Laufwerkszuordnung per Gruppenrichtlinien
Basierend auf einer Windows Server 2003-Domäne mit der Gruppenrichtlinienerweiterung von Vista und Win7
Heute möchte ich euch erklären, wie man jedem Benutzer oder Computer in einer Domäne eine Laufwerk elegant ohne Scriptingkenntnisse zuweisen kann.
Wir gehen von einer Win2003-Domäne aus. Alle hier genannten Freigaben haben die nötigen Berechtigungen, sodass diese verbunden werden können.
Beispiel
Gegeben sei folgendes:
Es soll folgendes realisiert werden:
1. Arbeitsschritt - Gruppen im ADS pro Laufwerk anlegen
Folgende Gruppen werden in der ADS angelegt:
2. Arbeitsschritt - Benutzer in Gruppen im ADS Mitglied werden lassen
Jeder Benutzer oder Computer wird Mitglied einer oder mehrerer Gruppen. Im späteren Abschitt erfolgt anhand dieser Mitgliedschaft die Laufwerkszuordnung.
Folgende Benutzer werden in folgende Gruppen aufgenommen:
3. Arbeitsschritt - Gruppenrichtlinien für Laufwerkszuweisung anhand der Gruppenzugehörigkeit
GPO anlegen und an die Organisationsanheit hängen, in dem sich die Benutzer befinden.
GPO wie folgt konfigurieren:
Benutzerkonfig -->Einstellungen --> Windows-Einstellungen --> Laufwerkszuordnungen: neues Zugeordnetes Laufwerk anlegen
Einstellungen wie folgt:
Aktion: Erstellen --> hiermit definiert Ihr das beim Benutzer ein neues Laufwerk angelegt wird
Freigabepfad: \\Servername\Freigabenname --> Pfad zu dem Freigebenen Ordner
Verbindung wiederherstellen: aktiviert --> sollte eine GPO verzögert ausgeführt werden, so wird das Laufwerk durch die vorhergehende Sitzung wiederhergestellt (siehe Net Use /Persistent)
Zielgruppenadressierung... --> aktiviert die Zielgruppenadressierung; hier erfolgt die filterung anhand der Gruppenmitgliedschaften
Den Hotfix dafür kann man bei MS runterladen und muss diesen bei allen Win7 Clients installieren.
Link zum Beitrag --> GPO - Laufwerkszuweiseung - XP vs. Win7
Link zum Download --> http://support.microsoft.com/kb/976399
Einstellungen der Zielgruppenadressierung am Beispiel des Abteilungslaufwerks für die Finanzbuchhaltung:
Benutzer ist Mitglied der Sicherheitsgruppe "GPO-LWY-Abteilung-Fibu"
Hierüber wird gefiltert, dass nur der Benutzer der Mitglied der Sicherheitsgruppe GPO-LWY-Abteilung-Fibu das Laufwerk Y mit dem Pfad auf \\Servername\Freigabenname zugewiesen bekommt. In diesem Falle sind das die Benutzer Maier und Hans.
Einstellung der Zielgruppenadressierung am Beispiel Computermitgliedschaft kann man dieses Verfahren dann auch für die CAD-Software nutzen.
Bsp.:
Computer ist Mitglied der Sicherheitsgruppe "GPO-LWZ-CAD"
Hierüber wird gefiltert, dass nur der COMPUTER der Mitglied der Sicherheitsgruppe GPO-LWZ-CAD das Laufwerk Z mit dem Pfad auf \\Servername\Freigabenname zugewiesen bekommt. In diesem Falle sind das die COMPUTER PC-Werkstatt1 und PC-Werkstatt2. Meldet sich z.B. Herr Schulze (EDV) an diesem PC an, bekommt er ebenfalls dieses Laufwerk und kann mit der Software arbeiten
Viel Spaß beim Ausprobieren.
