12
Drive Mappings per GPO Aufbau der Struktur
Hallo,
ich habe Anfang 2009 die Administration eines W2k3-Servers übernommen der als DC fungierte.
Die Hardware hat ein bisschen geschwächelt, ich tippte auf den HBA. Also habe ich einen VMWare-Cluster aufgebaut und habe den Server virtualisiert.
Aber wie gesagt alles beim alten gelassen, paar GPOs hinzugefügt usw.
Nun möchte ich auf W2K8R2 umsteigen, habe ihn auch schon installiert und zum DC promotet, alles kein Problem läuft ohne Fehler.
Da ich den alten W2K3 abschalten will und die ganzen Login-Skripte nicht mitziehen will, möchte ich das alle Laufwerke und Drucker, die bisher per Login-Skript verbunden wurden, per
GPO -CSE an die Clients verteilt werden.
Eigentlich kein Problem, gibt es genug Anleitungen. Ich habe die Updates für WinXP & Vista vom WSUS verteilen lassen.
Was mich jetzt interessiert ist, wie ich das ganz logisch aufbaue. Bis her gab es in der login.bat Abschnitte alà MAPGHKNSTW, heißt:
net use G:\ ...\\server\share_g
net use H:\ ...\\server\share_h
...
net use W:\ ...\\server\share_w
Gab es einen Mitarbeiter, der noch zusätzlich Z: brauchte gab es dann ein MAPGHKNSTWZ usw. historisch mit Halbwissen gewachsen.
Angesprochen wurden die Teile so Wenn user= TESTMANN dann GOTO MAPGHKNSTWZ ...
Klar, quick and dirty.
Die Drucker wurden anhand der Rechner nahmen verbunden.
Schlussstrich, das möchte ich mit GPOs und CSEs umsetzen.
Da ich keine 100%tig festen Gruppen bilden kann die die Laufwerke bestimmte Laufwerke brauchen, es kann immer mal passieren der Nutzer ist bei der Geschäftsleitung
drin braucht aber zusätzlich noch XYZ weil er was überwachen muss.
Also ende ich wieder in den oben beschriebenen Wirrwar bloß mit OUs.
Meine Idee ich mache pro Netzlaufwerk ein OU, in dieser OU erstelle ich eine lokale Gruppe. Zu dieser Gruppe füge ich alle User hinzu, die das Laufwerk gemappt bekommen sollen.
Ist das zu umständlich, würdet ihr das anders lösen?
Das gleiche Beispielsweise mit den Druckern.
Das ist zwar nicht schön, aber läßt sich glänzend administrieren, soll der User ein Share dazu bekommen, wird er Mitglied der Gruppe, umgedreht soll er es nicht mehr sehen, fliegt er aus der Gruppe.
Wie gesagt das betrifft nur das Mapping, die Berechtigungen sind noch einmal extra geregelt.
Das hat auch den Vorteil, ich muss nicht alle Laufwerke mappen, und dann hat der Nutzer kann nur nicht drauf zugreifen, da ist die Lösung nur immer die zu mappen, die er nutzen darf eleganter: WYSIWYG oder?
Wie gesagt ich habe den Stein der Weisen auch nicht gefressen, wenn ihr ein besseres Konzept habt, lasse ich mich gern belehren.
Danke!
Gruß Alex
ich habe Anfang 2009 die Administration eines W2k3-Servers übernommen der als DC fungierte.
Die Hardware hat ein bisschen geschwächelt, ich tippte auf den HBA. Also habe ich einen VMWare-Cluster aufgebaut und habe den Server virtualisiert.
Aber wie gesagt alles beim alten gelassen, paar GPOs hinzugefügt usw.
Nun möchte ich auf W2K8R2 umsteigen, habe ihn auch schon installiert und zum DC promotet, alles kein Problem läuft ohne Fehler.
Da ich den alten W2K3 abschalten will und die ganzen Login-Skripte nicht mitziehen will, möchte ich das alle Laufwerke und Drucker, die bisher per Login-Skript verbunden wurden, per
GPO -CSE an die Clients verteilt werden.
Eigentlich kein Problem, gibt es genug Anleitungen. Ich habe die Updates für WinXP & Vista vom WSUS verteilen lassen.
Was mich jetzt interessiert ist, wie ich das ganz logisch aufbaue. Bis her gab es in der login.bat Abschnitte alà MAPGHKNSTW, heißt:
net use G:\ ...\\server\share_g
net use H:\ ...\\server\share_h
...
net use W:\ ...\\server\share_w
Gab es einen Mitarbeiter, der noch zusätzlich Z: brauchte gab es dann ein MAPGHKNSTWZ usw. historisch mit Halbwissen gewachsen.
