thetoxic
Goto Top

Laufwerkszuordnung per Gruppenrichtlinien

Basierend auf einer Windows Server 2003-Domäne mit der Gruppenrichtlinienerweiterung von Vista und Win7

Heute möchte ich euch erklären, wie man jedem Benutzer oder Computer in einer Domäne eine Laufwerk elegant ohne Scriptingkenntnisse zuweisen kann.

Wir gehen von einer Win2003-Domäne aus. Alle hier genannten Freigaben haben die nötigen Berechtigungen, sodass diese verbunden werden können.

Beispiel

Gegeben sei folgendes:
  • 6 Benutzer bzw. Clients
    • Sesselpuper (Geschäftsleitung)
    • Maier (Finanzbuchhaltung)
    • Hans (Finanzbuchhaltung)
    • Schulz (EDV)
    • Handwerker1
    • Handwerker2
    • PC-Werkstatt1
    • PC-Werkstatt2
  • 4 verschiedene Laufwerksfreigaben
    • Öffentlicher Datenaustausch --> LW: X
    • Abteilungs-Verzeichnis --> LW: Y
    • Software --> LW: S
    • CAD-Software mit notwendigem Netzlaufwerk --> LW: Z
  • Clients mit verschiedenen Betriebssystemen
    • Geschäftsleitung - Windows 7
    • Finanzbuchhaltung - Windows Vista
    • EDV - Windows 7
    • Werkstatt - Windows XP

Es soll folgendes realisiert werden:
  • Die Geschäftsleitung soll Zugriff nur auf den Öffentlichen Datenaustausch haben
  • Alle benutzer sollen Zugriff auf das Abteilungs-Verzeichnis und den Öffentlichen Datenaustausch haben
  • Die EDV soll Zugriff auf alle Freigaben haben
  • Die Computer der Handwerker sollen Zugriff auf die Freigabe für die CAD-Software haben --> Somit kann jeder Benutzer, der sich an diesem PC anmeldet die CAD-Software nutzen.
  • Die Benutzer der Werkstatt sollen Zugriff auf den Offentlichen Datenaustausch und auf das Abteilungs-Verzeichnis haben
----

1. Arbeitsschritt - Gruppen im ADS pro Laufwerk anlegen

Folgende Gruppen werden in der ADS angelegt:
  • GPO-LWX-Datenaustausch
  • GPO-LWY-Abteilung-Fibu
  • GPO-LWY-Abteilung-EDV
  • GPO-LWY-Abteilung-Werkstatt
  • GPO-LWZ-CAD
  • GPO-LWS-Software

2. Arbeitsschritt - Benutzer in Gruppen im ADS Mitglied werden lassen
Jeder Benutzer oder Computer wird Mitglied einer oder mehrerer Gruppen. Im späteren Abschitt erfolgt anhand dieser Mitgliedschaft die Laufwerkszuordnung.

Folgende Benutzer werden in folgende Gruppen aufgenommen:
  • GPO-LWX-Datenaustausch:
    • Sesselpuper (Geschäftsleitung)
    • Maier (Finanzbuchhaltung)
    • Hans (Finanzbuchhaltung)
    • Schulz (EDV)
    • Handwerker1
    • Handwerker2
  • GPO-LWY-Abteilung-Fibu:
    • Maier (Finanzbuchhaltung)
    • Hans (Finanzbuchhaltung)
  • GPO-LWY-Abteilung-EDV
    • Schulz (EDV)
  • GPO-LWY-Abteilung-Werkstatt
    • Handwerker1
    • Handwerker2
  • GPO-LWZ-CAD
    • PC-Werkstatt1
    • PC-Werkstatt2
    • Schulz (EDV)
  • GPO-LWS-Software
    • Schulz (EDV)

3. Arbeitsschritt - Gruppenrichtlinien für Laufwerkszuweisung anhand der Gruppenzugehörigkeit
GPO anlegen und an die Organisationsanheit hängen, in dem sich die Benutzer befinden.
GPO wie folgt konfigurieren:
Benutzerkonfig -->Einstellungen --> Windows-Einstellungen --> Laufwerkszuordnungen: neues Zugeordnetes Laufwerk anlegen
Einstellungen wie folgt:

