5
Windows 2008 Terminalserver - Mappen von Netzlaufwerken über AD-Anmeldeskript funktioniert nicht
Nachdem ich hier fast durchgedreht wäre weil bestimmte User die Laufwerke nicht automatisch gemappt bekommen haben hier ein paar Hinweise.
Moin.
Das Problem ist die UAC von W2k8 und Domänenusern die auch lokale Administratoren sind.
In dieser Konstellation werden die Anmedeskripte als Administrator ausgeführt und beim beschneiden der Berechtigungen
durch das UAC beim starten des Desktops werden die Laufwerke unterdrückt, da ja keine Administratorrechte mehr vorliegen.
Also wurden die Laufwerke gemappt (kann man auch z.B. mit gpresult prüfen) aber können nicht mehr angesprochen werden, aufgrund
des UAC vom Windows.
Es gibt jetzt zwei Workarounds:
1. http://support.microsoft.com/kb/937624/en-us
Unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System einen DWORD-Wert EnableLinkedConnections
mit dem Wert 1 anlegen und neustarten.
Microsoft sagt allerdings: "Important This workaround may make your system unsafe. Microsoft does not support this workaround. Use this workaround at your own risk."
2. Aus dem AD-Skript einen geplanten Task anlegen, der das Mappen erst startet, wenn der Desktop geladen wurde (vgl. http://technet.microsoft.com/en-us/library/cc766208%28WS.10%29.aspx)
Vielleicht hilft das ja dem Ein oder Anderen...
HTH
MK
Moin.
Das Problem ist die UAC von W2k8 und Domänenusern die auch lokale Administratoren sind.
In dieser Konstellation werden die Anmedeskripte als Administrator ausgeführt und beim beschneiden der Berechtigungen
durch das UAC beim starten des Desktops werden die Laufwerke unterdrückt, da ja keine Administratorrechte mehr vorliegen.
Also wurden die Laufwerke gemappt (kann man auch z.B. mit gpresult prüfen) aber können nicht mehr angesprochen werden, aufgrund
des UAC vom Windows.
Es gibt jetzt zwei Workarounds:
1. http://support.microsoft.com/kb/937624/en-us
Unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System einen DWORD-Wert EnableLinkedConnections
mit dem Wert 1 anlegen und neustarten.
Microsoft sagt allerdings: "Important This workaround may make your system unsafe. Microsoft does not support this workaround. Use this workaround at your own risk."
2. Aus dem AD-Skript einen geplanten Task anlegen, der das Mappen erst startet, wenn der Desktop geladen wurde (vgl. http://technet.microsoft.com/en-us/library/cc766208%28WS.10%29.aspx)
Vielleicht hilft das ja dem Ein oder Anderen...
HTH
MK
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 162318
Url: https://administrator.de/contentid/162318
Ausgedruckt am: 21.11.2024 um 22:11 Uhr
5 Kommentare
Neuester Kommentar
Tag
Ist mir zwar noch nie passiert, aber ich behalts mal im Hinterkopf
Ist mir zwar noch nie passiert, aber ich behalts mal im Hinterkopf
Du musst uns jetzt nur mal verraten, wo das Problem denn liegen soll - auch Nicht-Admins* können mit einer net-use-batch (.bat) jederzeit Netzlaufwerke mappen. EnableLinkedConnections hat mit Tokenwechsel zu tun - wo also ist der Zusammenhang?
- (und Admins sind bis zur Hochstufung Nichtadmins - eine Hochstufung wird für das Verbinden von Netzlaufwerken jedoch nicht gebraucht)
Moin.
Natürlich können auch nicht admins per net-use-batch Netzlaufwerke verbinden. Das habe ich nie behauptet, dass dem nicht so ist. Auch lokale Admins können das, wenn die batch z.B. im Autostart liegt.
Auch das ist richtig.
Aber jetzt der Fall wo eben der Tokenwechsel zum tragen kommt. Windows 2008 TS und lokale Admins in einer Domäne.
Wenn diese User jetzt ein Anmeldeskript haben in dem ein Netzlaufwerk mittels net-use verbunden werden soll, dann macht der Tokenwechsel das unmöglich auf diese im Skript verbunden Netzlaufwerke zu zugreifen..
Führt man das Skript manuell oder per Autostart aus, also zeitlich nach laden des Desktops, dann funktioniert auch bei diesen Usern alles wie erwartet.
Schöne Grüße
MK
Du musst uns jetzt nur mal verraten, wo das Problem denn liegen soll - auch Nicht-Admins* können mit einer net-use-batch (.bat) jederzeit Netzlaufwerke mappen. EnableLinkedConnections hat mit Tokenwechsel zu tun - wo also ist der
Zusammenhang?
Zusammenhang?
Natürlich können auch nicht admins per net-use-batch Netzlaufwerke verbinden. Das habe ich nie behauptet, dass dem nicht so ist. Auch lokale Admins können das, wenn die batch z.B. im Autostart liegt.
(und Admins sind bis zur Hochstufung Nichtadmins - eine Hochstufung wird für das Verbinden von Netzlaufwerken jedoch nicht gebraucht)
Auch das ist richtig.
Aber jetzt der Fall wo eben der Tokenwechsel zum tragen kommt. Windows 2008 TS und lokale Admins in einer Domäne.
Wenn diese User jetzt ein Anmeldeskript haben in dem ein Netzlaufwerk mittels net-use verbunden werden soll, dann macht der Tokenwechsel das unmöglich auf diese im Skript verbunden Netzlaufwerke zu zugreifen..
Führt man das Skript manuell oder per Autostart aus, also zeitlich nach laden des Desktops, dann funktioniert auch bei diesen Usern alles wie erwartet.
Schöne Grüße
MK
Verstehe weiterhin nicht, wo der Tokenwechsel stattfinden sollte. Der kommt doch nur, wenn man beispielsweise auf einem Netzlaufwerk ein Setup startet, was eine UAC-Abfrage mit sich bringt.
Moin.
Es gibt einen weiteren Tokenwechsel "in die andere Richtung" beim Laden des Desktops. Dabei werden die Admin-Berechtigungen beschränkt. Und genau das ist dann das Problem, wenn der Domänenuser auch lokaler Admin ist. Bei nicht Admins gibt es keinen Tokenwechsel und die mittels Anmeldeskript gemappten Laufwerke sind verfügbar.
Natürlich blebt die UAC-Abfrage beim starten eines Setup aus dem laufenden Betrieb heraus, wie von Dir beschrieben erhalten.
Schöne Grüße
MK
Verstehe weiterhin nicht, wo der Tokenwechsel stattfinden sollte. Der kommt doch nur, wenn man beispielsweise auf einem Netzlaufwerk ein Setup startet, was eine
UAC-Abfrage mit sich bringt.
UAC-Abfrage mit sich bringt.
Es gibt einen weiteren Tokenwechsel "in die andere Richtung" beim Laden des Desktops. Dabei werden die Admin-Berechtigungen beschränkt. Und genau das ist dann das Problem, wenn der Domänenuser auch lokaler Admin ist. Bei nicht Admins gibt es keinen Tokenwechsel und die mittels Anmeldeskript gemappten Laufwerke sind verfügbar.
Natürlich blebt die UAC-Abfrage beim starten eines Setup aus dem laufenden Betrieb heraus, wie von Dir beschrieben erhalten.
Schöne Grüße
MK