Angesprochen wurden die Teile so Wenn user= TESTMANN dann GOTO MAPGHKNSTWZ ...
Klar, quick and dirty.
Die Drucker wurden anhand der Rechner nahmen verbunden.
Schlussstrich, das möchte ich mit GPOs und CSEs umsetzen.
Da ich keine 100%tig festen Gruppen bilden kann die die Laufwerke bestimmte Laufwerke brauchen, es kann immer mal passieren der Nutzer ist bei der Geschäftsleitung
drin braucht aber zusätzlich noch XYZ weil er was überwachen muss.
Also ende ich wieder in den oben beschriebenen Wirrwar bloß mit OUs.
Meine Idee ich mache pro Netzlaufwerk ein OU, in dieser OU erstelle ich eine lokale Gruppe. Zu dieser Gruppe füge ich alle User hinzu, die das Laufwerk gemappt bekommen sollen.
Ist das zu umständlich, würdet ihr das anders lösen?
Das gleiche Beispielsweise mit den Druckern.
Das ist zwar nicht schön, aber läßt sich glänzend administrieren, soll der User ein Share dazu bekommen, wird er Mitglied der Gruppe, umgedreht soll er es nicht mehr sehen, fliegt er aus der Gruppe.
Wie gesagt das betrifft nur das Mapping, die Berechtigungen sind noch einmal extra geregelt.
Das hat auch den Vorteil, ich muss nicht alle Laufwerke mappen, und dann hat der Nutzer kann nur nicht drauf zugreifen, da ist die Lösung nur immer die zu mappen, die er nutzen darf eleganter: WYSIWYG oder?
Wie gesagt ich habe den Stein der Weisen auch nicht gefressen, wenn ihr ein besseres Konzept habt, lasse ich mich gern belehren.
Danke!
Gruß Alex
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 184212
Url: https://administrator.de/contentid/184212
Ausgedruckt am: 22.11.2024 um 14:11 Uhr
12 Kommentare
Neuester Kommentar
Hallo,
genau so wie du es vor hast, mache ich es auch! Wenn es einen besseren Weg gibt, würde mich dieser allerdings auch interessieren :D
Gruss
genau so wie du es vor hast, mache ich es auch! Wenn es einen besseren Weg gibt, würde mich dieser allerdings auch interessieren :D
Gruss
Hi Dan0ne,
ist schon mal ein sicherer Hinweis, dass ich mir nichts komplett idiotisches zusammen gesponnen habe
Ich kann ja auch der OU Benutzer hinzufügen aber ein Benutzer kann nicht in mehreren OUs sein, also der Weg über die lokalen Gruppen.
Gruss Alex
ist schon mal ein sicherer Hinweis, dass ich mir nichts komplett idiotisches zusammen gesponnen habe
Ich kann ja auch der OU Benutzer hinzufügen aber ein Benutzer kann nicht in mehreren OUs sein, also der Weg über die lokalen Gruppen.
Gruss Alex
Moin.
Da gibt's nicht viel zu überlegen. Pro zu verbindender Freigabe eine Gruppe und in den Eigenschaften der Laufwerksverbindung gibt Du an, dass es nur diese Gruppe verbinden soll. OUs spielen hier keine Rolle und brauchen nicht angefasst zu werden. Zwei Screenshots zur Erläuterung:
http://icc.ifas.ufl.edu/iccminutes/ItemLevelTargeting.jpg und http://social.technet.microsoft.com/Forums/getfile/82414 (letzteres natürlich bei Dir etwas anders).
Da gibt's nicht viel zu überlegen. Pro zu verbindender Freigabe eine Gruppe und in den Eigenschaften der Laufwerksverbindung gibt Du an, dass es nur diese Gruppe verbinden soll. OUs spielen hier keine Rolle und brauchen nicht angefasst zu werden. Zwei Screenshots zur Erläuterung:
http://icc.ifas.ufl.edu/iccminutes/ItemLevelTargeting.jpg und http://social.technet.microsoft.com/Forums/getfile/82414 (letzteres natürlich bei Dir etwas anders).
Hallo DerWoWusste,
sorry, es kann an der Sonne liegen, aber mir fehlt noch eine logische Verbindung. Ich verstehe deinen Ansatz nicht
Mir will nicht in den Kopf warum keine OU, soll ich die GPOs auf Domainebende anwenden?
Meinst du es so, eine GPO - in dieser Mappe ich mehrere Laufwerke, soweit klar ... wie filtere ich dann nach den Gruppen der Freigaben?
