4
Filesharemapping via Logon Skript GPO
Guten Abend Zusammen,
ich verzweifel langsam an einem scheinbar echt fiesen Problem, oder ich seh den Wald vor lauter Bäumen nicht mehr ...
Kurz ein paar Wörter zur Infrastruktur damit man weiß wieso, weshalb warum:
- 2x Vollständige Windows Server 2019 AD-DS Infrastruktur gehostet in Azure VMs. Aufgebaut in einer Hub-Spoke Architektur.
Ziel:
Zwischen beiden Spokes (Zu betrachten wie zwei getrennte AD-DS Infrastrukturen) einen Dateiaustausch ermöglichen.
Was hab ich gemacht:
Azure Fileshare via Storage Account bereitgestellt. Microsoft gibt zum mappen auf Windows Systemen ein PowerShell Skript mit.
Dieses Skript verwende ich nicht, stattdessen habe ich via net use ein 1-Zeiler in Batch geschrieben der das Fileshare (klassisch via SMB) mappt.
Eine entsprechende GPO erstellt welche dieses Skript als Logon Skript ausführt.
Batch-"Skript":
Der Output der aus dem Skript gezogen wurde: "The command completed successfully."
Manuell ausgeführt erfüllt das Skript die Anforderung -> Der Fileshare wird als Laufwerk gemappt.
Allerdings als Logon-Skript passiert nichts ... Das Skript wird ausgeführt (Das sagt sowohl das Event-Log, also auch der Log-Output des Skriptes)
Prüft man im Windows-Explorer wird man enttäuscht denn gemappt wurde nichts.
Dazu sollte man sagen, dass das Share selbst keine ACLs hat oder kennt. Jeder der den "shared Key" hat, hat Freifahrt. Das ist für meinen Einsatzzweck i.O und auch gewollt.
Das Logon Skript liegt im entsprechenden Sysvol Verzeichnis und die User sind auch bei einem manuellen Aufruf in der Lage dieses Pfad zu öffnen, sowie das Batch-File zu öffnen und auszuführen.
Im Anhang ist der HTML-Export der GPO zu finden. Der Computerpart, der nicht mehr draufpasste enthält noch "Aufs Netzwerk warten". Wundert euch nicht über die komischen Domains, dass HTML-File wurde zuvor etwas bearbeitet :D
Ich habe auch schon versucht das ganze via PowerShell Skript und Logon-GPO zu machen, leider mit dem identischen Ergebnis.
Die "übliche" Variante Laufwerke via GPO zu mappen ist leider nicht anwendbar, da in diesem Szenario nicht unterstützt (Von MS, danke dafür)
Vielleicht hat ja jemand von euch so etwas schon mal gemacht und sieht meinen Fehler oder hat ein paar Tipps, bin für jeden Input dankbar.
Schönen Abend noch und Gruß
Eure Wolkenrakete
ich verzweifel langsam an einem scheinbar echt fiesen Problem, oder ich seh den Wald vor lauter Bäumen nicht mehr ...
Kurz ein paar Wörter zur Infrastruktur damit man weiß wieso, weshalb warum:
- 2x Vollständige Windows Server 2019 AD-DS Infrastruktur gehostet in Azure VMs. Aufgebaut in einer Hub-Spoke Architektur.
Ziel:
Zwischen beiden Spokes (Zu betrachten wie zwei getrennte AD-DS Infrastrukturen) einen Dateiaustausch ermöglichen.
Was hab ich gemacht:
Azure Fileshare via Storage Account bereitgestellt. Microsoft gibt zum mappen auf Windows Systemen ein PowerShell Skript mit.
Dieses Skript verwende ich nicht, stattdessen habe ich via net use ein 1-Zeiler in Batch geschrieben der das Fileshare (klassisch via SMB) mappt.
Eine entsprechende GPO erstellt welche dieses Skript als Logon Skript ausführt.
Batch-"Skript":
net use Z: \\<ip-adresse>\<filesharename> /u:Azure\<username> <shared access key azure storage account> >> \\server\c$\temp\output.txt.Der Output der aus dem Skript gezogen wurde: "The command completed successfully."
Manuell ausgeführt erfüllt das Skript die Anforderung -> Der Fileshare wird als Laufwerk gemappt.
Allerdings als Logon-Skript passiert nichts ... Das Skript wird ausgeführt (Das sagt sowohl das Event-Log, also auch der Log-Output des Skriptes)
Prüft man im Windows-Explorer wird man enttäuscht denn gemappt wurde nichts.