Grüße
Toxic
Heute möchte ich euch erklären, wie man jedem Benutzer oder Computer in einer Domäne eine Laufwerk elegant ohne Scriptingkenntnisse zuweisen kann.
Wir gehen von einer Win2003-Domäne aus. Alle hier genannten Freigaben haben die nötigen Berechtigungen, sodass diese verbunden werden können.
Beispiel
Gegeben sei folgendes:
- 6 Benutzer bzw. Clients
- Sesselpuper (Geschäftsleitung)
- Maier (Finanzbuchhaltung)
- Hans (Finanzbuchhaltung)
- Schulz (EDV)
- Handwerker1
- Handwerker2
- PC-Werkstatt1
- PC-Werkstatt2
- 4 verschiedene Laufwerksfreigaben
- Öffentlicher Datenaustausch --> LW: X
- Abteilungs-Verzeichnis --> LW: Y
- Software --> LW: S
- CAD-Software mit notwendigem Netzlaufwerk --> LW: Z
- Clients mit verschiedenen Betriebssystemen
- Geschäftsleitung - Windows 7
- Finanzbuchhaltung - Windows Vista
- EDV - Windows 7
- Werkstatt - Windows XP
Es soll folgendes realisiert werden:
- Die Geschäftsleitung soll Zugriff nur auf den Öffentlichen Datenaustausch haben
- Alle benutzer sollen Zugriff auf das Abteilungs-Verzeichnis und den Öffentlichen Datenaustausch haben
- Die EDV soll Zugriff auf alle Freigaben haben
- Die Computer der Handwerker sollen Zugriff auf die Freigabe für die CAD-Software haben --> Somit kann jeder Benutzer, der sich an diesem PC anmeldet die CAD-Software nutzen.
- Die Benutzer der Werkstatt sollen Zugriff auf den Offentlichen Datenaustausch und auf das Abteilungs-Verzeichnis haben
1. Arbeitsschritt - Gruppen im ADS pro Laufwerk anlegen
Folgende Gruppen werden in der ADS angelegt:
- GPO-LWX-Datenaustausch
- GPO-LWY-Abteilung-Fibu
- GPO-LWY-Abteilung-EDV
- GPO-LWY-Abteilung-Werkstatt
- GPO-LWZ-CAD
- GPO-LWS-Software
2. Arbeitsschritt - Benutzer in Gruppen im ADS Mitglied werden lassen
Jeder Benutzer oder Computer wird Mitglied einer oder mehrerer Gruppen. Im späteren Abschitt erfolgt anhand dieser Mitgliedschaft die Laufwerkszuordnung.
Folgende Benutzer werden in folgende Gruppen aufgenommen:
- GPO-LWX-Datenaustausch:
- Sesselpuper (Geschäftsleitung)
- Maier (Finanzbuchhaltung)
- Hans (Finanzbuchhaltung)
- Schulz (EDV)
- Handwerker1
- Handwerker2
- GPO-LWY-Abteilung-Fibu:
- Maier (Finanzbuchhaltung)
- Hans (Finanzbuchhaltung)
- GPO-LWY-Abteilung-EDV
- Schulz (EDV)
- GPO-LWY-Abteilung-Werkstatt
- Handwerker1
- Handwerker2
- GPO-LWZ-CAD
- PC-Werkstatt1
- PC-Werkstatt2
- Schulz (EDV)
- GPO-LWS-Software
- Schulz (EDV)
3. Arbeitsschritt - Gruppenrichtlinien für Laufwerkszuweisung anhand der Gruppenzugehörigkeit
GPO anlegen und an die Organisationsanheit hängen, in dem sich die Benutzer befinden.
