Jump to content

Netzlaufwerke über GPOs


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Hallo Leute,

 

seit einigen Wochen versuche ich nun Netzlaufwerke über Gruppenrichtlinien zuzuordnen. Dies klappt nur sporadisch. 

 

Systemkonfiguration:

 

AD:

 

Hier sind die User in Globalen Gruppen und die NTFS Berechtigungen sind auf die lokalen Gruppen gelegt mit Lesen ® oder Lesen und Schreiben (RW)

 

die Globalen Gruppen sind Mitglied der lokalen Gruppen.

 

Die Berechtigungen sind getestet und funktionieren für den Fileserver.

 

Gruppenrichtlinien:

 

Benutzerkonfiguration/Einstellungen/Windows-Einstellungen-Laufwerkzuordnungen.

 

Hier habe ich jetzt mehrere Netzlaufwerke erstellt. Dies funktioniert auch. Aber wenn ich es auf Zielgruppenadressierung auf Elementebene (Sicherheitsgruppe) also meine Globale Gruppen in denen die User sind versuche, kommt nur kaudawelsch raus. Manche Laufwerke sind da andere nicht. Ich habe alles versucht. Auch nach Anleitungen gearbeitet. Ich habe auch gelesen das es unter Windows Server ein Bug geben könnte.

 

Hat jemand damit Erfahrung? Es wäre ja eine sehr Elegante Lösung die Netzlaufwerke mit einer Gruppenrichtlinie auf Elemementebene abzufrühstücken. :-)

 

 

Link to comment

Benutzerkonfiguration/Einstellungen/Windows-Einstellungen-Laufwerkzuordnungen.

 

Hier habe ich jetzt mehrere Netzlaufwerke erstellt. Dies funktioniert auch. Aber wenn ich es auf Zielgruppenadressierung auf Elementebene (Sicherheitsgruppe) also meine Globale Gruppen in denen die User sind versuche, kommt nur kaudawelsch raus. Manche Laufwerke sind da andere nicht. Ich habe alles versucht. Auch nach Anleitungen gearbeitet. Ich habe auch gelesen das es unter Windows Server ein Bug geben könnte.

Es kann viele Bugs geben, hast Du auch etwas mehr Details dazu oder ist das nur aus dem Kaffeesatz gelesen? 

 

Hat jemand damit Erfahrung? Es wäre ja eine sehr Elegante Lösung die Netzlaufwerke mit einer Gruppenrichtlinie auf Elemementebene abzufrühstücken. :-)

Läuft bei uns und Millionen anderer Admins auf der Welt seit Jahren problemlos.

 

Hast Du denn auch die Einstellung 'Immer auf das Netzwerk warten' gesetzt? Alternativ einfach mal zwei Minuten vor dem Login warten. Welche Buchstaben hast Du vergeben? Kann dir ein Kartenleser oder ähnliches in Sachen Buchstaben in die Quere kommen? Zusätzlich diesen Artikel lesen und prüfen ob das bei dir korrekt gesetzt ist: http://www.gruppenrichtlinien.de/artikel/sicherheitsfilterung-neu-erfunden-ms16-072-patchday-14062016/

 

Und zum Schluß einfach mal bei NULL anfangen. TestOU, Testclient und Testbenutzer in Testgruppe. Einen LW-Buchstaben probieren, und immer so langsam weiter. Einen Schritt nach dem anderen machen, alles andere ist nicht hilfreich.

Link to comment

 

versuche ich nun Netzlaufwerke über Gruppenrichtlinien zuzuordnen. Dies klappt nur sporadisch.

 

Moin,

 

ist das näher erläuterbar?

 

Ich nehme mal an, es der benutzer wird nicht automatisch angemeldet? Falls dieser mit dem Anmelden etwas wartet, probieren mal eine Minute warten oder auch zwei, erfolgt dann ein verbinden?

 

Ist die Gruppenrichtlinie konfiguriert "Bei Neustart des Computers und bei Anmeldung immer auf das Netzwerk warten."? Falls dieses GPO konfiguriert, wirkt es auch auf dem Client?

 

Für das Funktionieren von Gruppenrichtlinien ist das Funktionieren der Namensauflösung per DNS in der Domäne zwingend notwendig. Nicht nur der Dienst muss funktionieren, am Client muss der erste DNS-Eintrag auf den DNS am DC zeigen.

Edited by lefg
Link to comment

@testperson

 

Wenn du gpresult meinst beim Client. Da wird die Richtlinie normal angewendet. Es erscheinen auch 2 Netzlaufwerke beim Client. Aber eben nicht die manchmal 3-5 Netzlaufwerke die in der GPO stehen.

 

@Sunny61

 

Auf Netzlaufwerke warten hab ich nicht gesetzt. Die Buchstaben sind Beginnend mit..... eingestellt. Da dürfte es auch keine Konflikte geben.

