24
Persönliches Laufwerk per GPO
Ich möchte für jeden User ein persönliches Laufwerk P einrichten:
soweit so gut, mit der hier eingestellten Aktion "Aktualisieren" komme ich auf P: (\\SRV-1\Benutzer\) und nicht auf \\SRV-1\Benutzer\User
Wenn ich allerdings die Aktion "Ersetzten" wähle lande ich richtig, nur kommt es zu unerwünschten Unterbrechungen im laufenden Betrieb.
Ich möchte eine feste Zuordnung ohne jede Unterbrechung solange der User aktiv ist.
Wie erreiche ich das?
soweit so gut, mit der hier eingestellten Aktion "Aktualisieren" komme ich auf P: (\\SRV-1\Benutzer\) und nicht auf \\SRV-1\Benutzer\User
Wenn ich allerdings die Aktion "Ersetzten" wähle lande ich richtig, nur kommt es zu unerwünschten Unterbrechungen im laufenden Betrieb.
Ich möchte eine feste Zuordnung ohne jede Unterbrechung solange der User aktiv ist.
Wie erreiche ich das?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 603158
Url: https://administrator.de/forum/persoenliches-laufwerk-per-gpo-603158.html
Ausgedruckt am: 11.01.2025 um 01:01 Uhr
24 Kommentare
Neuester Kommentar
Über die Aktion "Erstellen" oder die Option "Nur einmalig anwenden" auswählen. Warum machst du das nicht über die AD-User-Eigenschaften?
Moin,
Nimm die Variable %USERNAME% und dann klappt das auch!
Läuft hier exakt so. Nur dass es hier erstellen und nicht aktualisieren ist. Letzteres sorgt dafür, dass mitten am Tag das Laufwerk kurz weg und dann wieder da ist... das mögen Programme und Anwender nicht immer
Gruß
em-pie
Nimm die Variable %USERNAME% und dann klappt das auch!
Läuft hier exakt so. Nur dass es hier erstellen und nicht aktualisieren ist. Letzteres sorgt dafür, dass mitten am Tag das Laufwerk kurz weg und dann wieder da ist... das mögen Programme und Anwender nicht immer
Gruß
em-pie
Moin,
Ich verstehe deine Konfiguration vom Sinn her nicht. Wieso machst du Domänen-Benutzer und LogonUser bei der Zielgruppenadressierung?
Dein "Problem" ist vermutlich die Angabe mit dem Speicherort. Versuch mal:
\\SRV-1\Benutzer\%username%
Ich verstehe deine Konfiguration vom Sinn her nicht. Wieso machst du Domänen-Benutzer und LogonUser bei der Zielgruppenadressierung?
Dein "Problem" ist vermutlich die Angabe mit dem Speicherort. Versuch mal:
\\SRV-1\Benutzer\%username%
Erstellen mit %USERNAME% führt auch nur zu P: (\\SRV-1\Benutzer\)
Wenn du %username% hinter der Pfad einträgst und auf Übernehmen drückst, wird die Variable aufgelöst.
Das läuft hier auch so, wie es soll - auch mit Aktualisieren.
Das läuft hier auch so, wie es soll - auch mit Aktualisieren.
Erstellen mit %USERNAME% führt auch nur zu P: (\\SRV-1\Benutzer\)
Also hier läuft das wie geschmiert:
Clients sind:
- Windows 7, Windows 8.1 und Windows 10
- Windows Server 2008R2, Windows Server 2012R2 und Windows Server 2016
Keine Probleme.
Edit:
Der Ordner des jeweiligen Benutzers existiert aber schon, oder?
Also wenn der Username jdoe lautet, muss es selbstredend das Verzeichnis \\svr-1\Benutzer\jdoe geben und auch die Berechtigungen darauf richtig gesetzt sein
Edit2: Es gibt aber keine andere, noch aktive GPO, die das Laufwerk mapped, oder? nicht, dass die zweite GPO deine ganzen Einstellungen munter überschreibt... ich würde das mal zunächst mit einem anderen Buchstaben testen...