202775abb13747651b0cdffdc32be666
Aktion: Erstellen --> hiermit definiert Ihr das beim Benutzer ein neues Laufwerk angelegt wird
Freigabepfad: \\Servername\Freigabenname --> Pfad zu dem Freigebenen Ordner
Verbindung wiederherstellen: aktiviert --> sollte eine GPO verzögert ausgeführt werden, so wird das Laufwerk durch die vorhergehende Sitzung wiederhergestellt (siehe Net Use /Persistent)


b7774577135247a0d8140d49040b320d
Zielgruppenadressierung... --> aktiviert die Zielgruppenadressierung; hier erfolgt die filterung anhand der Gruppenmitgliedschaften

back-to-top1. Achtung!!!
Bei Windows 7 gibt es einen Bug inerhalb der Client Side Extension. Dieser ist nicht in der Lage in der Zielgruppenadressierung anhand einer Sicherheitsgruppenzugehörigkeit zu filtern.
Den Hotfix dafür kann man bei MS runterladen und muss diesen bei allen Win7 Clients installieren.
Link zum Beitrag --> GPO - Laufwerkszuweiseung - XP vs. Win7
Link zum Download --> http://support.microsoft.com/kb/976399


Einstellungen der Zielgruppenadressierung am Beispiel des Abteilungslaufwerks für die Finanzbuchhaltung:
Benutzer ist Mitglied der Sicherheitsgruppe "GPO-LWY-Abteilung-Fibu"

Hierüber wird gefiltert, dass nur der Benutzer der Mitglied der Sicherheitsgruppe GPO-LWY-Abteilung-Fibu das Laufwerk Y mit dem Pfad auf \\Servername\Freigabenname zugewiesen bekommt. In diesem Falle sind das die Benutzer Maier und Hans.

Einstellung der Zielgruppenadressierung am Beispiel Computermitgliedschaft kann man dieses Verfahren dann auch für die CAD-Software nutzen.
Bsp.:
Computer ist Mitglied der Sicherheitsgruppe "GPO-LWZ-CAD"

Hierüber wird gefiltert, dass nur der COMPUTER der Mitglied der Sicherheitsgruppe GPO-LWZ-CAD das Laufwerk Z mit dem Pfad auf \\Servername\Freigabenname zugewiesen bekommt. In diesem Falle sind das die COMPUTER PC-Werkstatt1 und PC-Werkstatt2. Meldet sich z.B. Herr Schulze (EDV) an diesem PC an, bekommt er ebenfalls dieses Laufwerk und kann mit der Software arbeiten



back-to-top2. Achtung!!!
Gegebenfalls ist unter Windows Vista und unter Windows7 die UAC auszuschalten. Sonst lassen sich die Laufwerke leider nicht zuweisen.


Viel Spaß beim Ausprobieren.

Grüße
Toxic

Content-ID: 146413

Url: https://administrator.de/contentid/146413

Printed on: December 5, 2024 at 15:12 o'clock

cyrusa38p
cyrusa38p Jul 14, 2010 at 08:19:41 (UTC)
Goto Top
Klingt sauber, Danke.
Werd das heute gleich mal unseren Azubi ausprobieren lassen face-wink
TheToxic
TheToxic Jul 14, 2010 at 09:40:18 (UTC)
Goto Top
gern geschehen, Funktioniert auch wunderbar bei uns in der Firma.
Insgesamt weisen wir darüber 14 verschiedenste Laufwerke über eine einzige Richtlinie zu.
Dadurch konnten wir unser Anmeldescript um 90% kürzen.
Tohla
Tohla Jul 14, 2010 at 13:49:14 (UTC)
Goto Top
Moin,

habe gerade deine Anleitung gelesen und wollte diese umsetzen.

Ich habe eine Test GPO in meiner W2K3 Server AD Umgebung.
Ich kann aber leider die Laufwerkszuordnungen nicht finden.
Bei mir sieht es so aus, das ich unter Benutzerkonfiguration folgendes habe.
Softwareinstallation
Windows-Einstellungen
Administrative Einstellungen.
Ich habe alle Bäume aufgemacht und nachgesehen. Leider Nix zu finden.

