joedevlin
Goto Top

Netzlaufwerke via GPO

Guten Morgen,

wir möchten das Mapping der Netzlaufwerke von Logonscripts zu GPOs ändern, soweit waren die Tests auch erfolgreich und das ganze ist schnell konfiguriert.

Nun habe wir die Herausforderung, dass die konfigurierten Freigaben sporadisch geändert werden müssen, DFS kommt aktuell nicht zum Einsatz. Bisher war die Änderung einfach möglich, da nur die Logonscripts angepasst werden mussten.

Ich habe die GPO auf Aktualisieren/Update konfiguriert und festgestellt, dass eine Änderung der Freigabe keine Auswirkung hat, hierfür müsste ich die GPO auf Ersetzen/Replace stellen. Hierbei sieht man jedoch, dass beim Aktualisieren der Gruppenrichtlinie das Laufwerk kurz verschwindet und wieder stellt wird, offene Explorer-Fenster mit dem Laufwerk verschwinden dabei einfach.

Frage: Wie könnte man das am besten bewerkstelligen, so dass die Anwender möglichst wenig Auswirkungen bemerken?

Spontan fallen mir heute zwei Ideen ein, die ich aber erst nächste Woche testen kann, vielleicht kann ja hierzu jemand etwas sagen:

1. Duplizieren der GPO und Anpassung der Freigabe, so dass diese als neue GPO auf die Clients wirkt und damit die Option Aktualisieren/Update den gewünschten Effekt hat.
2. Verwenden eines temporären Logonscripts das überprüft, ob ein Laufwerk auf den alten Pfad gemappt ist und dieses dann auf den neuen Pfad mappt.

Die Konfiguration von DFS würde das ganze vereinfachen, das wird nochmal separat in Betracht gezogen, sollte jetzt aber nicht Thema dieses Beitrages sein.

Ich danke für euer Feedback!

Content-ID: 5159878207

Url: https://administrator.de/forum/netzlaufwerke-via-gpo-5159878207.html

Ausgedruckt am: 25.12.2024 um 16:12 Uhr

tech-flare
tech-flare 31.12.2022 um 09:20:33 Uhr
Goto Top
Zitat von @JoeDevlin:

Guten Morgen,
Hallo

wir möchten das Mapping der Netzlaufwerke von Logonscripts zu GPOs ändern, soweit waren die Tests auch erfolgreich und das ganze ist schnell konfiguriert.
Ok. Ist ja auch nur eine Fingerübung

Nun habe wir die Herausforderung, dass die konfigurierten Freigaben sporadisch geändert werden müssen, DFS kommt aktuell nicht zum Einsatz.
Oh je

Frage: Wie könnte man das am besten bewerkstelligen, so dass die Anwender möglichst wenig Auswirkungen bemerken?
DFS! Warum ändern sich eigentlich bei euch immer wieder die Pfade?

1. Duplizieren der GPO und Anpassung der Freigabe, so dass diese als neue GPO auf die Clients wirkt und damit die Option Aktualisieren/Update den gewünschten Effekt hat.
2. Verwenden eines temporären Logonscripts das überprüft, ob ein Laufwerk auf den alten Pfad gemappt ist und dieses dann auf den neuen Pfad mappt.
Also wieder zurück zur Steinzeit bzw. dort bleiben?


Die Konfiguration von DFS würde das ganze vereinfachen, das wird nochmal separat in Betracht gezogen, sollte jetzt aber nicht Thema dieses Beitrages sein.
Auch wenn du es nicht hören willst.
DFS hilft dir hierbei ungemein. Warum willst du das als separates Thema betrachten?

Gruß
Avoton
Avoton 31.12.2022 um 09:53:53 Uhr
Goto Top
Moin,

Alternativ die GPO auf ersetzen konfigurieren und mit einer zusätzlichen GPO das Processing so einstellen, dass die Netzlaufwerks-GPO nur verarbeitet wird, wenn Änderungen da sind.
Hab ich in zig Umgebungen so am fliegen.
Die genaue Einstellung müsste ich raus suchen.
LG,
Avoton
mayho33
mayho33 31.12.2022 um 13:46:14 Uhr
Goto Top
Hello!

Also eigentlich wird eine GPO in erster Linie beim Start des PC oder beim Logon eines Benutzers ausgeführt, je nachdem ob es eine Per-Machine oder Per-User-GPO ist. und danach zyklisch alle 90 Minuten. Die User sollten also nichts von der Änderung mitbekommen. Zuminst sagt MS das:

learn.microsoft.com/de-de/windows-server/networking/core-network-guide/cncg/server-certs/refresh-group-policy


Wie habt ihr es denn bisher gemacht im Script? Es haben doch sicher nicht allen User die gleichen Freigaben. Freigaben per GPO weden jetzt wohl via Security-Groups verteilt oder?