 

Details:

 

Aktion: Aktualisieren

Speicherort: Freigegebene Datei RW Rechte (UNC Pfad). Haken bei Verbindung widerherstellen. Ersten verfügbaren Laufwerkbuchstaben verwenden. Laufwerk aus-/einblenden Keine Änderung. Alle Laufwerke aus-/einblenden Keine Änderung.

 

Der Witz ist ja, einige Netzlaufwerke werden ja verbunden. Hab auch manchmal das Gefühl das man maximal 2 Netzlaufwerke über GPO einstellen kann. Das komische dabei ist ja, dass alle Netzlaufwerke auf dem Selben Fileserver sind. Wenn eins funktioniet sollten auch die anderen gehen wenn DNS funktioniert.

 

 

@levg

 

Das warten denke ich mal ist auch nicht das Problem. Denn wenn ich Gpupdate /force eingebe, dann wird die Richtlinie ja komplett neu eingelesen. Aber es passiert nur das gleiche. Sprich es fehlen Netzlaufwerke.

 

Ich habe auch in der Hosts einen Eintrag zum DC/DNS gemacht.

Edited by TheBiker006
Link to comment

 

@levg

 

Das warten denke ich mal ist auch nicht das Problem. Denn wenn ich Gpupdate /force eingebe, dann wird die Richtlinie ja komplett neu eingelesen. Aber es passiert nur das gleiche. Sprich es fehlen Netzlaufwerke.

 

Es geht beim warten darum, das Netzlaufwerk kann erst erfolgreich hergestellt werden, wenn der Client selbst eine Verbindung zum Server, zur Freigabe hat. Es ist ein Klassiker. Bei schnellen Rechnern kommt das Anmeldeformular schon vor dem Verbinden des Netzwerkes. Bei Rechnern mit SSD ist die Lücke noch grösser.

 

Habe ich, haben wir schon nach relevanten Einträgen im Ereignisprotokoll gefragt? Hast Du da schon reingeschaut? Steht darin etwas Interessantes, etwas Wichtiges? Sicher kennst Du das Ereignisprotokoll, wesst wo Du das findest? Wo Du darin schauen musst? Da gibt es Windows-Protokolle mit System und Anwendung. Weiter gibt es Anwendungs- und Dienstprotokolle, doert Microsoft, Windows, Diagnostic Performance, Betriebsbereit, darin könnten auch interessante Einträge sein.

Edited by lefg
Link to comment

@Sunny61

 

Auf Netzlaufwerke warten hab ich nicht gesetzt. Die Buchstaben sind Beginnend mit..... eingestellt. Da dürfte es auch keine Konflikte geben.

Setz die Einstellung auf Computerebene. Wir fragen nicht aus Jux und Tollerei. Vergib feste Buchstaben und lassen den anderen Quatsch weg.

 

Aktion: Aktualisieren

Speicherort: Freigegebene Datei RW Rechte (UNC Pfad). Haken bei Verbindung widerherstellen. Ersten verfügbaren Laufwerkbuchstaben verwenden. Laufwerk aus-/einblenden Keine Änderung. Alle Laufwerke aus-/einblenden Keine Änderung.

Weißt Du denn was 'Haken bei Verbindung wiederherstellen' bedeutet? Lies dich dazu doch erstmal ein, bevor du solche Einstellungen setzt.

 

Der Witz ist ja, einige Netzlaufwerke werden ja verbunden. Hab auch manchmal das Gefühl das man maximal 2 Netzlaufwerke über GPO einstellen kann. Das komische dabei ist ja, dass alle Netzlaufwerke auf dem Selben Fileserver sind. Wenn eins funktioniet sollten auch die anderen gehen wenn DNS funktioniert.

Mach es einfach nochmal, diesmal richtig. Zuerst ein LW verbinden, dann das zweite hinzufügen. Benutze den Buchstaben Z:, Verbindung wiederherstellen NICHT aktivieren. Beschriften als etwas eintragen. Zielgruppenadressierung konfigurieren. Testrechner neu starten und Benutzer anmelden lassen.

 

 

Das warten denke ich mal ist auch nicht das Problem. Denn wenn ich Gpupdate /force eingebe, dann wird die Richtlinie ja komplett neu eingelesen. Aber es passiert nur das gleiche. Sprich es fehlen Netzlaufwerke.

Weißt Du denn was /force macht? Und ja, das warten ist sehr häufig ein Problem.

 

Ich habe auch in der Hosts einen Eintrag zum DC/DNS gemacht.

Warum das denn? Wenn DNS funktioniert ist das flüssiger als Wasser.

Link to comment

@Sunny61

 

Ich danke dir für deine Hilfe. Ich werde es gleich heute Mittag einmal ganz neu versuchen. Kann doch nicht so schwer sein. :-))


@testperson

 

Das Ereignisprotokoll hat keine Einträge bzgl. Netzlaufwerken oder Performance.

 

 

@levg

 

Das Warten auf das Netzwerk ist gesetzt

 

@Sunny61

 

Die Laufwerke hab ich neu angelegt mit einem festen Laufwerksbuchstaben mit Z beginnend.