Welchen Haken sehe ich gerade nicht.
Schon mal Danke

Tohla
TheToxic
TheToxic Jul 14, 2010 at 14:35:04 (UTC)
Goto Top
Hab ich wohl vergessen zu erwähnen...
Die Domäne beinhalten die Gruppenrichtlinien-Erweiterungen für Windows Vista bzw Windows7.
Die CSE´s dafür musst du auf allen Clients installieren (am besten Über WSUS).
Außerdem wurden die ADMX-Dateien von Vista / Win7 in die Domäne integriert.

Edit zur Anleitung: Hab es in der Kopfzeile der Anleitung korrigiert
60730
60730 Jul 14, 2010 at 19:55:33 (UTC)
Goto Top
Servus,

ein kleiner Tipp - der "eigentlich" zu so einer Anleitung gehört.

"Alle" User sind Member von GPO-LWX-Datenaustausch und mindesten einer anderen Gruppe.

Das ist so - wie du dein Beispiel aufgebaut hast suboptimal

GPO-LWX-Datenaustausch:
GPO-LWY-Abteilung-Fibu:
GPO-LWY-Abteilung-EDV
usw.
lediglich der Chef, mit dem kosmischen Namen ist in keiner Gruppe und muß - so wie du das aufbaust daher in die Gruppe rein.

Wenn man das so wie man es üblicherweise lernt macht - muß man einem neuen User nur in seine "Abteilungsgruppe" stecken und der Rest passiert von alleine.

Und was mir nicht klar ist - und was ich nicht ausprobieren werde:
•Die EDV soll Zugriff auf alle Freigaben haben
Wie funktioniert dass, wenn du mehrere Laufwerke Y hast und die so "verteilst"?

Btw: nicht böse sein, aber wer das da durchblickt - der rafft auch ein Net Use script und wer sich Admin schimpft sollte scripten können, das braucht man immer face-wink
wie das aber heutzutage mit einer eleganten neuen Art der Laufwerksverteilung ist - für das man UAC abklemmen muß -sollen die Götter und der Belzebub unter sich ausmachen

Danke trotzdem für die gemachte Mühe.

Gruß
TheToxic
TheToxic Jul 15, 2010 at 05:32:37 (UTC)
Goto Top
... ein kleiner Tipp - der "eigentlich" zu so einer Anleitung gehört.

"Alle" User sind Member von GPO-LWX-Datenaustausch und mindesten einer anderen Gruppe.

Das ist so - wie du dein Beispiel aufgebaut hast suboptimal

GPO-LWX-Datenaustausch:
GPO-LWY-Abteilung-Fibu:
GPO-LWY-Abteilung-EDV
usw.
lediglich der Chef, mit dem kosmischen Namen ist in keiner Gruppe und muß - so wie du das aufbaust daher in die
Gruppe rein.

Ich versteh grad irgendwie nicht was du meinst. Der Chef ist doch Mitglied der Gruppe GPO-LWX-Datenaustausch


Wenn man das so wie man es üblicherweise lernt macht - muß man einem neuen User nur in seine
"Abteilungsgruppe" stecken und der Rest passiert von alleine.

Das ist doch auch der Fall....

Und was mir nicht klar ist - und was ich nicht ausprobieren werde:
•Die EDV soll Zugriff auf alle Freigaben haben
Wie funktioniert dass, wenn du mehrere Laufwerke Y hast und die so "verteilst"?

Schon klar dass die EDV nicht mehrmals Laufwerk Y haben kann. Die EDV hat also nur Zugriff auf das eigene Abteilungsverzeichnis Y und zusätzlich noch auf alle anderen Laufwerke (Außer die anderen Y´s)

Btw: nicht böse sein, aber wer das da durchblickt - der rafft auch ein Net Use script und wer sich Admin
schimpft sollte scripten können, das braucht man immer face-wink

Dass man ein klein wenig Scripten können sollte steht außer Frage. Ich habe hier nur eine Methode gezeigt, die komplett Ohne dem auskommt. Natürlich kann man auch das ganze per Batch-Datei realisieren..... ist Geschmackssache.
Für unsere Firma ist dieses Konzept, per GPO, einfacher zu managen.
60730
60730 Jul 15, 2010 at 06:31:45 (UTC)
Goto Top
Moin,
Zitat von @TheToxic:
Ich versteh grad irgendwie nicht was du meinst. Der Chef ist doch Mitglied der Gruppe GPO-LWX-Datenaustausch

der ja - aber anstatt die anderen genannten Gruppen in die Gruppe zu stecken, steckst du ein Mitglied in beide Gruppen. face-wink
Wenn es aber - so wie du beschreibst - so ist - dass GPO-LWX-Datenaustausch jeder bekommt, dann macht man das üblicherweise so,
dass man nicht diese, sondern die unterGruppen da reinpackt.

