lowrider614
Goto Top

Laufwerkzurodnung in GPOs mit Variable aus dem AD

Hallo,

ich arbeite an einer Uni und habe folgendes Problem:
Wir haben an unserem Institut (noch) eine eigene Domäne. Die Universität stellt eine zentrale Domäne bereit. Beide Domänen vertrauen sich nicht. Jeder User unserer Domäne hat auch einen Account in der Uni-Domäne.
Nun wollen wir demnächst in die Uni-Domäne umziehen. Die Daten unserer Instituts-User sollen auf den Homelaufwerken in der Uni Domäne landen (jeder User hat in der Uni-Domäne ihm zugewiesenen, persönlichen Speicherplatz). Dazu soll schnellstmöglich das Userlaufwerk aus der Uni-Domäne bei jedem User an unserem Institut eingebunden werden. Dann können die User Ihre Daten selbst migrieren. Soweit der Plan.
Die Usernamen unserer User sind in der Instituts-Domäne und in der Uni-Domäne nicht identisch. Daher habe ich mir überlegt, dass ich in einem freien Feld im Institus-AD (ich habe mir das "Postfach" Feld ausgesucht) den Nutzernamen der Uni-Domäne eintrage. Anschließend erstelle ich eine Laufwerkszuordnung, die die Variable angelegte Variable ausliest und darauf den Laufwerkspfad ableitet. Der Nutzer muss dann einmalig beim Anmelden seine Anmeldedaten eingeben.

Frage:
Kann das so klappen oder habt ihr eine bessere Idee?
Wie kann ich in den GPO Einstellungen die AD Variablen auslesen? %postOfficeBox% hat schon mal nicht funktioniert.

Vielen Dank und schöne Grüße

Tim

Content-Key: 289800

Url: https://administrator.de/contentid/289800

Ausgedruckt am: 28.03.2024 um 09:03 Uhr

Mitglied: colinardo
Lösung colinardo 01.12.2015, aktualisiert am 10.12.2015 um 10:15:48 Uhr
Goto Top
Hallo Tim,
ein beliebiges AD-Attribut eines Users kannst mit folgender Methode in der GPP-Laufwerkszuordnung verfügbar machen. Dazu gehst du folgendermaßen vor:
Erstelle eine neue GPO in der du im ersten Schritt eine neue Umgebungsvariable für den User ebenfalls via GPP erstellst.
In der GPO erstellst du unter Benutzerkonfiguration > Einstellungen > Windows Einstellungen > Umgebungsvariablen eine neue Umgebungsvariable mit folgenden Daten:
Name = MEINADWERTWert = %_MEINADWERT%
Dann gehst du im Dialog auf den Tab Gemeinsame Optionen und aktivierst das Kästchen Zielgruppenadressierung auf Elementebene und klickst auf den Button. Dort erstellst du ein neues LDAP-Abfrage-Element und gibst folgende Daten ein:
Filter = (&(objectCategory=user)(sAMAccountName=%username%))Bindung = LDAP:Attribut = postOfficeBoxUmgebungsvariablenname = _MEINADWERT
und speicherst die ganze GPO.

Jetzt erstellst du deine GPO mit der Laufwerkszuordnung in der du jetzt die neu erstellte Umgebungsvariable %MEINADWERT% nutzen kannst.

WICHTIG: Die GPO welche die Umgebungsvariable setzt muss natürlich in der Rangfolge vor der Laufwerkszuordnungs-GPO gesetzt sein!

Die entsprechenden Berechtigungen für das Domain fremde Share müssen die User natürlich in Ihrem Account (Tresor) hinterlegt haben sonst klappt das ganze ja nicht.

Grüße Uwe
Mitglied: Lowrider614
Lowrider614 01.12.2015 um 17:40:44 Uhr
Goto Top
Hallo Uwe,

vielen Dank für deine Antwort. Ich habe sie bereits in die Tat umgesetzt und werde über das Ergebnis berichten.

Schöne Grüße

Tim
Mitglied: Lowrider614
Lowrider614 04.12.2015 um 08:44:56 Uhr
Goto Top
Hallo Uwe,

der Stand ist wie folgt:
Ich habe eine GPO erstellt, die mir das AD ausliest und den gewünschten Wert in die Variable schreibt. Das klappt auch super. Wenn ich an meinem Testrechner eine cmd öffne und
set %MEINADWERT%
eintippen, kommt das raus was ich im AD eingetragen habe.

Über
net use Z:\ <Pfad>\%MEINADWERT%
kann ich auch manuell das Laufwerk verbinden. Ohne Abfrage der Credentials, da diese schon im Tresor liegen (ich hatte das Laufwerk schon mal verbunden und habe es wieder getrennt).

