7
Netzlaufwerke via Logon Skript GPO
Hallo,
derzeit versuche ich einige Freigaben, eines Fileservers außerhalb der Domäne, einigen Benutzern/Computern in der Domäne zur Verfügung zu stellen.
Ein Ansatz war, dass einbinden via Laufwerkszuordnung und Zielgruppenaddressierung, da in diesem Fall, je nach Subnetz, eine andere Freigabe zugewiesen werden muss.
Dieser Ansatz fällt weg, da sinngemäß lediglich Domänenbenutzer, welche auf dem Server identisch existieren durchgereicht werden und dies nur vereinzelt der Fall ist.
Folglich das Verbinden via Logon/Startup Skript.
Trotz aktivieren der GP "Immer ... auf das Netzwerk warten", erscheint nach Logon die Meldung "Es konnten nicht alle Netzlaufwerke verbunden werden".
Evtl. hat jemand eine Idee das ganze - mit Flexibilität vergleichbar zur Zielgruppenaddr. - umzusetzen oder an welcher Stelle die Gruppenrichtlinie hakt.
Alternativ: Lässt sich die entfernte Freigabe als Freigegebener Ordner im AD veröffentlichen und Computern einer gewissen Sicherheitsgruppe als Netzlaufwerk zuweisen?
Gruß
OpSec
derzeit versuche ich einige Freigaben, eines Fileservers außerhalb der Domäne, einigen Benutzern/Computern in der Domäne zur Verfügung zu stellen.
Ein Ansatz war, dass einbinden via Laufwerkszuordnung und Zielgruppenaddressierung, da in diesem Fall, je nach Subnetz, eine andere Freigabe zugewiesen werden muss.
Dieser Ansatz fällt weg, da sinngemäß lediglich Domänenbenutzer, welche auf dem Server identisch existieren durchgereicht werden und dies nur vereinzelt der Fall ist.
Folglich das Verbinden via Logon/Startup Skript.
net use A: \\server\share /User:Share PasswortTrotz aktivieren der GP "Immer ... auf das Netzwerk warten", erscheint nach Logon die Meldung "Es konnten nicht alle Netzlaufwerke verbunden werden".
Evtl. hat jemand eine Idee das ganze - mit Flexibilität vergleichbar zur Zielgruppenaddr. - umzusetzen oder an welcher Stelle die Gruppenrichtlinie hakt.
Alternativ: Lässt sich die entfernte Freigabe als Freigegebener Ordner im AD veröffentlichen und Computern einer gewissen Sicherheitsgruppe als Netzlaufwerk zuweisen?
Gruß
OpSec
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 2874557696
Url: https://administrator.de/contentid/2874557696
Printed on: April 25, 2024 at 06:04 o'clock
7 Comments
Latest comment
Hallo
derzeit versuche ich einige Freigaben, eines Fileservers außerhalb der Domäne, einigen Benutzern/Computern in der Domäne zur Verfügung zu stellen.
Ein Ansatz war, dass einbinden via Laufwerkszuordnung und Zielgruppenaddressierung, da in diesem Fall, je nach Subnetz, eine andere Freigabe zugewiesen werden muss.
Dieser Ansatz fällt weg, da sinngemäß lediglich Domänenbenutzer, welche auf dem Server identisch existieren durchgereicht werden und dies nur vereinzelt der Fall ist.
Folglich das Verbinden via Logon/Startup Skript.
Trotz aktivieren der GP "Immer ... auf das Netzwerk warten", erscheint nach Logon die Meldung "Es konnten nicht alle Netzlaufwerke verbunden werden".
Wie lautet denn die Serveradresse? DNS oder IP ? Lässt der DNS Name sich problemlos auflösen? Prüfe doch vorher einfach, ob die Adresse erreichbar ist und mappe dann erst das Laufwerk.Ein Ansatz war, dass einbinden via Laufwerkszuordnung und Zielgruppenaddressierung, da in diesem Fall, je nach Subnetz, eine andere Freigabe zugewiesen werden muss.
Dieser Ansatz fällt weg, da sinngemäß lediglich Domänenbenutzer, welche auf dem Server identisch existieren durchgereicht werden und dies nur vereinzelt der Fall ist.
Folglich das Verbinden via Logon/Startup Skript.
net use A: \\server\share /User:Share PasswortTrotz aktivieren der GP "Immer ... auf das Netzwerk warten", erscheint nach Logon die Meldung "Es konnten nicht alle Netzlaufwerke verbunden werden".
Evtl. hat jemand eine Idee das ganze - mit Flexibilität vergleichbar zur Zielgruppenaddr. - umzusetzen oder an welcher Stelle die Gruppenrichtlinie hakt.
Gruß
Hallo,
von welchen Betriebssystemen ist die Rede? Wie man eine frage richtig stellt.
Wie immer, zu wenig Informationen um zielgerichtet antworten zu können.
Du willst also externe Benutzer / Computer auf Freigaben einer Domäne zulassen?