 

Aktion: aktualisieren

Speicherort \\UNC Pfad mit der Freigabe

Verbindung wiederherstellen: Haken entfernt

Laufwerksbuchstabe:Z

 

Gemeinsame optionen

 

Zielgruppenadressierung auf Elementebene

 

Da hängt es wohl noch. Ich sollte ja den Radiobutton wählen Computer in der Gruppe. Dann oben auf Element Sicherheitsgruppe (Aber die Sicherheitsgruppe besteht aus Usern meiner Globalen Gruppe)

 

Wenn ich oben bei Element "Computer" auswähle dann kann ich nur explizit ein Computerobjekt angeben.

 

Die GPO wirkt auf Benutzer erst einmal. In der GPO mache ich eine Zielgruppe auf Computer. Gruselig. 

 

Nach einem Rechnerneustart wurde jetzt kein Netzlaufwerk mehr verbunden mit der Einstellung.

 

Jetzt ist die Verwirrung komplett.

 

Ich versuche die Zielgruppenaddressierung jetzt mal nochmal auf "Benutzer in der Gruppe" das Element ist Sicherheitsgruppe und  die Gruppe ist meine Globale Sicherheitsgruppe mit den Usern darin. 

 

So ist es in vielen Anleitungen beschrieben. Verbessert mich wenn dies falsch ist.

Link to comment

Spätestens jetzt solltest Du im Eventlog etwas finden. Schau dir unbedingt diesen Artikel an: http://www.gruppenrichtlinien.de/artikel/sicherheitsfilterung-neu-erfunden-ms16-072-patchday-14062016/ Prüf nach ob im GPO im Reiter Delegierung auch die Authentifzierten Benutzer eingetragen sind.

 

Wenn das Benutzer-GPO nur auf bestimmten Computern gelten soll, dann würde ich persönlich die Computergruppe als Sicherheitsfilter eintragen. Aber unbedingt im Reiter Delegierung die Authentifizierten Benutzer eintragen!

 

Gibt es einen bestimmten Grund für dieses Vorgehen oder ist das nur just for Fun? Laufwerke sind normalerweise Benutzerbezogen, sehr sehr selten Computerbezogen.

Link to comment

So erst mal an alle die mir so gut geholfen haben ein dickes Dankeschön.

 

 

Es funktioniert jetzt. Die Lösung bestand wohl aus vielen kleinen Dingen. Windows ist da wohl so etwas eigen.

 

1. Laufwerksbuchstabe fest zugeordnet

2. Bei mehreren Sicherheitsgruppen habe ich oben eine "oder ist Mitglied von" auswählen müssen. Standardmäßig ist da ein "Und ist mitglied"drin.

3. Dann die sache mit der verzögerten Netzwerksuche

4. Was aber zum Schluss ausschlaggebend war, ist der Punkt "aktualisieren" habe ich auf "ersetzen" gestellt. Jetzt geht es mit der Zielgruppenadressierung auf Sicherheitsgruppen "Benutzer"

 

 

 

 

@Sunny61 

 

Die authentifizierten Benutzer waren und sind noch drin. Das stand auch im Internet. Sonst wird die GPO nicht angewendet. Das hätte ich aber auch gesehen bei gpresult -r wenn die Gruppenrichtlinie beim Client nicht angewendet wurde.

Der Grund weshalb ich die GPO Netzlaufwerkzuordnung gewählt habe, ist eine leichtere Administrierung meines ADs. Früher wurde dies über Startscripte, Usereinträge mit Netzlaufwerken gelöst. Die Sache auf Computerebene zu machen war nicht meine Idee. Ich wollte nur eine einzige GPO im Stamm meiner Richtlinien die ich dann auf User gruppen anwenden kann.

 

So muss ich nur die Gruppenzugehörigkeit eines Mitarbeiters ändern, sodass er automatisch ein Netzlaufwerk bekommt.

Edited by TheBiker006
Link to comment

4. Was aber zum Schluss ausschlaggebend war, ist der Punkt "aktualisieren" habe ich auf "ersetzen" gestellt. Jetzt geht es mit der Zielgruppenadressierung auf Sicherheitsgruppen "Benutzer"

Das kann so auf Dauer nicht gut gehen, bei uns und Millionen anderer funktioniert Aktualisieren. Aber Du wirst sicher bald feststellen, dass Ersetzen Mist ist.

Link to comment

Ja, Ersetzen ist Mist. Du mußt in dem Fall tatsächlich zwei Zuordnungen machen.

 

Eine mit Aktion "Aktualisieren" und mit der Filterung, die Du haben möchtest.

Die kopierst Du jetzt, erstellst in der Filterung eine Sammlung und wirfst da alles rein, was an Filterung da ist. Die Sammlung invertierst Du dann ("Ist nicht"), und die Aktion stellst Du auf "Löschen" um.

 

Ich sag ja, Skripts sind für NW-Mappings die bessere Lösung smile.gif

Link to comment
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...