Das Problem ist nun, dass die Verbindung nicht automatisch zu Stande kommt. Egal in welcher Reihenfolge ich die GPOs abarbeiten lasse, wird das Laufwerk nicht verbunden.

Meine Frage ist nun:
Wie kann ich denn dieses Verhalten sinnvoll debuggen? Die Gruppenrichtlinienergebnisse auf dem Domain Controller geben nur die Abarbeitungsreihenfolge aus, welche sich als erster Fehler herausgestellt hat. Aber selbst mit der nun richtigen Reihenfolge mag es nicht klappen.

In der GPO zum Verbinden der Laufwerke ist Folgendes eingestellt:

Ersetzen
Z:
Pfad wie oben beschrieben

Gemeinsame Optionen:
Im Kontext des Benutzers ausführen
Zielgruppenadressierung (Testuser)

Hast du einen Tipp, wo ich weiter suchen könnte?

Schöne Grüße

Tim
Mitglied: colinardo
colinardo 04.12.2015 aktualisiert um 10:57:33 Uhr
Goto Top
So, also habe das ganze hier mal im Lab getestet, funktioniert einwandfrei, ohne irgendwelche Optionen auf dem Tab "Gemeinsame Optionen" des Drive-Mappings.

Ich vermute deine hinterlegten Credentials im Tresor sind nicht korrekt. Das sollte dann auch das System-Eventlog anmerken.
Ich mache das immer so:
  • Anmeldeinformationsverwaltung öffnen > Windows-Anmeldeinformationen > Windows Anmeldeinformation hinzufügen
  • Netzwerkadresse: <SRVNAME>
  • Benutzername: DOMAIN\User
  • Password: * * * *
  • Dauerhaftigkeit: Unternehmen

Ich habe dazu auch schon mal ein Powershell-Skript gepostet. Mit CMDKey.exe auf der Kommandozeile geht es natürlich auch.

Unbedingt darauf achten das der Servername exakt so lautet wie er in der GPO angegeben ist.

Wie gesagt, wurde hier einwandfrei getestet, du solltest also erst mal die Logs studieren was bei dir da falsch läuft.

Und noch eine wichtige Info: Der Client darf nicht schon mit anderen Credentials an diesem Server angemeldet sein, denn es gilt wie immer ein User kann sich unter Windows nur mit einem Satz Credentials an ein und dem selben Server anmelden (außer man verwendet alternative Namen wie IP-Adresse, dann ist auch das möglich).

Grüße Uwe
Mitglied: Lowrider614
Lowrider614 10.12.2015 um 09:27:16 Uhr
Goto Top
Hallo Uwe,

schon einmal vielen Dank für deine Hilfe, ich bin der Lösung des Problems schon ein gutes Stück näher gekommen.

Auf meinen Windows 7 Clients funktioniert das Prozedere. Top!

Nun zu Windows 10. Da erhalte ich folgende Fehlermeldung in der Ereignisanzeige, (Ereignis 4098):
Das Benutzer "Z:"-Einstellungselement im Gruppenrichtlinienobjekt "Netzlaufwerke {EC7C64B1-6089-4F6C-B5DE-ABCD4210E85C}" wurde aufgrund eines Fehlers nicht angewendet. Fehlercode: "0x80070056 Das angegebene Netzwerkkennwort ist falsch." Dieser Fehler wurde unterdrückt..

Nun habe das natürlich gelesen, die Anmeldeinformationsverwaltung für meinen Nutzer wieder verfügbar gemacht (war über GPOs unterdrückt) und die Anmeldedaten überprüft. Die stimmen. Ich kann nämlich über den net use Befehl (mit Eingabe der Variablen aus deiner ersten Antwort) das Netzlaufwerk ohne Eingabe von Credentials verbinden. Demnach muss das Problem irgendwo anders liegen.
Hast du eine Idee?

Schöne Grüße

Tim
Mitglied: colinardo
colinardo 10.12.2015 aktualisiert um 10:13:34 Uhr
Goto Top
Hmm, also hier läuft das ganze auf einem aktuellen Windows 10 Enterprise 1511 reibungslos, denke das da bei euch noch irgendeine Policy querschlägt, müsste ich aber erst mal nachsehen welche das sein könnte.
Solltest du bei euch auch erst mal mit einem cleanen W10 testen um andere Fehlerquellen wie Image oder GPOs auszuschließen.
Mitglied: Lowrider614
Lowrider614 10.12.2015 um 10:17:32 Uhr
Goto Top
Hallo Uwe,

danke für deine Antwort.
Ich werde dann erst einmal nichts unternehmen. Das betrifft nur einen Rechner und das ist mein eigener. Da binde ich das Laufwerk manuell ein.
Da wir ja demnächst die Domäne wechseln und danach wieder nur eine Domäne haben, sitze ich das Problem einfach aus face-smile

Schöne Grüße

Tim