opsec2022
Goto Top

Netzlaufwerke via Logon Skript GPO

Hallo,

derzeit versuche ich einige Freigaben, eines Fileservers außerhalb der Domäne, einigen Benutzern/Computern in der Domäne zur Verfügung zu stellen.
Ein Ansatz war, dass einbinden via Laufwerkszuordnung und Zielgruppenaddressierung, da in diesem Fall, je nach Subnetz, eine andere Freigabe zugewiesen werden muss.
Dieser Ansatz fällt weg, da sinngemäß lediglich Domänenbenutzer, welche auf dem Server identisch existieren durchgereicht werden und dies nur vereinzelt der Fall ist.
Folglich das Verbinden via Logon/Startup Skript.

net use A: \\server\share /User:Share Passwort

Trotz aktivieren der GP "Immer ... auf das Netzwerk warten", erscheint nach Logon die Meldung "Es konnten nicht alle Netzlaufwerke verbunden werden".

Evtl. hat jemand eine Idee das ganze - mit Flexibilität vergleichbar zur Zielgruppenaddr. - umzusetzen oder an welcher Stelle die Gruppenrichtlinie hakt.

Alternativ: Lässt sich die entfernte Freigabe als Freigegebener Ordner im AD veröffentlichen und Computern einer gewissen Sicherheitsgruppe als Netzlaufwerk zuweisen?

Gruß

OpSec

Content-ID: 2874557696

Url: https://administrator.de/contentid/2874557696

Ausgedruckt am: 22.11.2024 um 03:11 Uhr

tech-flare
tech-flare 23.05.2022 um 13:02:46 Uhr
Goto Top
Zitat von @opsec2022:

Hallo,

Hallo
derzeit versuche ich einige Freigaben, eines Fileservers außerhalb der Domäne, einigen Benutzern/Computern in der Domäne zur Verfügung zu stellen.
Ein Ansatz war, dass einbinden via Laufwerkszuordnung und Zielgruppenaddressierung, da in diesem Fall, je nach Subnetz, eine andere Freigabe zugewiesen werden muss.
Dieser Ansatz fällt weg, da sinngemäß lediglich Domänenbenutzer, welche auf dem Server identisch existieren durchgereicht werden und dies nur vereinzelt der Fall ist.
Folglich das Verbinden via Logon/Startup Skript.

net use A: \\server\share /User:Share Passwort

Trotz aktivieren der GP "Immer ... auf das Netzwerk warten", erscheint nach Logon die Meldung "Es konnten nicht alle Netzlaufwerke verbunden werden".
Wie lautet denn die Serveradresse? DNS oder IP ? Lässt der DNS Name sich problemlos auflösen? Prüfe doch vorher einfach, ob die Adresse erreichbar ist und mappe dann erst das Laufwerk.


Evtl. hat jemand eine Idee das ganze - mit Flexibilität vergleichbar zur Zielgruppenaddr. - umzusetzen oder an welcher Stelle die Gruppenrichtlinie hakt.
Ja....den Fileserver in die Domäne aufnehmen.

Gruß
Penny.Cilin
Penny.Cilin 23.05.2022 um 13:22:53 Uhr
Goto Top
Hallo,
von welchen Betriebssystemen ist die Rede? Wie man eine frage richtig stellt.
Wie immer, zu wenig Informationen um zielgerichtet antworten zu können.

Du willst also externe Benutzer / Computer auf Freigaben einer Domäne zulassen?

Gruss Penny.
Doskias
Doskias 23.05.2022 um 13:26:04 Uhr
Goto Top
Zitat von @opsec2022:
net use A: \\server\share /User:Share Passwort
Passwort im Klartext? Keine schöne Option. Davon abgesehen: wieso kein persistent? Ohne persistent wird das Netz-Laufwerk bei der nächsten Anmeldung nicht automatisch widerverbunden und du bekommst die Meldung "Es konnten nicht alle Netzlaufwerke verbunden werden"

Aber:
Trotz aktivieren der GP "Immer ... auf das Netzwerk warten", erscheint nach Logon die Meldung "Es konnten nicht alle Netzlaufwerke verbunden werden".
Ja und? das Netzwerk ist da. Aber vermutlich hast du die Anmeldeskriptverzögerung nicht deaktiviert. Meine Vermutung:

1. Du loggst dich ein. Das Netzwerk ist da
2. Das Netzlaufwerk wird nicht verbunden, da persistent in deinem Skript fehlt
3. Das Skript wird durch die aktive Anmeldeskriptverzögerung erst nach 5 Minuten ausgeführt
4. Du wartest aber keine 5 Minuten bis du die Verfügbarkeit des Netzlaufwerk prüfst.

Lösung: Anmeldeskriptverzögerung deaktivieren

Gruß
Doskias
opsec2022
opsec2022 23.05.2022 um 13:34:13 Uhr
Goto Top
Hallo
Hallo,

Hallo,

Wie lautet denn die Serveradresse? DNS oder IP ? Lässt der DNS Name sich problemlos auflösen? Prüfe doch vorher einfach, ob die Adresse erreichbar ist und mappe dann erst das Laufwerk.

Wird im Skript als Hostname übergeben. Die Clients in der Testumgebung können diesen auch auflösen.

Ja....den Fileserver in die Domäne aufnehmen.

