cloudrakete
Goto Top

Filesharemapping via Logon Skript GPO

Guten Abend Zusammen,

ich verzweifel langsam an einem scheinbar echt fiesen Problem, oder ich seh den Wald vor lauter Bäumen nicht mehr ...

Kurz ein paar Wörter zur Infrastruktur damit man weiß wieso, weshalb warum:

- 2x Vollständige Windows Server 2019 AD-DS Infrastruktur gehostet in Azure VMs. Aufgebaut in einer Hub-Spoke Architektur.


Ziel:
Zwischen beiden Spokes (Zu betrachten wie zwei getrennte AD-DS Infrastrukturen) einen Dateiaustausch ermöglichen.

Was hab ich gemacht:

Azure Fileshare via Storage Account bereitgestellt. Microsoft gibt zum mappen auf Windows Systemen ein PowerShell Skript mit.
Dieses Skript verwende ich nicht, stattdessen habe ich via net use ein 1-Zeiler in Batch geschrieben der das Fileshare (klassisch via SMB) mappt.
Eine entsprechende GPO erstellt welche dieses Skript als Logon Skript ausführt.

Batch-"Skript":
net use Z: \\<ip-adresse>\<filesharename> /u:Azure\<username> <shared access key azure storage account>  >> \\server\c$\temp\output.txt.

Der Output der aus dem Skript gezogen wurde: "The command completed successfully."

Manuell ausgeführt erfüllt das Skript die Anforderung -> Der Fileshare wird als Laufwerk gemappt.
Allerdings als Logon-Skript passiert nichts ... Das Skript wird ausgeführt (Das sagt sowohl das Event-Log, also auch der Log-Output des Skriptes)
Prüft man im Windows-Explorer wird man enttäuscht denn gemappt wurde nichts.
Dazu sollte man sagen, dass das Share selbst keine ACLs hat oder kennt. Jeder der den "shared Key" hat, hat Freifahrt. Das ist für meinen Einsatzzweck i.O und auch gewollt.


Das Logon Skript liegt im entsprechenden Sysvol Verzeichnis und die User sind auch bei einem manuellen Aufruf in der Lage dieses Pfad zu öffnen, sowie das Batch-File zu öffnen und auszuführen.
Im Anhang ist der HTML-Export der GPO zu finden. Der Computerpart, der nicht mehr draufpasste enthält noch "Aufs Netzwerk warten". Wundert euch nicht über die komischen Domains, dass HTML-File wurde zuvor etwas bearbeitet :D


Ich habe auch schon versucht das ganze via PowerShell Skript und Logon-GPO zu machen, leider mit dem identischen Ergebnis.
Die "übliche" Variante Laufwerke via GPO zu mappen ist leider nicht anwendbar, da in diesem Szenario nicht unterstützt (Von MS, danke dafür)


Vielleicht hat ja jemand von euch so etwas schon mal gemacht und sieht meinen Fehler oder hat ein paar Tipps, bin für jeden Input dankbar.


Schönen Abend noch und Gruß
Eure Wolkenrakete
gpo

Content-Key: 667627

Url: https://administrator.de/contentid/667627

Printed on: July 17, 2024 at 18:07 o'clock

Member: Inf1d3l
Inf1d3l Jun 15, 2021 updated at 21:05:11 (UTC)
Goto Top
Guck mal hier: https://www.gruppenrichtlinien.de/artikel/ssd-zu-schnell-synchroner-star ...

Oder testweise das Script in den AD-Eigenschaften des Users angeben, statt über GPO.
Member: Cloudrakete
Cloudrakete Jun 16, 2021 at 15:08:45 (UTC)
Goto Top
Hallo Zusammen,

ich habe mir eine testweise eine neue AD-DS Infrastruktur mit einem Client dazu aufgebaut und es dort ohne jegliche GPOs außer der für das Mapping getestet.
Dort klappt meine GPO wie gewünscht.

Das Problem wird also irgendwo bei den anderen GPOs (vermutlich) liegen. Daher braucht keiner mehr seine wertvolle Zeit für mich aufopfern face-smile
Wenn ich im Detail weiß, was wie und wo quer geschossen hat werde ich euch es wissen lassen ... Irgendjemanden hilft es immer!
Member: CyborgWeasel
CyborgWeasel Jun 18, 2021 at 18:44:38 (UTC)
Goto Top
Hoi,

mach doch mal einen Richtlinien-Ergebnissatz für den User. Dann kannste an den bekannten stellen suchen, ob dort irgendow ein Löschen der Netzlaufwerke stattfindet o.ä. Manchmal findet man dort auch Richtlinien wieder, an die man gar nicht mehr gedacht hat face-smile

Gruß
Member: Cloudrakete
Cloudrakete Aug 23, 2021 at 15:04:00 (UTC)
Goto Top
Zitat von @CyborgWeasel:

Hoi,

mach doch mal einen Richtlinien-Ergebnissatz für den User. Dann kannste an den bekannten stellen suchen, ob dort irgendow ein Löschen der Netzlaufwerke stattfindet o.ä. Manchmal findet man dort auch Richtlinien wieder, an die man gar nicht mehr gedacht hat face-smile

Gruß

Alles schon durch. Ist jetzt auch schon eine ganze Weile her und der use-case ist nicht mehr gegeben, weshalb ich da leider keine Zeit mehr investieren kann, auch wenn mich die Lösung nach wie vor interessieren würde ....