Edit:
Ja der Ordner existiert! (Es funktioniert ja mit Ersetzten)
Edit2:
Nein, es gibt keine zweite GPO die dieses Laufwerk mapped?
Ja der Ordner existiert! (Es funktioniert ja mit Ersetzten)
Edit2:
Nein, es gibt keine zweite GPO die dieses Laufwerk mapped?
Entferne auch mal in der Sicherheitsfilterung den AND Benutzer ist %LogonUser% komplett.
Das ergibt ja keinen Sinn: "Erstelle ein Netzlaufwerk zu deinem eigenen Ordner, wenn du in der Gruppe Domänen-Benutzer bist UND du = du bist"
Zudem ist %logonuser% keine offizielle Umgebungsvariable.
Nutze, wie oben schon beschrieben %username%
Das ergibt ja keinen Sinn: "Erstelle ein Netzlaufwerk zu deinem eigenen Ordner, wenn du in der Gruppe Domänen-Benutzer bist UND du = du bist"
Zudem ist %logonuser% keine offizielle Umgebungsvariable.
Nutze, wie oben schon beschrieben %username%
Moin Zusammen,
Würde ich auch sagen, das macht absolut keinen Sinn.
Dem schliesse ich mich ebenfalls 1:1 an, LogonUser ist eine Funktion und keine Umgebungsvariable.
Kann man aber auch ganz einfach testen, dass es als Umgebungsvariable nichts taugt.
Einfach mal in der Eingabeaufforderung auf einem Windows 10 zuerst
eingeben und anschliessend
👍👍👍
Ferner ist es auch noch wichtig zu wissen wo du diese Gruppenrichtlinie im AD verknüpft hast.
Grüsse aus BaWü
Alex
Entferne auch mal in der Sicherheitsfilterung den AND Benutzer ist %LogonUser% komplett.
Würde ich auch sagen, das macht absolut keinen Sinn.
Zudem ist %logonuser% keine offizielle Umgebungsvariable.
Dem schliesse ich mich ebenfalls 1:1 an, LogonUser ist eine Funktion und keine Umgebungsvariable.
Kann man aber auch ganz einfach testen, dass es als Umgebungsvariable nichts taugt.
Einfach mal in der Eingabeaufforderung auf einem Windows 10 zuerst
echo %LogonUser%echo %username%Nutze, wie oben schon beschrieben %username%
👍👍👍
Ferner ist es auch noch wichtig zu wissen wo du diese Gruppenrichtlinie im AD verknüpft hast.
Grüsse aus BaWü
Alex
@KlausiMaus:
Hallo.
Prima. Gibt's bei uns auch, bei uns ist das der Buchstabe H:\, H für "Home".
Aber das hier:
hab' ich - für diesen Zweck (persönl. LW für einen User) - noch nie gesehen.
Das macht man, seit es Microsoft-Windows-Active-Directory-Domänen gibt, also seit circa 20 Jahren, eigentlich hiermit:
Also mit dem AD-Snap-In "Benutzer und Computer" in den Eigenschaften des Benutzers, im Register "Profil".
Probier's doch mal damit, das funktioniert einwandfrei.
Viele Grüße
von
departure69
Hallo.
Ich möchte für jeden User ein persönliches Laufwerk P einrichten:
Prima. Gibt's bei uns auch, bei uns ist das der Buchstabe H:\, H für "Home".
Aber das hier:
per GPO
hab' ich - für diesen Zweck (persönl. LW für einen User) - noch nie gesehen.
Das macht man, seit es Microsoft-Windows-Active-Directory-Domänen gibt, also seit circa 20 Jahren, eigentlich hiermit:
Also mit dem AD-Snap-In "Benutzer und Computer" in den Eigenschaften des Benutzers, im Register "Profil".
Probier's doch mal damit, das funktioniert einwandfrei.
Viele Grüße
von
departure69
Hi departure69,
so wie du das schon selber schreibst, das war der Stand vor 20 Jahren.
Seit > 10 Jahren gibt es aber die GPOs die unter anderem auch diese Anforderung mit abdecken, genau so wie Drucker mounten und > 100.000 andere Dinge.