GPO wie folgt konfigurieren:
Benutzerkonfig -->Einstellungen --> Windows-Einstellungen --> Laufwerkszuordnungen: neues Zugeordnetes Laufwerk anlegen
Einstellungen wie folgt:
Aktion: Erstellen --> hiermit definiert Ihr das beim Benutzer ein neues Laufwerk angelegt wird
Freigabepfad: \\Servername\Freigabenname --> Pfad zu dem Freigebenen Ordner
Verbindung wiederherstellen: aktiviert --> sollte eine GPO verzögert ausgeführt werden, so wird das Laufwerk durch die vorhergehende Sitzung wiederhergestellt (siehe Net Use /Persistent)
Zielgruppenadressierung... --> aktiviert die Zielgruppenadressierung; hier erfolgt die filterung anhand der Gruppenmitgliedschaften
1. Achtung!!!
Bei Windows 7 gibt es einen Bug inerhalb der Client Side Extension. Dieser ist nicht in der Lage in der Zielgruppenadressierung anhand einer Sicherheitsgruppenzugehörigkeit zu filtern.Den Hotfix dafür kann man bei MS runterladen und muss diesen bei allen Win7 Clients installieren.
Link zum Beitrag --> GPO - Laufwerkszuweiseung - XP vs. Win7
Link zum Download --> http://support.microsoft.com/kb/976399
Einstellungen der Zielgruppenadressierung am Beispiel des Abteilungslaufwerks für die Finanzbuchhaltung:
Benutzer ist Mitglied der Sicherheitsgruppe "GPO-LWY-Abteilung-Fibu"
Hierüber wird gefiltert, dass nur der Benutzer der Mitglied der Sicherheitsgruppe GPO-LWY-Abteilung-Fibu das Laufwerk Y mit dem Pfad auf \\Servername\Freigabenname zugewiesen bekommt. In diesem Falle sind das die Benutzer Maier und Hans.
Einstellung der Zielgruppenadressierung am Beispiel Computermitgliedschaft kann man dieses Verfahren dann auch für die CAD-Software nutzen.
Bsp.:
Computer ist Mitglied der Sicherheitsgruppe "GPO-LWZ-CAD"
Hierüber wird gefiltert, dass nur der COMPUTER der Mitglied der Sicherheitsgruppe GPO-LWZ-CAD das Laufwerk Z mit dem Pfad auf \\Servername\Freigabenname zugewiesen bekommt. In diesem Falle sind das die COMPUTER PC-Werkstatt1 und PC-Werkstatt2. Meldet sich z.B. Herr Schulze (EDV) an diesem PC an, bekommt er ebenfalls dieses Laufwerk und kann mit der Software arbeiten
2. Achtung!!!
Gegebenfalls ist unter Windows Vista und unter Windows7 die UAC auszuschalten. Sonst lassen sich die Laufwerke leider nicht zuweisen.Viel Spaß beim Ausprobieren.
Grüße
Toxic
Please also mark the comments that contributed to the solution of the article
Content-ID: 146413
Url: https://administrator.de/contentid/146413
Printed on: December 5, 2024 at 15:12 o'clock
21 Comments
Latest comment
Moin,
habe gerade deine Anleitung gelesen und wollte diese umsetzen.
Ich habe eine Test GPO in meiner W2K3 Server AD Umgebung.
Ich kann aber leider die Laufwerkszuordnungen nicht finden.
Bei mir sieht es so aus, das ich unter Benutzerkonfiguration folgendes habe.
Softwareinstallation
Windows-Einstellungen
Administrative Einstellungen.
Ich habe alle Bäume aufgemacht und nachgesehen. Leider Nix zu finden.
Welchen Haken sehe ich gerade nicht.
Schon mal Danke
Tohla
habe gerade deine Anleitung gelesen und wollte diese umsetzen.
Ich habe eine Test GPO in meiner W2K3 Server AD Umgebung.
Ich kann aber leider die Laufwerkszuordnungen nicht finden.
Bei mir sieht es so aus, das ich unter Benutzerkonfiguration folgendes habe.
Softwareinstallation
Windows-Einstellungen
Administrative Einstellungen.
Ich habe alle Bäume aufgemacht und nachgesehen. Leider Nix zu finden.
Welchen Haken sehe ich gerade nicht.