Gruss Penny.
von welchen Betriebssystemen ist die Rede? Wie man eine frage richtig stellt.
Wie immer, zu wenig Informationen um zielgerichtet antworten zu können.
Du willst also externe Benutzer / Computer auf Freigaben einer Domäne zulassen?
Gruss Penny.
Passwort im Klartext? Keine schöne Option. Davon abgesehen: wieso kein persistent? Ohne persistent wird das Netz-Laufwerk bei der nächsten Anmeldung nicht automatisch widerverbunden und du bekommst die Meldung "Es konnten nicht alle Netzlaufwerke verbunden werden"
Aber:
1. Du loggst dich ein. Das Netzwerk ist da
2. Das Netzlaufwerk wird nicht verbunden, da persistent in deinem Skript fehlt
3. Das Skript wird durch die aktive Anmeldeskriptverzögerung erst nach 5 Minuten ausgeführt
4. Du wartest aber keine 5 Minuten bis du die Verfügbarkeit des Netzlaufwerk prüfst.
Lösung: Anmeldeskriptverzögerung deaktivieren
Gruß
Doskias
Aber:
Trotz aktivieren der GP "Immer ... auf das Netzwerk warten", erscheint nach Logon die Meldung "Es konnten nicht alle Netzlaufwerke verbunden werden".
Ja und? das Netzwerk ist da. Aber vermutlich hast du die Anmeldeskriptverzögerung nicht deaktiviert. Meine Vermutung:1. Du loggst dich ein. Das Netzwerk ist da
2. Das Netzlaufwerk wird nicht verbunden, da persistent in deinem Skript fehlt
3. Das Skript wird durch die aktive Anmeldeskriptverzögerung erst nach 5 Minuten ausgeführt
4. Du wartest aber keine 5 Minuten bis du die Verfügbarkeit des Netzlaufwerk prüfst.
Lösung: Anmeldeskriptverzögerung deaktivieren
Gruß
Doskias
Hallo
Hallo,
Hallo,
Hallo,
Wie lautet denn die Serveradresse? DNS oder IP ? Lässt der DNS Name sich problemlos auflösen? Prüfe doch vorher einfach, ob die Adresse erreichbar ist und mappe dann erst das Laufwerk.
Wird im Skript als Hostname übergeben. Die Clients in der Testumgebung können diesen auch auflösen.
Ja....den Fileserver in die Domäne aufnehmen.
Dass das keine Option ist, hätte ich erwähnen sollen.
von welchen Betriebssystemen ist die Rede? Wie man eine frage richtig stellt.
Wie immer, zu wenig Informationen um zielgerichtet antworten zu können.
Wie immer, zu wenig Informationen um zielgerichtet antworten zu können.
Samba AD DC unter Ubuntu Server 21.10 und Windows 10 Pro 21H2 Clients
Du willst also externe Benutzer / Computer auf Freigaben einer Domäne zulassen?
Genau Umgekehrt. Und diese dynamisch, je nach Subnetz/Sicherheitsgruppe zuweisen.
Gruß OpSec
Hallo,
Passwort im Klartext? Keine schöne Option. Davon abgesehen: wieso kein persistent? Ohne persistent wird das Netz-Laufwerk bei der nächsten Anmeldung nicht automatisch widerverbunden und du bekommst die Meldung "Es konnten nicht alle Netzlaufwerke verbunden werden"
Die Plain Credentials sind eine andere Baustelle. Das Skript habe ich um persistent:yes ergänzt.
Gewartet habe ich auch länger als 5 Minuten. Nun habe ich die Richtlinie um den genannten Punkt ergänzt.
Immernoch nichts. Angewendet wird die Gruppenrichtlinie aber sehr wohl. Bei manueller Ausführung verbindet sich das Laufwerk ohne Probleme.
Leider nicht.
Gruß OpSec
net use A: \\server\share /User:Share PasswortDie Plain Credentials sind eine andere Baustelle. Das Skript habe ich um persistent:yes ergänzt.
Aber:
Trotz aktivieren der GP "Immer ... auf das Netzwerk warten", erscheint nach Logon die Meldung "Es konnten nicht alle Netzlaufwerke verbunden werden".
Ja und? das Netzwerk ist da. Aber vermutlich hast du die Anmeldeskriptverzögerung nicht deaktiviert. Meine Vermutung:1. Du loggst dich ein. Das Netzwerk ist da
2. Das Netzlaufwerk wird nicht verbunden, da persistent in deinem Skript fehlt
3. Das Skript wird durch die aktive Anmeldeskriptverzögerung erst nach 5 Minuten ausgeführt
4. Du wartest aber keine 5 Minuten bis du die Verfügbarkeit des Netzlaufwerk prüfst.
2. Das Netzlaufwerk wird nicht verbunden, da persistent in deinem Skript fehlt
3. Das Skript wird durch die aktive Anmeldeskriptverzögerung erst nach 5 Minuten ausgeführt
4. Du wartest aber keine 5 Minuten bis du die Verfügbarkeit des Netzlaufwerk prüfst.
Gewartet habe ich auch länger als 5 Minuten. Nun habe ich die Richtlinie um den genannten Punkt ergänzt.
