Jump to content

GPO NetShare pro Gruppe verbinden, allerdings viele Gruppen


Gast
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hi,

 

die ausgangssituation:

recht viele user (> 100) die je einer team gruppe zugeordnet sind(jeder user ist in maximal einem team). jedes team hat ein eigenes teamlaufwerk auf das ausschließlich sie zugreifen dürfen. die user haben einen client und zugriff zu einem terminalserver.

Die Information zu welchem team ein user gehört findet sich nur in der gruppenzugehörigkeit, könnte aber theoretisch noch über das user-attribut department abgebildet werden wenn nötig.

 

anforderung:

1. das gruppenlaufwerk soll bei der anmeldung am terminalserver verbunden werden

2. am client soll kein gruppenlaufwerk verbunden werden

 

umsetzungsvorschlag:

zu 1: das teamlaufwerk hätte ich per gpo (verlinkt auf die ou wo alle user sind) und die regel "drive map" mit item-level-targeting "member of security group teamXY" verbunden

Zu 2: Hier hätte ich loopbackprocessing nach dem vorbild hier verwendet, da ja auf ein und den selben user je nachdem wo er sich anmeldet zwei verschiedene regeln greifen sollen.

 

fragen:

ist das best-practice oder habt ihr andere vorschläge?

bekomme ich probleme wenn es in der gpo (zu punkt 1) sehr viele teamgruppen auf mitgliedschaft geprüft werden müssen? teilweise gibt es leider teams mit nur einem user und es wird in der zukunft noch stark wachsen. irgendwann wahrscheinlich > 200 team ads gruppen und damit auch shares. ich denke hier an lange anmeldezeiten bzw. zeiten zur verarbeitung der gpos.

 

wie würdet ihr das umsetzten?

Link zu diesem Kommentar

ABE?
auf dem fileserver siehts ca so aus:

 

d:\

---TeamLWs

------Team001 (freigegeben als Share \\server\team001)

----------file1.doc

----------file2.doc

------Team002 (freigegeben als Share \\server\team002)

----------file1.doc

----------file2.doc

------Team003 (freigegeben als Share \\server\team003)

----------file1.doc

----------file2.doc

 

usw.

ist noch nicht final kann also geändert werden.

 

edit: ABE das hier?

funktioniert das auch mit failover cluster? gibts da irgendwelche nachteile? sonst siehts auf den ersten blick ganz gut aus (nur schnell überflogen)

bearbeitet von Gast
Link zu diesem Kommentar

Moin,

 

wie immer die Frage: Was willst Du erreichen?

 

Da die Benutzer per ACL und Freigabeberechtigung Zugriff auf das Laufwerk haben müssen bringt das Verbinden oder Nicht-Verbinden mMn gar nichts - der Benutzer kann den UNC Pfad immer noch direkt im Explorer eingeben und die Ressource verwenden.

 

Willst Du 'Sicherheit'? Dann müssten Clients, FileShare und RDS durch eine entsprechend konfigurierte Firewall getrennt sein.

Soll es nur 'Kosmetik' sein, könntest Du Dir mal Group Policy Preferences (GPP) mit Zielgruppenadressierung anschauen.

Link zu diesem Kommentar

Danke schon mal an NorbertFe. Sieht sehr vielversprechend aus.

 

@Dunkelmann:

Was ich erreichen will steht im Prinzip oben unter Anforderungen und im Text.

Klar müssen die Ordner/Shares auch "sicher" sein (sehr weit definierbarer Begriff). Hierfür benötige ich mMn keine Firewall sondern kann das über die Berechtigungen der Shares und/oder Ordner machen. Die Teams dürfen theoretisch sehen, dass es andere Team-LW gibt. Theoretisch heisst eben "Pfad im Explorer eingeben und es wird gelistet". Zugreifen und in die Ordner einsehen, dürfen sie hingegen nicht.

 

Das Problem was ich mit ABE habe, ohne mich eingehender damit beschäftigt zu haben, ist, dass der User ein LW verbunden bekommt z.B. L:\ auf dem er eigentlich keine schreibberechtigungen hat. Erst wenn er in den Unterordner z.B. L:\Team015 wechselt hat er seine Daten, anstatt direkt unter L:\. Ist jetzt eher ein kosmetischer "Fehler" aber muss ich mir durch den Kopf gehen lassen. Im Prinzip eine Usability Frage und nichts technisches. 

ABE würde mir allerdings meine Angst vor einer langen Anmeldung bzw. ewigen GPO-Prüferei nehmen.

 

Trotzdem nochmal kurz die Frage von oben: Gibt es bei einem Umsetzungsvorschlag wie zu 1. ein (zeitliches) Problem mit den GPOs oder ist es dem AD vollkommen egal und des macht alles wie von Zauberhand ganz fix?

Link zu diesem Kommentar

Mit GPP im Benutzerkontext + Zielgruppenadressierung auf Gruppenmitgliedschaft und Terminalsitzung,Computername oder IP Bereich sollte es eigentlich flott laufen.

 

Bei ein paar hundert Gruppen ist es natürlich Fleißarbeit.

Da die Definition des Laufwerksmappings nur eine xml ist, kann man das auch semi-automatisch per Copy, Edit & Paste lösen. Vielleciht zaubert auch jemand ein fertiges Skript aus dem Hut.

Link zu diesem Kommentar

Trotzdem nochmal kurz die Frage von oben: Gibt es bei einem Umsetzungsvorschlag wie zu 1. ein (zeitliches) Problem mit den GPOs oder ist es dem AD vollkommen egal und des macht alles wie von Zauberhand ganz fix?

 

Hallo,

 

Du kannst es so machen, wie Du es in #3 dargestellt, für jedes Team ist sein Ordner freigegegeben und daruf wird die Netzlaufwerkverbindung vom Benutzer am Client aus hergestellt. Natürlich müssen die Benutzer direkt oder inderekt über Sichereheitsgruppen(Teamxxx) Berechtigung auf Freigabe und Teamordner. haben. Für diesen Fall ist ABE aber sinnlos.

 

Ein zeitliches Problem gibt es nicht, falls alles rrichtig konfiguriert und funktioniert, die Namanauflösung per DNS in der Domäne und auch das GPO ".... immer auf das Netzwerk warten", der Client wartet vor der Anmeldung, bis die Netzwerkverbindung zum Server hergestellt.

 

Edit Diese Lösung ist aber weder elegent noch best pract.

bearbeitet von lefg
Link zu diesem Kommentar

Was würdet ihr aus eurer Erfahrung raus empfehlen?

Ich bin ein überzeugter Nutzer von GPP.

Die Zielgruppenadressierung erlaubt eine sehr granulare Steuerung ohne wie anno 1995 Skripte basteln zu müssen.

 

ABE sehe ich eher als ergänzende Technik. Falls der User doch mal durch die Shares surft, wird er nicht durch die Anzahl von Freigaben 'verwirrt' bzw. es werden keine Begehrlichkeiten geweckt.

bearbeitet von Dunkelmann
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...