4
Netzlaufwerke werden bei zwei Usern nicht per GPO
Hallo Admins,
ich habe ein sehr, sehr kurioses Problem, das bei einem User aufgetreten ist und ich bei meinem Testaccount nachstellen konnte - aber sonst nirgends passiert. Bei ihm werden Netzlaufwerke nicht verbunden, obwohl alle Bedingungen erfüllt sind.
Die Infrastruktur ist wie folgt: Als DC dient ein Server 2008 x64. Das Problem tritt auf bei einem Terminalserver 2008 x64.
Die Laufwerke werden über eine GPO verteilt, in der alle Laufwerke aufgeführt werden. Bei jedem Laufwerk wird über die Zielgruppenadressierung bestimmt, welcher Gruppe ein User angehören muss, damit das Laufwerk verbunden wird. Zwei Laufwerke werden allen Usern verbunden.
Aufgefallen ist es bei ihm, weil er sich per RDP angemeldet hat und keine Netzlaufwerke hatte. gpresult /r liefert, dass die GPO angewendet wird und er in den richtigen Gruppen ist. Wenn ich ihn zum testen an einen lokalen PC in der Domäne anmelde, werden die Laufwerke verbunden.
Andere User, die die exakt selben Gruppenzugehörigkeiten haben, haben das Problem allerdings nicht. Ich habe eine Kopie von meinem Testaccount gemacht und bei dem kopierten Account funktioniert es wunderbar.
Was mich vollends aus der Bahn wirft, ist folgendes:
Hier habe ich den Tipp bekommen, die GPO neu anzulegen. Ich bin also her, habe die GPO kopiert und die alte umbenannt. Hat auf den ersten Blick funktioniert. Als ich die alte jedoch deaktiviert habe, hat es die Netzlaufwerke wieder nicht verbunden.
Sprich: Wenn ich beide GPOs, die originale und die kopierte, verknüpft habe, werden die Laufwerke verbunden. Deaktivere ich eine von beiden (und es ist egal welche), dann werden die Laufwerke nicht verbunden.
Ich bin kein Experte bei GPOs, aber für mich macht das trotzdem absolut keinen Sinn... Hat von euch jemand einen Tipp, was ich noch versuchen könnte? Ich würde ungern das Profil neu anlegen, wenn es sich vermeiden lässt.
Vielen Dank im Voraus,
Dragen
ich habe ein sehr, sehr kurioses Problem, das bei einem User aufgetreten ist und ich bei meinem Testaccount nachstellen konnte - aber sonst nirgends passiert. Bei ihm werden Netzlaufwerke nicht verbunden, obwohl alle Bedingungen erfüllt sind.
Die Infrastruktur ist wie folgt: Als DC dient ein Server 2008 x64. Das Problem tritt auf bei einem Terminalserver 2008 x64.
Die Laufwerke werden über eine GPO verteilt, in der alle Laufwerke aufgeführt werden. Bei jedem Laufwerk wird über die Zielgruppenadressierung bestimmt, welcher Gruppe ein User angehören muss, damit das Laufwerk verbunden wird. Zwei Laufwerke werden allen Usern verbunden.
Aufgefallen ist es bei ihm, weil er sich per RDP angemeldet hat und keine Netzlaufwerke hatte. gpresult /r liefert, dass die GPO angewendet wird und er in den richtigen Gruppen ist. Wenn ich ihn zum testen an einen lokalen PC in der Domäne anmelde, werden die Laufwerke verbunden.
Andere User, die die exakt selben Gruppenzugehörigkeiten haben, haben das Problem allerdings nicht. Ich habe eine Kopie von meinem Testaccount gemacht und bei dem kopierten Account funktioniert es wunderbar.
Was mich vollends aus der Bahn wirft, ist folgendes:
Hier habe ich den Tipp bekommen, die GPO neu anzulegen. Ich bin also her, habe die GPO kopiert und die alte umbenannt. Hat auf den ersten Blick funktioniert. Als ich die alte jedoch deaktiviert habe, hat es die Netzlaufwerke wieder nicht verbunden.
Sprich: Wenn ich beide GPOs, die originale und die kopierte, verknüpft habe, werden die Laufwerke verbunden. Deaktivere ich eine von beiden (und es ist egal welche), dann werden die Laufwerke nicht verbunden.
Ich bin kein Experte bei GPOs, aber für mich macht das trotzdem absolut keinen Sinn... Hat von euch jemand einen Tipp, was ich noch versuchen könnte? Ich würde ungern das Profil neu anlegen, wenn es sich vermeiden lässt.
Vielen Dank im Voraus,
Dragen
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 315240
Url: https://administrator.de/contentid/315240
Printed on: April 19, 2024 at 20:04 o'clock
4 Comments
Latest comment
Hi,
Existieren in der GPO ggf. irgendwelche Filter (Zielgruppenadressierung), wie z.B "Organisationseinheit ist [Name der OU] oder ein untergeordnetes Element davon."?
Dann würde m.W.n. zwar die GPO angewandt werden, das Laufwerk aufgrund der Zielgruppenaddressierung nicht verbunden/ erstellt werden.
Wie verhält es sich denn, wenn dein Testaccount sich via RDP anmeldet?
Was mich vollends aus der Bahn wirft, ist folgendes:
Hier habe ich den Tipp bekommen, die GPO neu anzulegen. Ich bin also her, habe die GPO kopiert und die alte umbenannt. Hat auf den ersten Blick funktioniert. Als ich die alte jedoch deaktiviert habe, hat es die Netzlaufwerke wieder nicht verbunden.