Dazu sollte man sagen, dass das Share selbst keine ACLs hat oder kennt. Jeder der den "shared Key" hat, hat Freifahrt. Das ist für meinen Einsatzzweck i.O und auch gewollt.
Das Logon Skript liegt im entsprechenden Sysvol Verzeichnis und die User sind auch bei einem manuellen Aufruf in der Lage dieses Pfad zu öffnen, sowie das Batch-File zu öffnen und auszuführen.
Im Anhang ist der HTML-Export der GPO zu finden. Der Computerpart, der nicht mehr draufpasste enthält noch "Aufs Netzwerk warten". Wundert euch nicht über die komischen Domains, dass HTML-File wurde zuvor etwas bearbeitet :D
Ich habe auch schon versucht das ganze via PowerShell Skript und Logon-GPO zu machen, leider mit dem identischen Ergebnis.
Die "übliche" Variante Laufwerke via GPO zu mappen ist leider nicht anwendbar, da in diesem Szenario nicht unterstützt (Von MS, danke dafür)
Vielleicht hat ja jemand von euch so etwas schon mal gemacht und sieht meinen Fehler oder hat ein paar Tipps, bin für jeden Input dankbar.
Schönen Abend noch und Gruß
Eure Wolkenrakete
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 667627
Url: https://administrator.de/contentid/667627
Ausgedruckt am: 22.11.2024 um 02:11 Uhr
4 Kommentare
Neuester Kommentar
Guck mal hier: https://www.gruppenrichtlinien.de/artikel/ssd-zu-schnell-synchroner-star ...
Oder testweise das Script in den AD-Eigenschaften des Users angeben, statt über GPO.
Oder testweise das Script in den AD-Eigenschaften des Users angeben, statt über GPO.
Hallo Zusammen,
ich habe mir eine testweise eine neue AD-DS Infrastruktur mit einem Client dazu aufgebaut und es dort ohne jegliche GPOs außer der für das Mapping getestet.
Dort klappt meine GPO wie gewünscht.
Das Problem wird also irgendwo bei den anderen GPOs (vermutlich) liegen. Daher braucht keiner mehr seine wertvolle Zeit für mich aufopfern
Wenn ich im Detail weiß, was wie und wo quer geschossen hat werde ich euch es wissen lassen ... Irgendjemanden hilft es immer!
ich habe mir eine testweise eine neue AD-DS Infrastruktur mit einem Client dazu aufgebaut und es dort ohne jegliche GPOs außer der für das Mapping getestet.
Dort klappt meine GPO wie gewünscht.
Das Problem wird also irgendwo bei den anderen GPOs (vermutlich) liegen. Daher braucht keiner mehr seine wertvolle Zeit für mich aufopfern
Wenn ich im Detail weiß, was wie und wo quer geschossen hat werde ich euch es wissen lassen ... Irgendjemanden hilft es immer!
Hoi,
mach doch mal einen Richtlinien-Ergebnissatz für den User. Dann kannste an den bekannten stellen suchen, ob dort irgendow ein Löschen der Netzlaufwerke stattfindet o.ä. Manchmal findet man dort auch Richtlinien wieder, an die man gar nicht mehr gedacht hat
Gruß
mach doch mal einen Richtlinien-Ergebnissatz für den User. Dann kannste an den bekannten stellen suchen, ob dort irgendow ein Löschen der Netzlaufwerke stattfindet o.ä. Manchmal findet man dort auch Richtlinien wieder, an die man gar nicht mehr gedacht hat
Gruß
Zitat von @CyborgWeasel:
Hoi,
mach doch mal einen Richtlinien-Ergebnissatz für den User. Dann kannste an den bekannten stellen suchen, ob dort irgendow ein Löschen der Netzlaufwerke stattfindet o.ä. Manchmal findet man dort auch Richtlinien wieder, an die man gar nicht mehr gedacht hat
Gruß
Hoi,
mach doch mal einen Richtlinien-Ergebnissatz für den User. Dann kannste an den bekannten stellen suchen, ob dort irgendow ein Löschen der Netzlaufwerke stattfindet o.ä. Manchmal findet man dort auch Richtlinien wieder, an die man gar nicht mehr gedacht hat
Gruß
Alles schon durch. Ist jetzt auch schon eine ganze Weile her und der use-case ist nicht mehr gegeben, weshalb ich da leider keine Zeit mehr investieren kann, auch wenn mich die Lösung nach wie vor interessieren würde ....
