Laufwerkzurodnung in GPOs mit Variable aus dem AD

Mitglied: Lowrider614

Lowrider614 (Level 1) - Jetzt verbinden

01.12.2015, aktualisiert 10.12.2015, 3466 Aufrufe, 7 Kommentare, 1 Danke

Hallo,

ich arbeite an einer Uni und habe folgendes Problem:
Wir haben an unserem Institut (noch) eine eigene Domäne. Die Universität stellt eine zentrale Domäne bereit. Beide Domänen vertrauen sich nicht. Jeder User unserer Domäne hat auch einen Account in der Uni-Domäne.
Nun wollen wir demnächst in die Uni-Domäne umziehen. Die Daten unserer Instituts-User sollen auf den Homelaufwerken in der Uni Domäne landen (jeder User hat in der Uni-Domäne ihm zugewiesenen, persönlichen Speicherplatz). Dazu soll schnellstmöglich das Userlaufwerk aus der Uni-Domäne bei jedem User an unserem Institut eingebunden werden. Dann können die User Ihre Daten selbst migrieren. Soweit der Plan.
Die Usernamen unserer User sind in der Instituts-Domäne und in der Uni-Domäne nicht identisch. Daher habe ich mir überlegt, dass ich in einem freien Feld im Institus-AD (ich habe mir das "Postfach" Feld ausgesucht) den Nutzernamen der Uni-Domäne eintrage. Anschließend erstelle ich eine Laufwerkszuordnung, die die Variable angelegte Variable ausliest und darauf den Laufwerkspfad ableitet. Der Nutzer muss dann einmalig beim Anmelden seine Anmeldedaten eingeben.

Frage:
Kann das so klappen oder habt ihr eine bessere Idee?
Wie kann ich in den GPO Einstellungen die AD Variablen auslesen? %postOfficeBox% hat schon mal nicht funktioniert.

Vielen Dank und schöne Grüße

Tim
Mitglied: colinardo
LÖSUNG 01.12.2015, aktualisiert 10.12.2015
Hallo Tim,
ein beliebiges AD-Attribut eines Users kannst mit folgender Methode in der GPP-Laufwerkszuordnung verfügbar machen. Dazu gehst du folgendermaßen vor:
Erstelle eine neue GPO in der du im ersten Schritt eine neue Umgebungsvariable für den User ebenfalls via GPP erstellst.
In der GPO erstellst du unter Benutzerkonfiguration > Einstellungen > Windows Einstellungen > Umgebungsvariablen eine neue Umgebungsvariable mit folgenden Daten:

Name = MEINADWERT
Wert = %_MEINADWERT%

Dann gehst du im Dialog auf den Tab Gemeinsame Optionen und aktivierst das Kästchen Zielgruppenadressierung auf Elementebene und klickst auf den Button. Dort erstellst du ein neues LDAP-Abfrage-Element und gibst folgende Daten ein:

Filter = (&(objectCategory=user)(sAMAccountName=%username%))
Bindung = LDAP:
Attribut = postOfficeBox
Umgebungsvariablenname = _MEINADWERT

und speicherst die ganze GPO.

Jetzt erstellst du deine GPO mit der Laufwerkszuordnung in der du jetzt die neu erstellte Umgebungsvariable %MEINADWERT% nutzen kannst.

WICHTIG: Die GPO welche die Umgebungsvariable setzt muss natürlich in der Rangfolge vor der Laufwerkszuordnungs-GPO gesetzt sein!

Die entsprechenden Berechtigungen für das Domain fremde Share müssen die User natürlich in Ihrem Account (Tresor) hinterlegt haben sonst klappt das ganze ja nicht.

Grüße Uwe
Bitte warten ..
Mitglied: Lowrider614
01.12.2015 um 17:40 Uhr
Hallo Uwe,

vielen Dank für deine Antwort. Ich habe sie bereits in die Tat umgesetzt und werde über das Ergebnis berichten.