Sprich: Wenn ich beide GPOs, die originale und die kopierte, verknüpft habe, werden die Laufwerke verbunden. Deaktivere ich eine von beiden (und es ist egal welche), dann werden die Laufwerke nicht verbunden.
Mysteriös...
prüfen wir aber erstmal die obigen Fragen/ Einstellungen
Gruß
em-pie
Zitat von @dragonstyn:
[..]
Aufgefallen ist es bei ihm, weil er sich per RDP angemeldet hat und keine Netzlaufwerke hatte. gpresult /r liefert, dass die GPO angewendet wird und er in den richtigen Gruppen ist. Wenn ich ihn zum testen an einen lokalen PC in der Domäne anmelde, werden die Laufwerke verbunden.
Andere User, die die exakt selben Gruppenzugehörigkeiten haben, haben das Problem allerdings nicht. Ich habe eine Kopie von meinem Testaccount gemacht und bei dem kopierten Account funktioniert es wunderbar.
[..]
Aufgefallen ist es bei ihm, weil er sich per RDP angemeldet hat und keine Netzlaufwerke hatte. gpresult /r liefert, dass die GPO angewendet wird und er in den richtigen Gruppen ist. Wenn ich ihn zum testen an einen lokalen PC in der Domäne anmelde, werden die Laufwerke verbunden.
Andere User, die die exakt selben Gruppenzugehörigkeiten haben, haben das Problem allerdings nicht. Ich habe eine Kopie von meinem Testaccount gemacht und bei dem kopierten Account funktioniert es wunderbar.
Existieren in der GPO ggf. irgendwelche Filter (Zielgruppenadressierung), wie z.B "Organisationseinheit ist [Name der OU] oder ein untergeordnetes Element davon."?
Dann würde m.W.n. zwar die GPO angewandt werden, das Laufwerk aufgrund der Zielgruppenaddressierung nicht verbunden/ erstellt werden.
Wie verhält es sich denn, wenn dein Testaccount sich via RDP anmeldet?
Was mich vollends aus der Bahn wirft, ist folgendes:
Hier habe ich den Tipp bekommen, die GPO neu anzulegen. Ich bin also her, habe die GPO kopiert und die alte umbenannt. Hat auf den ersten Blick funktioniert. Als ich die alte jedoch deaktiviert habe, hat es die Netzlaufwerke wieder nicht verbunden.
Sprich: Wenn ich beide GPOs, die originale und die kopierte, verknüpft habe, werden die Laufwerke verbunden. Deaktivere ich eine von beiden (und es ist egal welche), dann werden die Laufwerke nicht verbunden.
Mysteriös...
prüfen wir aber erstmal die obigen Fragen/ Einstellungen
Gruß
em-pie
Die Sicherheitsfilterungen sehen aus wie folgt:
Grundlegend gilt die GPO für "Authentifizierte Benutzer" und diese haben Lesenden Zugriff.
Innerhalb der GPO wird für jedes Laufwerk separat über die Zielgruppenadressierung festgelegt, welche spezifische Benutzergruppen das Laufwerk verbunden bekommen, z.B. bekommen User nur das Laufwerk J verbunden, wenn sie der Benutzerguppe "Laufwerk J" angehören.
Wie erwähnt: gpresult /r liefert mir, dass die GPO angewandt wird und er den entsprechenden Benutzergruppen angehört, in dem Beispiel Testaccount wären das N, S und W.
Dazu müssten Q und Z kommen, die jeder bekommt und keine Zielgruppenadressierung haben. Demnach sollten ja "Authentifizierte Benutzer" diese bekommen - was ja alle User sind, die sich in der Domäne authentifizieren (so habe ich das zumindest verstanden - soll jetzt aber auch nich Diskussionsthema sein).
Ich habe mal einen Screenshot angehängt von dem großteil des Ausgabe von gpresult. Die Drucker - GPOs sind im Moment noch nach Standorten angelegt - nicht optimal, aber die Drucker als Objekt in der AD habe ich nicht hinbekommen und soll auch nicht Thema sein, das wird noch ein Projekt für sich.
Hilft das?
Grundlegend gilt die GPO für "Authentifizierte Benutzer" und diese haben Lesenden Zugriff.
Innerhalb der GPO wird für jedes Laufwerk separat über die Zielgruppenadressierung festgelegt, welche spezifische Benutzergruppen das Laufwerk verbunden bekommen, z.B. bekommen User nur das Laufwerk J verbunden, wenn sie der Benutzerguppe "Laufwerk J" angehören.
Wie erwähnt: gpresult /r liefert mir, dass die GPO angewandt wird und er den entsprechenden Benutzergruppen angehört, in dem Beispiel Testaccount wären das N, S und W.
Dazu müssten Q und Z kommen, die jeder bekommt und keine Zielgruppenadressierung haben. Demnach sollten ja "Authentifizierte Benutzer" diese bekommen - was ja alle User sind, die sich in der Domäne authentifizieren (so habe ich das zumindest verstanden - soll jetzt aber auch nich Diskussionsthema sein).
Ich habe mal einen Screenshot angehängt von dem großteil des Ausgabe von gpresult. Die Drucker - GPOs sind im Moment noch nach Standorten angelegt - nicht optimal, aber die Drucker als Objekt in der AD habe ich nicht hinbekommen und soll auch nicht Thema sein, das wird noch ein Projekt für sich.
Hilft das?
Hat sonst niemand eine Idee?
Ich habe auch mal die GPO komplett frisch erstellt, also nicht kopiert, sondern alle Zuweisungen neu eingetragen - keine Änderung...
