3
GPOs bezüglich dem Mounten von Laufwerken
Hallo,
wir hatte neulich eine Zuckung in unserem Netz (ca. 250.000 Clients) wo mit einem Mal das Verbinden von Shares in nicht-vertrauten Domains verweigert wurde.
Da die GPOs von einem Dienstleister verwaltet werden, ist es sehr schwierig, von denen Informationen zu erhalten, was sie aktuell gerade so tun oder geändert haben.
Beispiel:
Mein Client -PC hat ein Computerkonto in DomainA mein User hat einen User-Account sind in DomainA
Ich habe einen Share auf einem Server in DomainB
Die beiden Domänen haben keine Vertrauensstellung.
Ich wollte den Share authentifizieren mit
net use x: \\<server in DomainB>\shareInDomainB /user:DomainB\Administrator
Das wurde mir auf einem PC mit Computerkonto in DomainA verweigert mit einer Fehlermeldung "Ihre Workstation hat kein Computerkonto in der Domäne" oder so ähnlich.
Leider ist das Verhalten in der Zwischenzeit wieder verschwunden und von dem genauen Wortlaut der Meldung gibts keine Screenshots.
Ich hatte zu dem Zeitpunkt leider auch nicht genug Rechte, um ein gpresult aufzurufen, und nun fragen wir uns alle, was das gewesen ist.
Meine Frage ist deshalb:
Gibt es eine optionale GPO (ich vermute mal Computerrichtlninie) die vor der User-Authentifizierung an einem Share auch noch das Vorhandensein eines Computerkontos erzwingt?
Ich hab mir einen Wolf gesucht und nichts Sinnvolles gefunden. Und wie gesagt, unsere GPOs sind vor einer Woche aktualisiert worden und seitdem ist das Problem verschwunden.
Um das in einer Sandbox Umgebung zu reproduzieren, benötige ich ein paar Hinweise...
wir hatte neulich eine Zuckung in unserem Netz (ca. 250.000 Clients) wo mit einem Mal das Verbinden von Shares in nicht-vertrauten Domains verweigert wurde.
Da die GPOs von einem Dienstleister verwaltet werden, ist es sehr schwierig, von denen Informationen zu erhalten, was sie aktuell gerade so tun oder geändert haben.
Beispiel:
Mein Client -PC hat ein Computerkonto in DomainA mein User hat einen User-Account sind in DomainA
Ich habe einen Share auf einem Server in DomainB
Die beiden Domänen haben keine Vertrauensstellung.
Ich wollte den Share authentifizieren mit
net use x: \\<server in DomainB>\shareInDomainB /user:DomainB\Administrator
Das wurde mir auf einem PC mit Computerkonto in DomainA verweigert mit einer Fehlermeldung "Ihre Workstation hat kein Computerkonto in der Domäne" oder so ähnlich.
Leider ist das Verhalten in der Zwischenzeit wieder verschwunden und von dem genauen Wortlaut der Meldung gibts keine Screenshots.
Ich hatte zu dem Zeitpunkt leider auch nicht genug Rechte, um ein gpresult aufzurufen, und nun fragen wir uns alle, was das gewesen ist.
Meine Frage ist deshalb:
Gibt es eine optionale GPO (ich vermute mal Computerrichtlninie) die vor der User-Authentifizierung an einem Share auch noch das Vorhandensein eines Computerkontos erzwingt?
Ich hab mir einen Wolf gesucht und nichts Sinnvolles gefunden. Und wie gesagt, unsere GPOs sind vor einer Woche aktualisiert worden und seitdem ist das Problem verschwunden.
Um das in einer Sandbox Umgebung zu reproduzieren, benötige ich ein paar Hinweise...
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 351975
Url: https://administrator.de/forum/gpos-bezueglich-dem-mounten-von-laufwerken-351975.html
Ausgedruckt am: 08.04.2025 um 02:04 Uhr
3 Kommentare
Neuester Kommentar
Hi,
das Computerkonto in DomäneB würde nichts nützen, weil der Client ja aktuell mit dem der DomäneA angemeldet ist. Er kann nicht in 2 Domänen gleichzeitig sein.
Unabhängig davon:
Meines Wissens - muss man beim "net use" immer eine Freigabe angeben, nicht bloß den Server. Ich kann mich irren ...
Hast Du schon mal versucht, statt mittels "net use" dann mittels "cmdkey" Anmeldedaten anzugeben?
E.
das Computerkonto in DomäneB würde nichts nützen, weil der Client ja aktuell mit dem der DomäneA angemeldet ist. Er kann nicht in 2 Domänen gleichzeitig sein.
Unabhängig davon:
Meines Wissens - muss man beim "net use" immer eine Freigabe angeben, nicht bloß den Server. Ich kann mich irren ...
Hast Du schon mal versucht, statt mittels "net use" dann mittels "cmdkey" Anmeldedaten anzugeben?
E.
öhm diese Kommdozeile bezieht sich auf einen Share...
net use x: \\<server in DomainB>\shareInDomainB /user:DomainB\Administrator
da das Problem wieder weg ist, und ich mir ohne Kenntnis der verantwortlichen GPO das Problem auch nicht reproduziren kann, war ja meine Frage, welche Stellen in einer GPO damit zu tun haben könnte...
net use x: \\<server in DomainB>\shareInDomainB /user:DomainB\Administrator
da das Problem wieder weg ist, und ich mir ohne Kenntnis der verantwortlichen GPO das Problem auch nicht reproduziren kann, war ja meine Frage, welche Stellen in einer GPO damit zu tun haben könnte...
p.s. ab Windows 2008R2 bzw. Windows 7 geht der Net Use auch auf den Rechnernamen ohne Share, ferner sind mittlerweile auch Unterordner mountbar nach dem Muster
net use x: \\server\share\folder1\subfolder9
In älteren Windows-Ständen war nur die Syntax erlaubt:
net use x: \\server\share
net use x: \\server\share\folder1\subfolder9
In älteren Windows-Ständen war nur die Syntax erlaubt:
net use x: \\server\share