Schöne Grüße

Tim
Bitte warten ..
Mitglied: Lowrider614
04.12.2015 um 08:44 Uhr
Hallo Uwe,

der Stand ist wie folgt:
Ich habe eine GPO erstellt, die mir das AD ausliest und den gewünschten Wert in die Variable schreibt. Das klappt auch super. Wenn ich an meinem Testrechner eine cmd öffne und
eintippen, kommt das raus was ich im AD eingetragen habe.

Über
kann ich auch manuell das Laufwerk verbinden. Ohne Abfrage der Credentials, da diese schon im Tresor liegen (ich hatte das Laufwerk schon mal verbunden und habe es wieder getrennt).

Das Problem ist nun, dass die Verbindung nicht automatisch zu Stande kommt. Egal in welcher Reihenfolge ich die GPOs abarbeiten lasse, wird das Laufwerk nicht verbunden.

Meine Frage ist nun:
Wie kann ich denn dieses Verhalten sinnvoll debuggen? Die Gruppenrichtlinienergebnisse auf dem Domain Controller geben nur die Abarbeitungsreihenfolge aus, welche sich als erster Fehler herausgestellt hat. Aber selbst mit der nun richtigen Reihenfolge mag es nicht klappen.

In der GPO zum Verbinden der Laufwerke ist Folgendes eingestellt:

Ersetzen
Z:
Pfad wie oben beschrieben

Gemeinsame Optionen:
Im Kontext des Benutzers ausführen
Zielgruppenadressierung (Testuser)

Hast du einen Tipp, wo ich weiter suchen könnte?

Schöne Grüße

Tim
Bitte warten ..
Mitglied: colinardo
04.12.2015, aktualisiert um 10:57 Uhr
So, also habe das ganze hier mal im Lab getestet, funktioniert einwandfrei, ohne irgendwelche Optionen auf dem Tab "Gemeinsame Optionen" des Drive-Mappings.

Ich vermute deine hinterlegten Credentials im Tresor sind nicht korrekt. Das sollte dann auch das System-Eventlog anmerken.
Ich mache das immer so:
  • Anmeldeinformationsverwaltung öffnen > Windows-Anmeldeinformationen > Windows Anmeldeinformation hinzufügen
  • Netzwerkadresse: <SRVNAME>
  • Benutzername: DOMAIN\User
  • Password: * * * *
  • Dauerhaftigkeit: Unternehmen

Ich habe dazu auch schon mal ein Powershell-Skript gepostet. Mit CMDKey.exe auf der Kommandozeile geht es natürlich auch.

Unbedingt darauf achten das der Servername exakt so lautet wie er in der GPO angegeben ist.

Wie gesagt, wurde hier einwandfrei getestet, du solltest also erst mal die Logs studieren was bei dir da falsch läuft.

Und noch eine wichtige Info: Der Client darf nicht schon mit anderen Credentials an diesem Server angemeldet sein, denn es gilt wie immer ein User kann sich unter Windows nur mit einem Satz Credentials an ein und dem selben Server anmelden (außer man verwendet alternative Namen wie IP-Adresse, dann ist auch das möglich).

Grüße Uwe
Bitte warten ..
Mitglied: Lowrider614
10.12.2015 um 09:27 Uhr
Hallo Uwe,

schon einmal vielen Dank für deine Hilfe, ich bin der Lösung des Problems schon ein gutes Stück näher gekommen.

Auf meinen Windows 7 Clients funktioniert das Prozedere. Top!

Nun zu Windows 10. Da erhalte ich folgende Fehlermeldung in der Ereignisanzeige, (Ereignis 4098):
Das Benutzer "Z:"-Einstellungselement im Gruppenrichtlinienobjekt "Netzlaufwerke {EC7C64B1-6089-4F6C-B5DE-ABCD4210E85C}" wurde aufgrund eines Fehlers nicht angewendet. Fehlercode: "0x80070056 Das angegebene Netzwerkkennwort ist falsch." Dieser Fehler wurde unterdrückt..

Nun habe das natürlich gelesen, die Anmeldeinformationsverwaltung für meinen Nutzer wieder verfügbar gemacht (war über GPOs unterdrückt) und die Anmeldedaten überprüft. Die stimmen. Ich kann nämlich über den net use Befehl (mit Eingabe der Variablen aus deiner ersten Antwort) das Netzlaufwerk ohne Eingabe von Credentials verbinden. Demnach muss das Problem irgendwo anders liegen.
Hast du eine Idee?