Sprich User in Security-Group => Security-Group an GPO geknüpft:

learn.microsoft.com/en-us/windows/security/threat-protection/windows-firewall/assign-security-group-filters-to-the-gpo

Ein Netzlaufwerk via GPO legt man prinzipiell so an:

  • "Replace" hat den Vorteil, dass auf jeden Fall das neue angelegt wird.

gpo howto


Gutes Gelingen!
JoeDevlin
JoeDevlin 01.01.2023 um 10:36:16 Uhr
Goto Top
Zitat von @Avoton:
Alternativ die GPO auf ersetzen konfigurieren und mit einer zusätzlichen GPO das Processing so einstellen, dass die Netzlaufwerks-GPO nur verarbeitet wird, wenn Änderungen da sind.

Das hört sich sehr gut an, kannst du mir sagen, wie du das konfiguriert hast?


Zitat von @mayho33:
Also eigentlich wird eine GPO in erster Linie beim Start des PC oder beim Logon eines Benutzers ausgeführt, je nachdem ob es eine Per-Machine oder Per-User-GPO ist. und danach zyklisch alle 90 Minuten. Die User sollten also nichts von der Änderung mitbekommen. Zuminst sagt MS das:

Ja, alle 90 Minuten würden die Anwender das mitbekommen!

Wie habt ihr es denn bisher gemacht im Script? Es haben doch sicher nicht allen User die gleichen Freigaben. Freigaben per GPO weden jetzt wohl via Security-Groups verteilt oder?

Aktuell gibt es verschiedene Scripte, jetzt soll das mit Sicherheitsgruppen gemacht werden. Das klappt auch in den Tests reibungslos.

* "Replace" hat den Vorteil, dass auf jeden Fall das neue angelegt wird.

… und den Nachteil, dass die angelegten Laufwerke ganz kurz verschwinden
Avoton
Lösung Avoton 01.01.2023 um 11:37:24 Uhr
Goto Top
Klar, kein Problem, hab's dir gerade Mal aus unserer Knowledge base gezogen:
screenshot_2023-01-01-11-35-07-78_40deb401b9ffe8e1df2f1cc5ba480b12

Das würde ich in eine neue GPO packen und auf alle Clients verteilen. Dann wirkt das Replace nur noch, wenn du was an der Netzlaufwerks-GPO änderst.

Frohes neues und viele Grüße,
Avoton
mayho33
mayho33 01.01.2023 um 13:13:00 Uhr
Goto Top
Zitat von @mayho33:
Also eigentlich wird eine GPO in erster Linie beim Start des PC oder beim Logon eines Benutzers ausgeführt, je nachdem ob es eine Per-Machine oder Per-User-GPO ist. und danach zyklisch alle 90 Minuten. Die User sollten also nichts von der Änderung mitbekommen. Zuminst sagt MS das:

Ja, alle 90 Minuten würden die Anwender das mitbekommen!

Das ist der Standard-Wert den man gerne jederzeit ändern kann.


Wie habt ihr es denn bisher gemacht im Script? Es haben doch sicher nicht allen User die gleichen Freigaben. Freigaben per GPO weden jetzt wohl via Security-Groups verteilt oder?

Aktuell gibt es verschiedene Scripte, jetzt soll das mit Sicherheitsgruppen gemacht werden. Das klappt auch in den Tests reibungslos.

* "Replace" hat den Vorteil, dass auf jeden Fall das neue angelegt wird.

… und den Nachteil, dass die angelegten Laufwerke ganz kurz verschwinden

Dann müsst ihr das halt so konfigurieren, dass diese GPO nur beim Logon ausgeführt wird.

gpp-nur-einmal-anwenden
JoeDevlin
JoeDevlin 01.01.2023 aktualisiert um 17:53:41 Uhr
Goto Top
Zitat von @Avoton:

Klar, kein Problem, hab's dir gerade Mal aus unserer Knowledge base gezogen:

Das würde ich in eine neue GPO packen und auf alle Clients verteilen. Dann wirkt das Replace nur noch, wenn du was an der Netzlaufwerks-GPO änderst.

Wow, ich bin begeistert! Vielen lieben Dank auch für das schnelle „Besorgen“ der Informationen und das an Neujahr!

Euch auch allen ein frohes und gesundes neues Jahr!
JoeDevlin
JoeDevlin 01.01.2023 um 17:55:32 Uhr
Goto Top
Zitat von @mayho33:
Das ist der Standard-Wert den man gerne jederzeit ändern kann.

Den möchte ich nicht ändern, problematisch ist das ja nur bei der einen GPO.

Dann müsst ihr das halt so konfigurieren, dass diese GPO nur beim Logon ausgeführt wird.

Das ist leider nicht machbar, da wir auch reine VPN-Anwender haben, die sich bei der Anmeldung keine Verbindung zum DC haben.

Aber die o.g, Lösung von Avoton wird es richten!
Avoton
Avoton 01.01.2023 um 21:09:57 Uhr
Goto Top
Super, dann den Beitrag bitte noch als gelöst markieren face-smile
JoeDevlin
JoeDevlin 02.01.2023 um 12:14:39 Uhr
Goto Top
Habe ich gemacht!

Ich habe das heute durchgetestet und mit Deinen Einstellungen klappt es wunderbar! face-smile
Avoton
Avoton 02.01.2023 um 13:28:43 Uhr
Goto Top
Super, freut mich! face-smile