Schon mal Danke
Tohla
Servus,
ein kleiner Tipp - der "eigentlich" zu so einer Anleitung gehört.
"Alle" User sind Member von GPO-LWX-Datenaustausch und mindesten einer anderen Gruppe.
Das ist so - wie du dein Beispiel aufgebaut hast suboptimal
Wenn man das so wie man es üblicherweise lernt macht - muß man einem neuen User nur in seine "Abteilungsgruppe" stecken und der Rest passiert von alleine.
Und was mir nicht klar ist - und was ich nicht ausprobieren werde:
Btw: nicht böse sein, aber wer das da durchblickt - der rafft auch ein Net Use script und wer sich Admin schimpft sollte scripten können, das braucht man immer
wie das aber heutzutage mit einer eleganten neuen Art der Laufwerksverteilung ist - für das man UAC abklemmen muß -sollen die Götter und der Belzebub unter sich ausmachen
Danke trotzdem für die gemachte Mühe.
Gruß
ein kleiner Tipp - der "eigentlich" zu so einer Anleitung gehört.
"Alle" User sind Member von GPO-LWX-Datenaustausch und mindesten einer anderen Gruppe.
Das ist so - wie du dein Beispiel aufgebaut hast suboptimal
GPO-LWX-Datenaustausch:
GPO-LWY-Abteilung-Fibu:
GPO-LWY-Abteilung-EDV
usw.
lediglich der Chef, mit dem kosmischen Namen ist in keiner Gruppe und muß - so wie du das aufbaust daher in die Gruppe rein.
GPO-LWY-Abteilung-EDV
usw.
lediglich der Chef, mit dem kosmischen Namen ist in keiner Gruppe und muß - so wie du das aufbaust daher in die Gruppe rein.
Wenn man das so wie man es üblicherweise lernt macht - muß man einem neuen User nur in seine "Abteilungsgruppe" stecken und der Rest passiert von alleine.
Und was mir nicht klar ist - und was ich nicht ausprobieren werde:
•Die EDV soll Zugriff auf alle Freigaben haben
Wie funktioniert dass, wenn du mehrere Laufwerke Y hast und die so "verteilst"?Btw: nicht böse sein, aber wer das da durchblickt - der rafft auch ein Net Use script und wer sich Admin schimpft sollte scripten können, das braucht man immer
wie das aber heutzutage mit einer eleganten neuen Art der Laufwerksverteilung ist - für das man UAC abklemmen muß -sollen die Götter und der Belzebub unter sich ausmachen
Danke trotzdem für die gemachte Mühe.
Gruß
Moin,
der ja - aber anstatt die anderen genannten Gruppen in die Gruppe zu stecken, steckst du ein Mitglied in beide Gruppen.
Wenn es aber - so wie du beschreibst - so ist - dass GPO-LWX-Datenaustausch jeder bekommt, dann macht man das üblicherweise so,
dass man nicht diese, sondern die unterGruppen da reinpackt.
Ja aber denk dran, das du so x GPO pflegen mußt, wenn mal ein Server ausgetauscht werden muß und das jede zusätzliche GPO (egal ob gefiltert oder nicht) "Last" beim anmelden provduziert.
Gruß
Zitat von @TheToxic:
Ich versteh grad irgendwie nicht was du meinst. Der Chef ist doch Mitglied der Gruppe GPO-LWX-Datenaustausch
Ich versteh grad irgendwie nicht was du meinst. Der Chef ist doch Mitglied der Gruppe GPO-LWX-Datenaustausch
der ja - aber anstatt die anderen genannten Gruppen in die Gruppe zu stecken, steckst du ein Mitglied in beide Gruppen.
Wenn es aber - so wie du beschreibst - so ist - dass GPO-LWX-Datenaustausch jeder bekommt, dann macht man das üblicherweise so,
dass man nicht diese, sondern die unterGruppen da reinpackt.
