk verbunden werden

 

umsetzungsvorschlag:

zu 1: das teamlaufwerk hätte ich per gpo (verlinkt auf die ou wo alle user sind) und die regel "drive map" mit item-level-targeting "member of security group teamXY" verbunden

Zu 2: Hier hätte ich loopbackprocessing nach dem vorbild hier verwendet, da ja auf ein und den selben user je nachdem wo er sich anmeldet zwei verschiedene regeln greifen sollen.

 

fragen:

ist das best-practice oder habt ihr andere vorschläge?

bekomme ich probleme wenn es in der gpo (zu punkt 1) sehr viele teamgruppen auf mitgliedschaft geprüft werden müssen? teilweise gibt es leider teams mit nur einem user und es wird in der zukunft noch stark wachsen. irgendwann wahrscheinlich > 200 team ads gruppen und damit auch shares. ich denke hier an lange anmeldezeiten bzw. zeiten zur verarbeitung der gpos.

 

wie würdet ihr das umsetzten?

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

ABE?
auf dem fileserver siehts ca so aus:

 

d:\

---TeamLWs

------Team001 (freigegeben als Share \\server\team001)

----------file1.doc

----------file2.doc

------Team002 (freigegeben als Share \\server\team002)

----------file1.doc

----------file2.doc

------Team003 (freigegeben als Share \\server\team003)

----------file1.doc

----------file2.doc

 

usw.

ist noch nicht final kann also geändert werden.

 

edit: ABE das hier?

funktioniert das auch mit failover cluster? gibts da irgendwelche nachteile? sonst siehts auf den ersten blick ganz gut aus (nur schnell überflogen)

bearbeitet von schumischumi

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Ja das funktioniert und du brauchst nur \\server\teamLWs freigeben und jeder sieht nur seinen Teamordner. Alles andere ist viel Aufwand für wenig sinnvollen Nutzen (in meinen Augen).

 

Bye

Norbert

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Moin,

 

wie immer die Frage: Was willst Du erreichen?

 

Da die Benutzer per ACL und Freigabeberechtigung Zugriff auf das Laufwerk haben müssen bringt das Verbinden oder Nicht-Verbinden mMn gar nichts - der Benutzer kann den UNC Pfad immer noch direkt im Explorer eingeben und die Ressource verwenden.

 

Willst Du 'Sicherheit'? Dann müssten Clients, FileShare und RDS durch eine entsprechend konfigurierte Firewall getrennt sein.

Soll es nur 'Kosmetik' sein, könntest Du Dir mal Group Policy Preferences (GPP) mit Zielgruppenadressierung anschauen.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

@schumischumi:

 

Bitte benutze doch auch Großbuchstaben. Sie machen deine Beiträge für uns besser lesbar und je besser wir deine Beiträge lesen können umso besser können wir dir helfen. :)

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Danke schon mal an NorbertFe. Sieht sehr vielversprechend aus.

 

@Dunkelmann:

Was ich erreichen will steht im Prinzip oben unter Anforderungen und im Text.

Klar müssen die Ordner/Shares auch "sicher" sein (sehr weit definierbarer Begriff). Hierfür benötige ich mMn keine Firewall sondern kann das über die Berechtigungen der Shares und/oder Ordner machen. Die Teams dürfen theoretisch sehen, dass es andere Team-LW gibt. Theoretisch heisst eben "Pfad im Explorer eingeben und es wird gelistet". Zugreifen und in die Ordner einsehen, dürfen sie hingegen nicht.

 

Das Problem was ich mit ABE habe, ohne mich eingehender damit beschäftigt zu haben, ist, dass der User ein LW verbunden bekommt z.B. L:\ auf dem er eigentlich keine schreibberechtigungen hat. Erst wenn er in den Unterordner z.B. L:\Team015 wechselt hat er seine Daten, anstatt direkt unter L:\. Ist jetzt eher ein kosmetischer "Fehler" aber muss ich mir durch den Kopf gehen lassen. Im Prinzip eine Usability Frage und nichts technisches. 

ABE würde mir allerdings meine Angst vor einer langen Anmeldung bzw. ewigen GPO-Prüferei nehmen.

 

Trotzdem nochmal kurz die Frage von oben: Gibt es bei einem Umsetzungsvorschlag wie zu 1. ein (zeitliches) Problem mit den GPOs oder ist es dem AD vollkommen egal und des macht alles wie von Zauberhand ganz fix?

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Du musst doch bei abe nur auf den teAm Ordner leserechte für alle Teams vergeben. Und zwar nur für diesen Ordner.

bearbeitet von NorbertFe

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Mit GPP im Benutzerkontext + Zielgruppenadressierung auf Gruppenmitgliedschaft und Terminalsitzung,Computername oder IP Bereich sollte es eigentlich flott laufen.

 

Bei ein paar hundert Gruppen ist es natürlich Fleißarbeit.

Da die Definition des Laufwerksmappings nur eine xml ist, kann man das auch semi-automatisch per Copy, Edit & Paste lösen. Vielleciht zaubert auch jemand ein fertiges Skript aus dem Hut.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Trotzdem nochmal kurz die Frage von oben: Gibt es bei einem Umsetzungsvorschlag wie zu 1. ein (zeitliches) Problem mit den GPOs oder ist es dem AD vollkommen egal und des macht alles wie von Zauberhand ganz fix?

 

Hallo,

 

Du kannst es so machen, wie Du es in #3 dargestellt, für jedes Team ist sein Ordner freigegegeben und daruf wird die Netzlaufwerkverbindung vom Benutzer am Client aus hergestellt. Natürlich müssen die Benutzer direkt oder inderekt über Sichereheitsgruppen(Teamxxx) Berechtigung auf Freigabe und Teamordner. haben. Für diesen Fall ist ABE aber sinnlos.

 

Ein zeitliches Problem gibt es nicht, falls alles rrichtig konfiguriert und funktioniert, die Namanauflösung per DNS in der Domäne und auch das GPO ".... immer auf das Netzwerk warten", der Client wartet vor der Anmeldung, bis die Netzwerkverbindung zum Server hergestellt.

 

Edit Diese Lösung ist aber weder elegent noch best pract.

bearbeitet von lefg

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Ich würde mir diese Arbeit sparen. Wenns berechtigungstechnisch korrekt gemacht ist, spart es jede menge Zeit und hat als einzigen Nachteil, dass die User in dem Laufwerk erst in den unterordner klicken müssen, als Vorteil aber dass ein User mehreren Teams angehören kann. Die Zuordnung User zu Gruppe muss man sowieso machen.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Was würdet ihr aus eurer Erfahrung raus empfehlen?

Ich bin ein überzeugter Nutzer von GPP.

Die Zielgruppenadressierung erlaubt eine sehr granulare Steuerung ohne wie anno 1995 Skripte basteln zu müssen.

 

ABE sehe ich eher als ergänzende Technik. Falls der User doch mal durch die Shares surft, wird er nicht durch die Anzahl von Freigaben 'verwirrt' bzw. es werden keine Begehrlichkeiten geweckt.

bearbeitet von Dunkelmann

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden
Melde dich an, um diesen Inhalt zu abonnieren  

×