Immernoch nichts. Angewendet wird die Gruppenrichtlinie aber sehr wohl. Bei manueller Ausführung verbindet sich das Laufwerk ohne Probleme.
Lösung: Anmeldeskriptverzögerung deaktivieren
Leider nicht.
Gruß
Doskias
Doskias
Gruß OpSec
Ok, dann weiter mit dem Raten 
Wenn das Skript manuell ausgeführt werden kann und funktioniert, es nicht an der Ausführungsrichtlinie liegt, dann fallen mir spontan dri Dinge ein:
1. Du hast das Skript auch im richtigen Kontext angelegt? Also als Anmelde-Skript des Benutzers in einer Benutzer-GPO und nicht als Computereinstellung?
2. Hast du das Skript auch richtig zugeordnet. Mir passiert es manchmal, dass ich ein PS-Skript als Skript zuordne und nicht als PS-Skript, bzw. umgekehrt.
3. Liegt das Skript auch an einem Ort mit den entsprechenden Berechtigungen, so dass es bei der Anmeldung abgerufen werden kann?
Allgemein: Wenn bei der GPO-Verarbeitung ein Skript (aus welchen Gründen auch immer) nicht geladen werden kann, steht dazu eigentlich immer was in den Protokollen. GPResult zeigt dir nur ob die GPO geladen wurde. Die GPO hat aber ihren Job getan, wenn sie das Skript startet. Wenn das Skript aus irgendeinem Grund nicht gestartet werden kann, ist die GPO dennoch erfolgreich übernommen worden.
Gruß
Doskias
Wenn das Skript manuell ausgeführt werden kann und funktioniert, es nicht an der Ausführungsrichtlinie liegt, dann fallen mir spontan dri Dinge ein:
1. Du hast das Skript auch im richtigen Kontext angelegt? Also als Anmelde-Skript des Benutzers in einer Benutzer-GPO und nicht als Computereinstellung?
2. Hast du das Skript auch richtig zugeordnet. Mir passiert es manchmal, dass ich ein PS-Skript als Skript zuordne und nicht als PS-Skript, bzw. umgekehrt.
3. Liegt das Skript auch an einem Ort mit den entsprechenden Berechtigungen, so dass es bei der Anmeldung abgerufen werden kann?
Allgemein: Wenn bei der GPO-Verarbeitung ein Skript (aus welchen Gründen auch immer) nicht geladen werden kann, steht dazu eigentlich immer was in den Protokollen. GPResult zeigt dir nur ob die GPO geladen wurde. Die GPO hat aber ihren Job getan, wenn sie das Skript startet. Wenn das Skript aus irgendeinem Grund nicht gestartet werden kann, ist die GPO dennoch erfolgreich übernommen worden.
Gruß
Doskias
Zitat von @Doskias:
Ok, dann weiter mit dem Raten
Wenn das Skript manuell ausgeführt werden kann und funktioniert, es nicht an der Ausführungsrichtlinie liegt, dann fallen mir spontan dri Dinge ein:
1. Du hast das Skript auch im richtigen Kontext angelegt? Also als Anmelde-Skript des Benutzers in einer Benutzer-GPO und nicht als Computereinstellung?
Ok, dann weiter mit dem Raten
Wenn das Skript manuell ausgeführt werden kann und funktioniert, es nicht an der Ausführungsrichtlinie liegt, dann fallen mir spontan dri Dinge ein:
1. Du hast das Skript auch im richtigen Kontext angelegt? Also als Anmelde-Skript des Benutzers in einer Benutzer-GPO und nicht als Computereinstellung?
Hallo,
Das Skript liegt im richtigen Kontext, sprich in der OU, in der sich der Benutzer befindet.
Ich habe Sowohl das .bat Skript
net use M: /delete
net use M: \\server\share /user:Domain\Sharebenutzer "Passwort" /persistent:yes net use M: /delete
net use M: \\server\share /user:SERVER\Sharebenutzer "Passwort" /persistent:yes $net = new-object -ComObject WScript.Network
$net.MapNetworkDrive("M:", "\\SERVER\share", $true, "Domain\Shareuser", "Passwort") $net = new-object -ComObject WScript.Network
$net.MapNetworkDrive("M:", "\\SERVER\share", $true, "SERVER\Shareuser", "Passwort") 2. Hast du das Skript auch richtig zugeordnet. Mir passiert es manchmal, dass ich ein PS-Skript als Skript zuordne und nicht als PS-Skript, bzw. umgekehrt.
Ja.
3. Liegt das Skript auch an einem Ort mit den entsprechenden Berechtigungen, so dass es bei der Anmeldung abgerufen werden kann?
Es liegt sowohl im netlogon als auch im "Logon" Ordner der jeweiligen GPO.
Evtl. hat noch jemand eine Idee
Gruß