Für unsere Firma ist dieses Konzept, per GPO, einfacher zu managen.
Ja aber denk dran, das du so x GPO pflegen mußt, wenn mal ein Server ausgetauscht werden muß und das jede zusätzliche GPO (egal ob gefiltert oder nicht) "Last" beim anmelden pro
Gruß
Hallo,
danke für deine Anleitung. Ich habe mein mapping auch so realisiert bis auf einen Unterschied.
Du verwendest Zielgruppenadressierung auf Elementarebene.
Ich hinterlege die gewünschte Gruppe unter Sicherheitsfilterung. Somit können meine Benutzer (die nicht in den genannten Gruppen auftauchen) die GPO erst gar nicht sehen geschweige denn anwenden.
Siehst du in deinem Vorgehen einen Vorteil, oder lösen wir das gleiche Problem nur auf zwei Unterschiedliche weisen.
Mfg Lenny
danke für deine Anleitung. Ich habe mein mapping auch so realisiert bis auf einen Unterschied.
Du verwendest Zielgruppenadressierung auf Elementarebene.
Ich hinterlege die gewünschte Gruppe unter Sicherheitsfilterung. Somit können meine Benutzer (die nicht in den genannten Gruppen auftauchen) die GPO erst gar nicht sehen geschweige denn anwenden.
Siehst du in deinem Vorgehen einen Vorteil, oder lösen wir das gleiche Problem nur auf zwei Unterschiedliche weisen.
Mfg Lenny
Hi, das ist genau das was ich suche und die Anleitung ist wirklich sehr gut beschrieben.
Leider stehe ich bezüglich der integration der Gruppenrichtlinien-Erweiterungen für Windows Vista bzw Windows7 und die angesprochen ADMX-Dateien von Vista / Win 7 auf dem Schlauch. Habe per google versucht dies in meine AD Testumgebung Win 2k3 Standard Edtion ein zu binden habe aber bisher nur den KB zur Erweiterung von XP entdeckt.
Gibt es dazu ebenfalls eine Anleitung auf administator.de, oder woher bekomme ich diese Dateien. Des Weitern verstehe ich das richtig das die CSE Dateien für die jeweilige Richtlinie auf dem Zielsystem inplementiert sein muss?
Wäre sehr nett falls mir jemand hier einen Schubs für den richtigen Weg geben kann.
Danke und Gruß
Myth
Leider stehe ich bezüglich der integration der Gruppenrichtlinien-Erweiterungen für Windows Vista bzw Windows7 und die angesprochen ADMX-Dateien von Vista / Win 7 auf dem Schlauch. Habe per google versucht dies in meine AD Testumgebung Win 2k3 Standard Edtion ein zu binden habe aber bisher nur den KB zur Erweiterung von XP entdeckt.
Gibt es dazu ebenfalls eine Anleitung auf administator.de, oder woher bekomme ich diese Dateien. Des Weitern verstehe ich das richtig das die CSE Dateien für die jeweilige Richtlinie auf dem Zielsystem inplementiert sein muss?
Wäre sehr nett falls mir jemand hier einen Schubs für den richtigen Weg geben kann.
Danke und Gruß
Myth
Hallo! Vielen Dank für deine Anleitung! Ich muss das gleich mal ausprobieren, verwende allerdings Server 2008 R2 und hoffe, daß das dort auch so klappt.
Nochwas zu deiner Beschreibung:
Du gibts an, das die EDV-Abteilung (Schulz (EDV)) Zugriff auf alle Freigaben haben soll.
Jedoch ist oben unter der "GPO-LWY-Abteilung-Fibu" und "GPO-LWY-Abteilung-Werkstatt" nicht "Schulz (EDV)" angegeben. Dieser gehört hier doch auch noch rein - oder?
Nochwas zu deiner Beschreibung:
Du gibts an, das die EDV-Abteilung (Schulz (EDV)) Zugriff auf alle Freigaben haben soll.
