Netzlaufwerke verbinden mit Group Policy Preferences
Wenn man bestimmte Netzlaufwerke beim Anmelden eines Benutzers
automatisch verbinden möchte, dann bietet Windows dafür das Kommandozeilen-Tool net use. In der Regel führt man es in
Login-Scripts aus. Wenn man die Zuordnung von Laufwerksbuchstaben zu Netzfreigaben von bestimmten Kriterien abhängig machen will, dann kann dies in erheblichen Programmieraufwand ausarten. Einfacher und mächtiger als solche althergebrachten Verfahren sind Group Policy Preferences.
Nutzt man Batchdateien für Login-Scripts, dann sind die Möglichkeiten für das Abfragen von bestimmten Kriterien recht bescheiden, meistens überprüft man die Existenz von Dateien oder den Wert von Umgebungsvariablen. In vielen Fällen kommt man nicht um die Nutzung von Hilfsprogrammen herum, beispielsweise um festzustellen, ob der User lokal oder in einer Terminal-Session arbeitet. Eine Alternative ist daher das Einbetten von net use in Powershell, weil diese mächtiger ist als die Stapelverarbeitung von cmd.exe.
Group Policy Preferences ersetzen Scripts
Seit der Einführung von Group Policy Preferences (GPP) mit Windows Server 2008 besteht aber keine Notwendigkeit mehr, sich mit Programmierung von Scripts herumzuschlagen, um Netzwerkdrucker zu verbinden oder Netzlaufwerke zu verbinden. Durch das so genannte Item Level Targeting lassen sich fast alle Parameter einer Benutzerumgebung abfragen, um diesen gezielt Freigaben zuzuordnen. Dies funktioniert übrigens auch noch mit Windows XP, wenn man dort die erforderlichen Client Side Extensions installiert.
Erstellen eines GPO
Im ersten Schritt legt man über die Gruppenrichtlinienverwaltung eine neues GPO an und öffnet es zur Bearbeitung mit dem Gruppenrichtlinienverwaltungs-Editor. Dort navigiert man zu Benutzerkonfiguration => Einstellungen => Windows-Einstellungen => Laufwerkzuordnungen. Anschließend führt man aus dem Menü den Befehl Aktion => Neu => Zugeordnetes Laufwerk aus.
Bestehende Zuordnungen ersetzen oder aktualisieren
Der folgende Dialog bietet mehrere Einstellungen zur Auswahl, die meisten sind selbsterklärend. Auf Anhieb nicht ganz klar ist die Entscheidung zwischen Erstellen, Ersetzen und Aktualisieren (default):
- Erstellen bedeutet, dass eine Zuordnung eingerichtet wird, wenn eine Freigabe \\server\share noch nicht verbunden wurde, andernfalls passiert nichts.
- Ersetzen löscht eine vorhandene Verbindung mit einem Share und richtet sie gemäß den GPP-Einstellungen neu ein. Wurde jedoch eine Freigabe noch nicht verbunden, dann erzeugen die Client Side Extensions eine neue Zuordnung.
- Aktualisieren verändert eine bestehende Zuordnung, indem die Einstellungen aus der GPP übernommen werden, wenn eine Verbindung für die Freigabe bereits besteht. Beispielweise würde dadurch der Laufwerksbuchstabe geändert. Existiert für ein Share keine Zuordnung, dann wird sie eingerichtet.
In der Regel wird man die Option Ersetzen wählen, um sicherzustellen, dass eventuell vom Benutzer angelegte Zuordnungen beseitigt und zentrale Vorgaben durchgesetzt werden. Wenn man möchte, dass die Verbindung mit einer Freigabe entfernt wird, sobald die Kriterien für die Zuordnung nicht mehr zutreffen (z.B. weil ein Benutzer aus einer Gruppe entfernt wurde), dann muss man ohnehin Ersetzen wählen.
Die Einstellung für das Entfernen einer Verbindung mit einem Netzlaufwerk findet sich auf der Registerkarte Gemeinsame Optionen, sie lässt sich nur in Kombination mit Ersetzen aktivieren.
Sichtbarkeit im Explorer steuern
Etwas rätselhaft wirken auf der ersten Seite des Dialogs die Abschnitte Laufwerk aus-/einblenden sowie Alle Laufwerke aus-/einblenden. Sie entscheiden darüber, ob die zugeordneten Laufwerke im Explorer angezeigt werden. Dabei setzt sich Laufwerk aus-/einblenden durch, wenn aus beiden Abschnitten sich widersprechende Einstellungen gewählt wurden.
Die bis zu diesem Punkt verfügbaren Einstellungen führen dazu, dass die damit definierten Laufwerkzuordnungen für alle User eines AD-Containers (Domäne, OU) gelten, mit dem das GPO verknüpft wurde.