Mir fehlt ein Schritt damit der Gedanke rund wird
Sorry, dass ich so begriffsstutzig bin, ich glaube ich muss es mir noch einmal auf dem Server an gucken.
Aber ein paar Hinweise würden mir schon helfen.
Vielen Dank
Gruß Alex
sorry, es kann an der Sonne liegen, aber mir fehlt noch eine logische Verbindung. Ich verstehe deinen Ansatz nicht
Mir will nicht in den Kopf warum keine OU, soll ich die GPOs auf Domainebende anwenden?
Meinst du es so, eine GPO - in dieser Mappe ich mehrere Laufwerke, soweit klar ... wie filtere ich dann nach den Gruppen der Freigaben?
Mir fehlt ein Schritt damit der Gedanke rund wird
Sorry, dass ich so begriffsstutzig bin, ich glaube ich muss es mir noch einmal auf dem Server an gucken.
Aber ein paar Hinweise würden mir schon helfen.
Vielen Dank
Gruß Alex
(Weitere) OUs zu erstellen hat nicht nur Vorteile und wenn man es macht, dann sicherlich nicht aus diesem Anlass.
Eine GPO, meinetwegen auf höchster Ebene verknüpfen und dann per Group Policy Preference item ["GPP"] (von Dir GPOs und CSEs genannt) die LWs verteilen. Wenn Du meine Bilder anschaust, erübrigt sich die Frage "wie filtere ich dann nach den Gruppen der Freigaben?" - dort ist es abgebildet, das sind Dialoge aus einem GPP.
Eine GPO, meinetwegen auf höchster Ebene verknüpfen und dann per Group Policy Preference item ["GPP"] (von Dir GPOs und CSEs genannt) die LWs verteilen. Wenn Du meine Bilder anschaust, erübrigt sich die Frage "wie filtere ich dann nach den Gruppen der Freigaben?" - dort ist es abgebildet, das sind Dialoge aus einem GPP.
Hallo,
jetzt habe ich es verstanden, wie gesagt ich habe, jetzt am Wochenende, den Server nicht vor mir. Die Erklärung GPP hat geholfen.
Du hast recht, 1 GPO und dann über die Gruppen verteilen, dass ist minimal und praktisch.
Ich bin in meiner 1. Idee über mehrere OUs gegangen weil ich die GPOs auf OUs anwenden kann, nicht auf Gruppen, dann hat es sich weitergezogen,
für jede OU eine Gruppe in der ich dann die Nutzer unterbringe, ich habe nicht an das Targetting gedacht, ich habe es schon gehört aber es ist mir entfallen.
Danke für die Tipps, ich würde es am Mittwoch gleich einmal ausprobieren und mich melden wenn ich noch Fragen habe.
Ich wünsche Dir ein schönes Wochenende, hoffe du hast auch ein schön langes Wochenende?
Gruß Alex
jetzt habe ich es verstanden, wie gesagt ich habe, jetzt am Wochenende, den Server nicht vor mir. Die Erklärung GPP hat geholfen.
Du hast recht, 1 GPO und dann über die Gruppen verteilen, dass ist minimal und praktisch.
Ich bin in meiner 1. Idee über mehrere OUs gegangen weil ich die GPOs auf OUs anwenden kann, nicht auf Gruppen, dann hat es sich weitergezogen,
für jede OU eine Gruppe in der ich dann die Nutzer unterbringe, ich habe nicht an das Targetting gedacht, ich habe es schon gehört aber es ist mir entfallen.
Danke für die Tipps, ich würde es am Mittwoch gleich einmal ausprobieren und mich melden wenn ich noch Fragen habe.
Ich wünsche Dir ein schönes Wochenende, hoffe du hast auch ein schön langes Wochenende?
Gruß Alex
Ja, hab ich - danke ebenso!
Hallo DerWoWusste,
es hat wunderbar geklappt mit dem Targeting, ich habe mich zwar RICHTIG ausgetrickst, aber noch mitbekommen.
Ich habe das Loginscript nicht abgeschalten sondern nur mich als User bei den Mappings auskommentiert.
1 Laufwerkverbinden hat auf W7 geklappt, aber keine weiteren, war verzweifelt, ging nicht.
Bin dann eine langsame XP-Kiste und habe es probiert, das gleiche Symptom ABER ich habe das Konsolenfenster gesehen und es maximiert, dann fiel
es mir wie Schuppen von den Augen, in den Loginscript werden die Laufwerke zuerst alle getrennt. Außer ein neues, das habe ich noch nicht gepflegt.