Schöne Grüße

Tim
Bitte warten ..
Mitglied: colinardo
10.12.2015, aktualisiert um 10:13 Uhr
Hmm, also hier läuft das ganze auf einem aktuellen Windows 10 Enterprise 1511 reibungslos, denke das da bei euch noch irgendeine Policy querschlägt, müsste ich aber erst mal nachsehen welche das sein könnte.
Solltest du bei euch auch erst mal mit einem cleanen W10 testen um andere Fehlerquellen wie Image oder GPOs auszuschließen.
Bitte warten ..
Mitglied: Lowrider614
10.12.2015 um 10:17 Uhr
Hallo Uwe,

danke für deine Antwort.
Ich werde dann erst einmal nichts unternehmen. Das betrifft nur einen Rechner und das ist mein eigener. Da binde ich das Laufwerk manuell ein.
Da wir ja demnächst die Domäne wechseln und danach wieder nur eine Domäne haben, sitze ich das Problem einfach aus :-) face-smile

Schöne Grüße

Tim
Bitte warten ..
Heiß diskutierte Inhalte
Windows Server
Infrastruktur für Firma
brainwashVor 19 StundenFrageWindows Server7 Kommentare

Hallo zusammen, kurze Erklärung zu meinem Problem Wir sind eine kleine Firma mit zwei Standorten im Bereich Brandschutz. Zur Zeit nutzen wir für unsere ...

Netzwerkprotokolle
Proxy Zugang von Extern
gelöst Jannik2018Vor 1 TagFrageNetzwerkprotokolle17 Kommentare

Hallo zusammen, ich habe mir einen Squid Proxy auf einer Linux VM aufgesetzt und möchte das man aus allen netzen drauf zugreifen kann allerdings ...

Windows Server
Windows 10 VM auf Server 2019 Essentials
jhuedderVor 1 TagFrageWindows Server10 Kommentare

Hallo, einer meiner Kunden möchte aus Kostengründen einen Windows Server 2019 (direkt auf einer physikalischen Maschine installiert) erwerben und dort für einen Außendienstler mit ...

Server-Hardware
Verkaufe RX300 S7 Server von Fuijutsu
HolzBrettVor 20 StundenAllgemeinServer-Hardware9 Kommentare

Hi, Ich wohne in Aachen und habe die Server von der Firma umsonst erhalten. Ich habe sie bereits überprüft (es geht alles). Ich möchte ...

Windows Server
Veeam Endpoint Backup FREE zur Sicherung eines DCs
gelöst takvorianVor 1 TagFrageWindows Server7 Kommentare

Hallo zusammen, ich habe hier bei mir 1 Hypervisor mit 4 VMs (darunter 1 DC) welche ich mittels backupAssist alle wegsichere. Klappt soweit auch ...

LAN, WAN, Wireless
WLan-unterstütztes Telefonieren iOS, Unifi
VisuciusVor 1 TagFrageLAN, WAN, Wireless8 Kommentare

Hallo. Ich bins (wieder) ;-) Guten Morgen, ich beobachte seit einer Umstellung ein "komisches Verhalten" und kann mir das gerade nicht erklären. Und vielleicht ...

LAN, WAN, Wireless
Heimnetzwerk mit VLAN - getrennter Internetzugang
gelöst anyibkVor 1 TagFrageLAN, WAN, Wireless5 Kommentare

Hallo liebe Community! Ich bastle seit einiger Zeit an einem recht besonderen Heimnetzwerkproblem. Wir haben einen neuen Glasfaseranschluss ins Haus (3 Parteien) bekommen und ...

LAN, WAN, Wireless
Verständnisfrage VPN Performance pfSense
flabsVor 1 TagFrageLAN, WAN, Wireless7 Kommentare

Moin Kollegen, ich betreibe 3 pfSense Firewalls an 3 Standorten. Zwischen Standort A und B gibt es einen IPSec Tunnel. Der läuft seit Jahren ...