Kriterien für die Zielgruppe festlegen
Die passgenaue Einschränkung auf bestimmte User erfolgt erst
über die Zielgruppenadressierung auf Elementebene
(Registerkarte Gemeinsame Optionen). In den meisten Fällen wird man hier die Zuordnung eines Share von der Gruppenzugehörigkeit eines Benutzers abhängig machen (Option Sicherheitsgruppe). Beim folgenden Dialog zur Festlegung der Gruppe sollte man den Auswahldialog benutzen, weil nur so die SID der Gruppe eingetragen wird. Das Eintippen des Gruppennamens alleine reicht nicht.
Standardmäßig legt man mit der Auswahl einer oder mehreren Gruppen fest, dass die User ihr angehören müssen, damit die Regel greift. Allerdings besteht auch die Möglichkeit die Bedingung umzudrehen und das Laufwerk nur zuzuordnen, wenn User nicht Mitglied einer oder mehreren Gruppen sind. Zu diesem Zweck unterstützt das Item Level Targeting die Operatoren nicht, und, oder.
Einfachere Regeln durch Negation
Sinnvoll ist die Negation dann, wenn ein Netzlaufwerk für die meisten Benutzer verbunden werden soll, während wenige Gruppen außen vorbleiben. Diese Ausnahmen lassen sich innerhalb einer Regel mit dem Operator oder verketten und anschließend negieren. Das GPO kann man dann einer Domäne oder einer übergeordneten OU zuordnen.
Umgekehrt gilt natürlich auch, dass man die Mitgliedschaft
als Kriterium dann wählt, wenn nur eine Minderheit ein Netzlaufwerk erhalten soll. Andernfalls müssten mehr Gruppen in die Liste aufgenommen werden als draußen bleiben, was auch die Abarbeitung der Bedingung verlangsamt.
Ähnliche Beiträge
- Speicherplatz für Benutzer mit GPOs oder FSRM begrenzen
- Gruppenrichtlinien: Umgebungsvariablen setzen und abfragen
- Set-Location: Verzeichnis und Registry-Position wechseln in PowerShell
- MDOP 2013 bringt BitLocker Administration and Monitoring 2.0
- Ontrack EasyRecovery 10.1: Datenrettung für Windows 8
6 Kommentare
Danke erstmal für diesen Beitrag!
Nach einigen Tests mit den GPPs ist es mir jedoch noch nicht gelungen einem Notebook, welches mal nicht mit der Domäne verbunden ist, beizubringen, dass es dann diese Netzlaufwerke nicht verbindet.
Geht das überhaupt mit den GPPs?
VG
DB
Kann es sein, dass es sich dabei um persistente Mappings handelt? Die können noch früher über net share oder den Explorer gesetzt worden sein. Bei der Verwendung von GPP werden Mappings persistent, wenn man die Option "Wiederverbinden" aktiviert. Wofür die überhaupt gut ist, erschließt sich mir nicht, weil die Client Side Extensions ohnehin bei jedem Login die Laufwerke zuordnen.
Ich würde empfehlen, alle persistenten Mapping zu löschen (entweder über die Aktion "Löschen" in den GPP oder über net use * /delete). Anschließend sollten die GPOs alle definierten Laufwerke zuordnen.
Dann kann offenbar der Fall auftreten, dass der Explorer die Netzlaufwerke als nicht verbunden anzeigt, wenn ein Rechner offline ist. Dafür hat Microsoft einen Hotfix veröffentlicht.
Ja, genau das Problem mit den persistenten Mappings meinte ich. Net Share benutze ich nur noch für VPN, aber da auch nur nonpersistent.
Kurzum, der Tip mit dem hotfix hat mein Problem gelöst. Offline werden die Netzlaufwerke nun nicht mehr angezeigt.
Vielen Dank und Gruß aus Mainz
DB
PS: mir erschließt sich im übrigen nicht, warum man so einen Bug erst mühsam selbst "weginstallieren" muß und dies nicht über den Mircrosoft-Update-Mechanismus behoben wird. Windows 7 gibts ja mittlerweile lang genug! Tja, so ist das eben...
Danke für den Beitrag! Es hat wunderbar geklappt.
Danke für den sehr hilfreichen Beitrag, nun bin ich ein gutes Stück weiter in meinem Projekt! :)
Vielen Dank für den hilfreichen Artikel.
Allerdings sollten Sie noch erwähnen, dass der Laufwerksbereich der GPP im Default mit dem Benutzerkontext des lokalen Systemkontos ausgeführt wird.
So hatte ich bei meinen ersten Tests stets die Fehlermeldung "Netzwerkpfad nicht gefunden" da das lokale Systemkonto natürlich keine Rechte auf der Freigabe hatte.
Erst nachdem ich die Option "im Sicherheitskontext des angemeldeten Benutzers" in den gemeinsamen Optionen aktiviert hatte, hat die Laufwerkszuweisung korrekt funktioniert.
Kommentar hinzufügen