Für unsere Firma ist dieses Konzept, per GPO, einfacher zu managen.

Ja aber denk dran, das du so x GPO pflegen mußt, wenn mal ein Server ausgetauscht werden muß und das jede zusätzliche GPO (egal ob gefiltert oder nicht) "Last" beim anmelden provduziert.

Gruß
TheToxic
TheToxic Jul 15, 2010 at 06:57:04 (UTC)
Goto Top
der ja - aber anstatt die anderen genannten Gruppen in die Gruppe zu stecken, steckst du ein Mitglied in beide Gruppen.
Wenn es aber - so wie du beschreibst - so ist - dass GPO-LWX-Datenaustausch jeder bekommt, dann macht man das üblicherweise so,
dass man nicht diese, sondern die unterGruppen da reinpackt.

OK, jetzt hab ich es gerafft. Kann man so machen, allerdings leidet meiner Meinung nach die Übersichtlichkeit und das einfache Management darunter.

Ja aber denk dran, das du so x GPO pflegen mußt, wenn mal ein Server ausgetauscht werden muß und das jede zusätzliche GPO (egal ob gefiltert oder nicht) "Last" beim anmelden provduziert.

Es ist nur eine einzige GPO in der alle Laufwerke hinterlegt sind und anhand der Sicherheitsgruppenmitgliedschaft gefiltert wird. Ich muss also beim Serveraustausch nur das bisherige Laufwerk in den Einstellungen Aktualisieren (siehe "Aktion: Aktualisieren") und einen neuen Pfad angeben.
Zum Thema "Last"... das spielt eigentlich keine Rolle, sonst würden wir dies ja auch nicht nutzen, oder!?
lenny4me
lenny4me Sep 20, 2010 at 14:34:29 (UTC)
Goto Top
Hallo,

danke für deine Anleitung. Ich habe mein mapping auch so realisiert bis auf einen Unterschied.
Du verwendest Zielgruppenadressierung auf Elementarebene.
Ich hinterlege die gewünschte Gruppe unter Sicherheitsfilterung. Somit können meine Benutzer (die nicht in den genannten Gruppen auftauchen) die GPO erst gar nicht sehen geschweige denn anwenden.

Siehst du in deinem Vorgehen einen Vorteil, oder lösen wir das gleiche Problem nur auf zwei Unterschiedliche weisen.


Mfg Lenny
TheToxic
TheToxic Sep 27, 2010 at 18:23:56 (UTC)
Goto Top
Ich habe in einer GPO alle Laufwerkszuordnungen realisiert. Du wirst wohl pro Laufwerk eine GPO haben. Korrigiere mich wenn ich falsch liege.

Ich denke wir lösen das gleiche Problem blos auf zwei Unterschiedliche wege. Bei dir werden mehr GPO´s als bei mir abgearbeitet. Bei mir ist die eine GPO dafür umso größer. Wird also Performancetechnisch keinen großen Unterschied machen.
lenny4me
lenny4me Sep 28, 2010 at 06:58:36 (UTC)
Goto Top
Hallo Toxic,

ja ich habe mehrere GPOs werde aber warscheinlich aus Gründen der Übersichtlichkeit auf deine Varriante umschwenken... Wir mounten nur knapp 10 Laufwerke. Da ist das relativ schnell passiert.

Grüße Lenny
MythWarrior
MythWarrior Nov 29, 2010 at 08:35:39 (UTC)
Goto Top
Hi, das ist genau das was ich suche und die Anleitung ist wirklich sehr gut beschrieben.

Leider stehe ich bezüglich der integration der Gruppenrichtlinien-Erweiterungen für Windows Vista bzw Windows7 und die angesprochen ADMX-Dateien von Vista / Win 7 auf dem Schlauch. Habe per google versucht dies in meine AD Testumgebung Win 2k3 Standard Edtion ein zu binden habe aber bisher nur den KB zur Erweiterung von XP entdeckt.