Grüsse aus BaWü
Alex
Das macht man, seit es Microsoft-Windows-Active-Directory-Domänen gibt, also seit circa 20 Jahren, eigentlich hiermit:
so wie du das schon selber schreibst, das war der Stand vor 20 Jahren.
Seit > 10 Jahren gibt es aber die GPOs die unter anderem auch diese Anforderung mit abdecken, genau so wie Drucker mounten und > 100.000 andere Dinge.
Grüsse aus BaWü
Alex
@departure69
Du musst es ihm schon schmackhaft machen. Sonst kommt die Frage, ob man das für jeden User manuell machen muss. Nein, muss man nicht. Alle User markieren und dann auf Eigenschaften - Profil. Auch hier mit %username% arbeiten. Wenn der Ordner nicht vorhanden ist, wird er mit korrekten Berechtigungen angelegt. Nur der Ordner drüber sollte nix nach unten vererben.
Du musst es ihm schon schmackhaft machen. Sonst kommt die Frage, ob man das für jeden User manuell machen muss. Nein, muss man nicht. Alle User markieren und dann auf Eigenschaften - Profil. Auch hier mit %username% arbeiten. Wenn der Ordner nicht vorhanden ist, wird er mit korrekten Berechtigungen angelegt. Nur der Ordner drüber sollte nix nach unten vererben.
1
@MysticFoxDE:
Hallo.
Nein, das ist der Stand seit 20 Jahren, und mir fällt kein Grund ein, warum das nicht mehr aktuell sein sollte. Ich hab' schon in mehreren Häusern gearbeitet, nirgendwo wurden die User-Homes per GPO verbunden, sondern überall als Home-Laufwerk in den AD-Eigenschaften des Users.
Bloß, weil es das schon seit 20 Jahren gibt, ist es weder falsch noch kaputt. Funktioniert hervorragend. Und es ist viel einfacher und übersichtlicher, weil ich das für jeden User in seinen persönlichen Eigenschaften ansehen kann, ohne erst in den GPO-/GPP-Editierdschungel reinschauen zu müssen.
Weitere Netzlaufwerke - für andere/weitere und/oder speziellere Zwecke - setze ich auch per GPO (manche aber auch noch per Logon-Skript, das ist bei uns standortabhängig).
Vielleicht ist das auch bloß Geschmackssache, ich kann dem TE nur sagen: "Mach's so, wie es - für diesen Zweck - vorgesehen ist, dann funktioniert's".
Viele Grüße
von
departure69
Hallo.
so wie du das schon selber schreibst, das war der Stand vor 20 Jahren.
Nein, das ist der Stand seit 20 Jahren, und mir fällt kein Grund ein, warum das nicht mehr aktuell sein sollte. Ich hab' schon in mehreren Häusern gearbeitet, nirgendwo wurden die User-Homes per GPO verbunden, sondern überall als Home-Laufwerk in den AD-Eigenschaften des Users.
Bloß, weil es das schon seit 20 Jahren gibt, ist es weder falsch noch kaputt. Funktioniert hervorragend. Und es ist viel einfacher und übersichtlicher, weil ich das für jeden User in seinen persönlichen Eigenschaften ansehen kann, ohne erst in den GPO-/GPP-Editierdschungel reinschauen zu müssen.
Weitere Netzlaufwerke - für andere/weitere und/oder speziellere Zwecke - setze ich auch per GPO (manche aber auch noch per Logon-Skript, das ist bei uns standortabhängig).
Vielleicht ist das auch bloß Geschmackssache, ich kann dem TE nur sagen: "Mach's so, wie es - für diesen Zweck - vorgesehen ist, dann funktioniert's".
Viele Grüße
von
departure69
@luci0815:
Hallo.
Einer der größten Vorteile dieser Methode. Besser geht's nicht.
Viele Grüße
von
departure69
Hallo.
Wenn der Ordner nicht vorhanden ist, wird er mit korrekten Berechtigungen angelegt.
Einer der größten Vorteile dieser Methode. Besser geht's nicht.