Also hat mir die GPO die Laufwerke verbunden und das Loginscript wieder getrennt Schöne Schei...
Als ich das Loginscript deaktiviert habe für mich, dann lief es.
Ein Problem habe ich noch, vielleicht weißt du was, es ist auch zu systematisch um ein Fehler zu sein.
An der Windows XP Kiste funktioniert das Laufwerkeverbinden per GPO nur jedes 2.Mal.
Z.B. Anmelden --> Shares sind nicht da; Abmelden; Anmelden --> Shares sind da
Das gleiche auch beim Reboot, ist da was bekannt, Loginscript habe ich für meinen User deaktiviert.
Gruß Alex
es hat wunderbar geklappt mit dem Targeting, ich habe mich zwar RICHTIG ausgetrickst, aber noch mitbekommen.
Ich habe das Loginscript nicht abgeschalten sondern nur mich als User bei den Mappings auskommentiert.
1 Laufwerkverbinden hat auf W7 geklappt, aber keine weiteren, war verzweifelt, ging nicht.
Bin dann eine langsame XP-Kiste und habe es probiert, das gleiche Symptom ABER ich habe das Konsolenfenster gesehen und es maximiert, dann fiel
es mir wie Schuppen von den Augen, in den Loginscript werden die Laufwerke zuerst alle getrennt. Außer ein neues, das habe ich noch nicht gepflegt.
Also hat mir die GPO die Laufwerke verbunden und das Loginscript wieder getrennt
Schöne Schei...Als ich das Loginscript deaktiviert habe für mich, dann lief es.
Ein Problem habe ich noch, vielleicht weißt du was, es ist auch zu systematisch um ein Fehler zu sein.
An der Windows XP Kiste funktioniert das Laufwerkeverbinden per GPO nur jedes 2.Mal.
Z.B. Anmelden --> Shares sind nicht da; Abmelden; Anmelden --> Shares sind da
Das gleiche auch beim Reboot, ist da was bekannt, Loginscript habe ich für meinen User deaktiviert.
Gruß Alex
Ich mach mal einen neuen Thread auf, die ersten Fragen ist ja schon gelöst.
Hallo,
ich habe in einen anderen Thread das letzte Problem gelöst bekommen:
GPP werden nur bei jeden 2. Anmelden angewendet.
Nun habe ich eine neue Struktur-frage:
Wie gesagt möchte ich die Skripte ablösen, die Shares habe ich ja umsetzen können, wie mache ich es mit den Druckern?
In dem Skript wird anhand des Rechnernamens die Drucker gemappt und ein Standarddrucker festgelegt.
Wie würde ich das Umsetzen?
Für Alle alle Drucker verbinden lassen und dann noch einmal eine GPP anhand von Gruppen den Standarddrucker setzen.
Als Beispiel Gruppe: dl_Sharp256_Standardprinter dann für alle Drucker eine Gruppe anlegen und dann die Nutzer in die Gruppen bzw. die Rechner?
Aber grundsätzlich alle verbinden ist auch nervig, manche brauchen nicht alle???
Ich hänge irgendwie fest und komme nicht weiter.
Gruß Alex
ich habe in einen anderen Thread das letzte Problem gelöst bekommen:
GPP werden nur bei jeden 2. Anmelden angewendet.
Nun habe ich eine neue Struktur-frage:
Wie gesagt möchte ich die Skripte ablösen, die Shares habe ich ja umsetzen können, wie mache ich es mit den Druckern?
In dem Skript wird anhand des Rechnernamens die Drucker gemappt und ein Standarddrucker festgelegt.
Wie würde ich das Umsetzen?
Für Alle alle Drucker verbinden lassen und dann noch einmal eine GPP anhand von Gruppen den Standarddrucker setzen.
Als Beispiel Gruppe: dl_Sharp256_Standardprinter dann für alle Drucker eine Gruppe anlegen und dann die Nutzer in die Gruppen bzw. die Rechner?
Aber grundsätzlich alle verbinden ist auch nervig, manche brauchen nicht alle???
Ich hänge irgendwie fest und komme nicht weiter.
Gruß Alex
Moin.
Nun habe ich eine neue Struktur-frage:
Dann ab damit in einen neuen Thread, oder soll ich das allein bearbeiten?
*lach* nicht dass ich Dir das nicht zutraue , ich mache einen neuen auf.
Thread wird erstellt. Wir sehen uns im neuen Thread
Danke Dir
, ich mache einen neuen auf.Thread wird erstellt. Wir sehen uns im neuen Thread
Danke Dir