Gibt es dazu ebenfalls eine Anleitung auf administator.de, oder woher bekomme ich diese Dateien. Des Weitern verstehe ich das richtig das die CSE Dateien für die jeweilige Richtlinie auf dem Zielsystem inplementiert sein muss?

Wäre sehr nett falls mir jemand hier einen Schubs für den richtigen Weg geben kann.

Danke und Gruß
Myth
TheToxic
TheToxic Dec 03, 2010 at 10:28:02 (UTC)
Goto Top
Danke,


Bitte eröffne für deine Fragestellung einen eigenen Thread.

--> Discussion guidelines - The rules for our content

Grüße,
Toxic
FlexM3
FlexM3 Feb 01, 2011 at 15:39:27 (UTC)
Goto Top
Hallo! Vielen Dank für deine Anleitung! Ich muss das gleich mal ausprobieren, verwende allerdings Server 2008 R2 und hoffe, daß das dort auch so klappt.

Nochwas zu deiner Beschreibung:
Du gibts an, das die EDV-Abteilung (Schulz (EDV)) Zugriff auf alle Freigaben haben soll.
Jedoch ist oben unter der "GPO-LWY-Abteilung-Fibu" und "GPO-LWY-Abteilung-Werkstatt" nicht "Schulz (EDV)" angegeben. Dieser gehört hier doch auch noch rein - oder?
FlexM3
FlexM3 Feb 02, 2011 at 18:41:40 (UTC)
Goto Top
So, ich habe das jetzt auch mal versucht. Leider klappt das bei mir nicht. Habe Windows Server 2008 R2 (den o. g. Hotfix habe ich installiert) und als Client-PC nur XP-Maschinen. Kann das an 2008 liegen?

Könntest du vielleicht noch ein paar Screenshots posten, wie das mit der Einstellung bei der Zielgruppenadressierung aussieht?
Vielen Dank.
FlexM3
FlexM3 Feb 02, 2011 at 19:53:45 (UTC)
Goto Top
Zu dem Satz "GPO anlegen und an die Organisationsanheit hängen, in dem sich die Benutzer befinden" hätt ich ne Frage. Muss das nicht heißen ...in dem sich die BENUTZERGRUPPEN (GPO-LW....) befinden?

Ich habe ein OU "Netzlaufwerke" angelegt und dort hinein die Benutzergruppen "GPO-LW...". Ist das etwa falsch?
FlexM3
FlexM3 Feb 03, 2011 at 17:48:40 (UTC)
Goto Top
So wie es aussieht, funktioniert es jetzt bei mir! Eine super Funktion - einfach genial!

Problem war, daß auf den XP-Rechnern nicht der Hotfix KB943729 installiet war. Dieser ist unabkömmlich wenn als Server 2008 eingesetzt wird.

Für alle die ein ähnliches Problem haben: Ohne diesen Hotfix läuft nix im Zusammenhang mit 2008!!
KeinDurchblick
KeinDurchblick May 14, 2011 at 09:48:44 (UTC)
Goto Top
Das ist eine super Sache, zumal die "blöden" Freigaben nicht gleich sichtbar sind (im Explorer).
Ich werde es in Zusammenhang mit DFS einsetzen.
lenny4me
lenny4me May 19, 2011 at 07:20:46 (UTC)
Goto Top
Hallo,

habe dein Laufwerksmapping übernommen und es funktioniert.
Was mir aber auffällt. Wenn ich einen GPO Ergebnissatz für einen Recher erstelle wird mir folgendes angezeigt.

Ausschlaggebendes Gruppenrichtlinienobjekt netuse
Ergebnis: Fehler (Fehlercode: 0x80070005)

Das Laufwerk wird gemappt. Der User hat Zugriff. Kurz gesagt, alles funktioniert wie es soll. Ich weis nur nicht warum dieser Fehler auftaucht.
Hast du (oder sonst jemand) eine Idee waoran das liegen könnte?
lenny4me
lenny4me Jun 15, 2011 at 09:47:47 (UTC)
Goto Top
push
DevTig
DevTig Aug 16, 2011 at 09:38:38 (UTC)
Goto Top
Hallo,

ist eine schnelle und relativ übersichtliche Anleitung.

Es gibt aber noch einen anderen Ansatz der Erwähnenswert wäre, in dem Fall DFS und ABE.
Dadurch spare ich mir ein paar GPO's mehr und die User sehen nur das was sie sollen.

Grüße DevTig