Viele Grüße
von
departure69
Moin departure69,
Das es so ist wollte ich auch nicht behaupten. ☮
Das wiederum würde ich definitiv wie du es auch schon selbst sagst unter Geschmackssache verpacken.
Grüsse aus BaWü
Alex
Bloß, weil es das schon seit 20 Jahren gibt, ist es weder falsch noch kaputt.
Das es so ist wollte ich auch nicht behaupten. ☮
Funktioniert hervorragend. Und es ist viel einfacher und übersichtlicher, weil ich das für jeden User in seinen persönlichen Eigenschaften ansehen kann, ohne erst in den GPO-/GPP-Editierdschungel reinschauen zu müssen.
Das wiederum würde ich definitiv wie du es auch schon selbst sagst unter Geschmackssache verpacken.
Grüsse aus BaWü
Alex
Hallo,
sorry, wenn ich hier reinfrage.
Kannst du die korrekten NTFS + Netzwerk-Berechtigungen nennen?
Vielen Dank
sorry, wenn ich hier reinfrage.
Zitat von @Inf1d3l:
@departure69
Wenn der Ordner nicht vorhanden ist, wird er mit korrekten Berechtigungen angelegt. Nur der Ordner drüber sollte nix nach unten vererben.
@departure69
Wenn der Ordner nicht vorhanden ist, wird er mit korrekten Berechtigungen angelegt. Nur der Ordner drüber sollte nix nach unten vererben.
Kannst du die korrekten NTFS + Netzwerk-Berechtigungen nennen?
Vielen Dank
@support-it:
Ja, kann ich.
Allerdings vererbe ich sehr wohl in die jeweiligen, einzelnen User-Homes hinein. Normalerweise kriegt der User bei der AD-Methode Vollzugriffsrechte. Ich will aber nicht, daß die User aus ihrem Home-Bereich ausführbare Dateien (*.exe u. a.) ausführen können, deswegen stehen die authentifizierten Benutzer schon im zentral übergeordneten Verzeichnis "Homes" (freigegeben als "Homes$") als entsprechende Gruppe mit drin und werden rechteseitig vererbt. Sie haben weiterhin alle möglichen Rechte, ich nehme ihnen nur das Ausführen-Recht. Sonst dürfen sie alles.
Die im Screenshot sichtbare lokale Benutzergruppe (die dürften auch ausführen) haben darauf keinen Einfluß, ist hier ein Schönheitsfehler. Könnt' ich mal rausnehmen.
Viele Grüße
von
departure69
Ja, kann ich
.Allerdings vererbe ich sehr wohl in die jeweiligen, einzelnen User-Homes hinein. Normalerweise kriegt der User bei der AD-Methode Vollzugriffsrechte. Ich will aber nicht, daß die User aus ihrem Home-Bereich ausführbare Dateien (*.exe u. a.) ausführen können, deswegen stehen die authentifizierten Benutzer schon im zentral übergeordneten Verzeichnis "Homes" (freigegeben als "Homes$") als entsprechende Gruppe mit drin und werden rechteseitig vererbt. Sie haben weiterhin alle möglichen Rechte, ich nehme ihnen nur das Ausführen-Recht. Sonst dürfen sie alles
.Die im Screenshot sichtbare lokale Benutzergruppe (die dürften auch ausführen) haben darauf keinen Einfluß, ist hier ein Schönheitsfehler. Könnt' ich mal rausnehmen.
Viele Grüße
von
departure69
Gefährlich, denn beim Anlegen des Homes über die AD-Konsole wird die Vererbung von oben nicht deaktiviert. So können deine User auf die Homes anderer User zugreifen.
@luci0815:
Das ich das darüberliegende Verzeichnis einmal mit den korrekten Berechtigungen versehen und dessen Vererbung entsprechend gesteuert haben muß (das ist genau einmal für alle Zeiten zu erledigen), dürfte wohl klar sein.
Meine Leute können definitiv nicht in die Homes anderer User hineinsehen.
Viele Grüße
von
departure69
Das ich das darüberliegende Verzeichnis einmal mit den korrekten Berechtigungen versehen und dessen Vererbung entsprechend gesteuert haben muß (das ist genau einmal für alle Zeiten zu erledigen), dürfte wohl klar sein.