Jedoch ist oben unter der "GPO-LWY-Abteilung-Fibu" und "GPO-LWY-Abteilung-Werkstatt" nicht "Schulz (EDV)" angegeben. Dieser gehört hier doch auch noch rein - oder?
So, ich habe das jetzt auch mal versucht. Leider klappt das bei mir nicht. Habe Windows Server 2008 R2 (den o. g. Hotfix habe ich installiert) und als Client-PC nur XP-Maschinen. Kann das an 2008 liegen?
Könntest du vielleicht noch ein paar Screenshots posten, wie das mit der Einstellung bei der Zielgruppenadressierung aussieht?
Vielen Dank.
Könntest du vielleicht noch ein paar Screenshots posten, wie das mit der Einstellung bei der Zielgruppenadressierung aussieht?
Vielen Dank.
Zu dem Satz "GPO anlegen und an die Organisationsanheit hängen, in dem sich die Benutzer befinden" hätt ich ne Frage. Muss das nicht heißen ...in dem sich die BENUTZERGRUPPEN (GPO-LW....) befinden?
Ich habe ein OU "Netzlaufwerke" angelegt und dort hinein die Benutzergruppen "GPO-LW...". Ist das etwa falsch?
Ich habe ein OU "Netzlaufwerke" angelegt und dort hinein die Benutzergruppen "GPO-LW...". Ist das etwa falsch?
So wie es aussieht, funktioniert es jetzt bei mir! Eine super Funktion - einfach genial!
Problem war, daß auf den XP-Rechnern nicht der Hotfix KB943729 installiet war. Dieser ist unabkömmlich wenn als Server 2008 eingesetzt wird.
Für alle die ein ähnliches Problem haben: Ohne diesen Hotfix läuft nix im Zusammenhang mit 2008!!
Problem war, daß auf den XP-Rechnern nicht der Hotfix KB943729 installiet war. Dieser ist unabkömmlich wenn als Server 2008 eingesetzt wird.
Für alle die ein ähnliches Problem haben: Ohne diesen Hotfix läuft nix im Zusammenhang mit 2008!!
Hallo,
habe dein Laufwerksmapping übernommen und es funktioniert.
Was mir aber auffällt. Wenn ich einen GPO Ergebnissatz für einen Recher erstelle wird mir folgendes angezeigt.
Ausschlaggebendes Gruppenrichtlinienobjekt netuse
Ergebnis: Fehler (Fehlercode: 0x80070005)
Das Laufwerk wird gemappt. Der User hat Zugriff. Kurz gesagt, alles funktioniert wie es soll. Ich weis nur nicht warum dieser Fehler auftaucht.
Hast du (oder sonst jemand) eine Idee waoran das liegen könnte?
habe dein Laufwerksmapping übernommen und es funktioniert.
Was mir aber auffällt. Wenn ich einen GPO Ergebnissatz für einen Recher erstelle wird mir folgendes angezeigt.
Ausschlaggebendes Gruppenrichtlinienobjekt netuse
Ergebnis: Fehler (Fehlercode: 0x80070005)
Das Laufwerk wird gemappt. Der User hat Zugriff. Kurz gesagt, alles funktioniert wie es soll. Ich weis nur nicht warum dieser Fehler auftaucht.
Hast du (oder sonst jemand) eine Idee waoran das liegen könnte?
Hallo,
ist eine schnelle und relativ übersichtliche Anleitung.
Es gibt aber noch einen anderen Ansatz der Erwähnenswert wäre, in dem Fall DFS und ABE.
Dadurch spare ich mir ein paar GPO's mehr und die User sehen nur das was sie sollen.
Grüße DevTig
ist eine schnelle und relativ übersichtliche Anleitung.
Es gibt aber noch einen anderen Ansatz der Erwähnenswert wäre, in dem Fall DFS und ABE.
Dadurch spare ich mir ein paar GPO's mehr und die User sehen nur das was sie sollen.
Grüße DevTig