Dass das keine Option ist, hätte ich erwähnen sollen.

von welchen Betriebssystemen ist die Rede? Wie man eine frage richtig stellt.
Wie immer, zu wenig Informationen um zielgerichtet antworten zu können.

Samba AD DC unter Ubuntu Server 21.10 und Windows 10 Pro 21H2 Clients

Du willst also externe Benutzer / Computer auf Freigaben einer Domäne zulassen?

Genau Umgekehrt. Und diese dynamisch, je nach Subnetz/Sicherheitsgruppe zuweisen.

Gruß OpSec
opsec2022
opsec2022 23.05.2022 aktualisiert um 14:31:21 Uhr
Goto Top
Hallo,

net use A: \\server\share /User:Share Passwort
Passwort im Klartext? Keine schöne Option. Davon abgesehen: wieso kein persistent? Ohne persistent wird das Netz-Laufwerk bei der nächsten Anmeldung nicht automatisch widerverbunden und du bekommst die Meldung "Es konnten nicht alle Netzlaufwerke verbunden werden"

Die Plain Credentials sind eine andere Baustelle. Das Skript habe ich um persistent:yes ergänzt.

Aber:
Trotz aktivieren der GP "Immer ... auf das Netzwerk warten", erscheint nach Logon die Meldung "Es konnten nicht alle Netzlaufwerke verbunden werden".
Ja und? das Netzwerk ist da. Aber vermutlich hast du die Anmeldeskriptverzögerung nicht deaktiviert. Meine Vermutung:

1. Du loggst dich ein. Das Netzwerk ist da
2. Das Netzlaufwerk wird nicht verbunden, da persistent in deinem Skript fehlt
3. Das Skript wird durch die aktive Anmeldeskriptverzögerung erst nach 5 Minuten ausgeführt
4. Du wartest aber keine 5 Minuten bis du die Verfügbarkeit des Netzlaufwerk prüfst.

Gewartet habe ich auch länger als 5 Minuten. Nun habe ich die Richtlinie um den genannten Punkt ergänzt.
Immernoch nichts. Angewendet wird die Gruppenrichtlinie aber sehr wohl. Bei manueller Ausführung verbindet sich das Laufwerk ohne Probleme.

Lösung: Anmeldeskriptverzögerung deaktivieren

Leider nicht.

Gruß
Doskias

Gruß OpSec
Doskias
Doskias 23.05.2022 aktualisiert um 16:51:30 Uhr
Goto Top
Ok, dann weiter mit dem Raten face-smile

Wenn das Skript manuell ausgeführt werden kann und funktioniert, es nicht an der Ausführungsrichtlinie liegt, dann fallen mir spontan dri Dinge ein:

1. Du hast das Skript auch im richtigen Kontext angelegt? Also als Anmelde-Skript des Benutzers in einer Benutzer-GPO und nicht als Computereinstellung?

2. Hast du das Skript auch richtig zugeordnet. Mir passiert es manchmal, dass ich ein PS-Skript als Skript zuordne und nicht als PS-Skript, bzw. umgekehrt.

3. Liegt das Skript auch an einem Ort mit den entsprechenden Berechtigungen, so dass es bei der Anmeldung abgerufen werden kann?

Allgemein: Wenn bei der GPO-Verarbeitung ein Skript (aus welchen Gründen auch immer) nicht geladen werden kann, steht dazu eigentlich immer was in den Protokollen. GPResult zeigt dir nur ob die GPO geladen wurde. Die GPO hat aber ihren Job getan, wenn sie das Skript startet. Wenn das Skript aus irgendeinem Grund nicht gestartet werden kann, ist die GPO dennoch erfolgreich übernommen worden.

Gruß
Doskias
opsec2022
opsec2022 14.06.2022 um 13:56:13 Uhr
Goto Top
Zitat von @Doskias:

Ok, dann weiter mit dem Raten face-smile

Wenn das Skript manuell ausgeführt werden kann und funktioniert, es nicht an der Ausführungsrichtlinie liegt, dann fallen mir spontan dri Dinge ein:

1. Du hast das Skript auch im richtigen Kontext angelegt? Also als Anmelde-Skript des Benutzers in einer Benutzer-GPO und nicht als Computereinstellung?

Hallo,

Das Skript liegt im richtigen Kontext, sprich in der OU, in der sich der Benutzer befindet.

Ich habe Sowohl das .bat Skript

net use M: /delete
net use M: \\server\share /user:Domain\Sharebenutzer "Passwort" /persistent:yes  
und
net use M: /delete
net use M: \\server\share /user:SERVER\Sharebenutzer "Passwort" /persistent:yes  
als auch ein PS-Skript
$net = new-object -ComObject WScript.Network
$net.MapNetworkDrive("M:", "\\SERVER\share", $true, "Domain\Shareuser", "Passwort")  
und
$net = new-object -ComObject WScript.Network
$net.MapNetworkDrive("M:", "\\SERVER\share", $true, "SERVER\Shareuser", "Passwort")  
versucht.

2. Hast du das Skript auch richtig zugeordnet. Mir passiert es manchmal, dass ich ein PS-Skript als Skript zuordne und nicht als PS-Skript, bzw. umgekehrt.

Ja.

3. Liegt das Skript auch an einem Ort mit den entsprechenden Berechtigungen, so dass es bei der Anmeldung abgerufen werden kann?

Es liegt sowohl im netlogon als auch im "Logon" Ordner der jeweiligen GPO.

Evtl. hat noch jemand eine Idee

Gruß