Meine Leute können definitiv nicht in die Homes anderer User hineinsehen.
Viele Grüße
von
departure69
Zitat von @Inf1d3l:
Gefährlich, denn beim Anlegen des Homes über die AD-Konsole wird die Vererbung von oben nicht deaktiviert. So können deine User auf die Homes anderer User zugreifen.
Hi,Gefährlich, denn beim Anlegen des Homes über die AD-Konsole wird die Vererbung von oben nicht deaktiviert. So können deine User auf die Homes anderer User zugreifen.
mit diesen Einstellungen funktioniert es in meiner Testumgebung, danke.
Was habt ihr denn Netzwerkseitig für eine Freigabe? Authentifizierter User - Vollzugriff?
Moin support-it,
Wenn bei Freigaben die NTFS Berechtigungen sauber gesetzt sind, dann kann man auf der Freigabeebene auch ohne Risiko mit Jeder/Vollzugriff arbeiten.
Grüsse aus BaWü
Alex
Was habt ihr denn Netzwerkseitig für eine Freigabe? Authentifizierter User - Vollzugriff?
Wenn bei Freigaben die NTFS Berechtigungen sauber gesetzt sind, dann kann man auf der Freigabeebene auch ohne Risiko mit Jeder/Vollzugriff arbeiten.
Grüsse aus BaWü
Alex
Zitat von @departure69:
Allerdings vererbe ich sehr wohl in die jeweiligen, einzelnen User-Homes hinein. Normalerweise kriegt der User bei der AD-Methode Vollzugriffsrechte. Ich will aber nicht, daß die User aus ihrem Home-Bereich ausführbare Dateien (*.exe u. a.) ausführen können, deswegen stehen die authentifizierten Benutzer schon im zentral übergeordneten Verzeichnis "Homes" (freigegeben als "Homes$") als entsprechende Gruppe mit drin und werden rechteseitig vererbt. Sie haben weiterhin alle möglichen Rechte, ich nehme ihnen nur das Ausführen-Recht. Sonst dürfen sie alles
Allerdings vererbe ich sehr wohl in die jeweiligen, einzelnen User-Homes hinein. Normalerweise kriegt der User bei der AD-Methode Vollzugriffsrechte. Ich will aber nicht, daß die User aus ihrem Home-Bereich ausführbare Dateien (*.exe u. a.) ausführen können, deswegen stehen die authentifizierten Benutzer schon im zentral übergeordneten Verzeichnis "Homes" (freigegeben als "Homes$") als entsprechende Gruppe mit drin und werden rechteseitig vererbt. Sie haben weiterhin alle möglichen Rechte, ich nehme ihnen nur das Ausführen-Recht. Sonst dürfen sie alles
Das verstehe ich nicht. Du gibts der Gruppe authentifizierte Benutzer das "Ändern" Recht. Das Ändernrecht beinhaltet aber auch lesen & ausführen, Ordner auflisten, lesen und schreiben.
Danke
@MysticFoxDE:
Wegen Trojaner etc. sagte mir mal ein MVP, man solle Authentifizierte Benutzer statt Jeder nutzen.
Wegen Trojaner etc. sagte mir mal ein MVP, man solle Authentifizierte Benutzer statt Jeder nutzen.
@support-it:
Eben, und genau das will ich nicht. Kein "Ausführen", alles andere ja. Deshalb die Gruppe im übergeordneten Verzeichnis einmalig von Hand angepaßt ("Ausführen" entfernt) und rekursiv vererbt.
Viele Grüße
von
departure69
Das verstehe ich nicht. Du gibts der Gruppe authentifizierte Benutzer das "Ändern" Recht. Das Ändernrecht beinhaltet aber auch lesen & ausführen, Ordner auflisten, lesen und schreiben.
Eben, und genau das will ich nicht. Kein "Ausführen", alles andere ja. Deshalb die Gruppe im übergeordneten Verzeichnis einmalig von Hand angepaßt ("Ausführen" entfernt) und rekursiv vererbt.
Viele Grüße
von
departure69
