Netzlaufwerke verbinden mit Group Policy Preferences

Über das Item-Level-Targeting lassen sich Vorgaben gezielt auf bestimmte Rechner oder User eingrenzen.Wenn man ausgewählte Netzlaufwerke beim Anmelden eines Benutzers verbinden möchte, dann bietet Windows dafür das Kommandozeilen-Tool net use. In der Regel führt man es in Login-Scripts aus. Wenn man die Zuordnung von Lauf­werks­buchstaben zu Netzfreigaben von bestimm­ten Kriterien abhängig machen will, dann kann dies in erheblichen Programmier­aufwand ausarten. Ein­facher und mächtiger als solche althergebrachten Verfahren sind Group Policy Preferences.

Nutzt man Batch-Dateien für Login-Scripts, dann sind die Möglichkeiten für das Abfragen von bestimmten Kriterien recht bescheiden, meistens überprüft man die Existenz von Dateien oder den Wert von Umgebungsvariablen. In vielen Fällen kommt man nicht um die Nutzung von Hilfsprogrammen herum, beispielsweise um festzustellen, ob der User lokal oder in einer Terminal-Session arbeitet. Eine Alternative ist daher etwa das Einbetten von net use in Powershell, weil diese mächtiger ist als die Stapelverarbeitung von cmd.exe.

Group Policy Preferences ersetzen Scripts

Seit der Einführung von Group Policy Preferences (GPP) mit Windows Server 2008 besteht aber keine Notwendigkeit mehr, sich mit Programmierung von Scripts herumzuschlagen, um Netzlaufwerke oder Netzwerkdrucker zu verbinden. Durch das so genannte Item Level Targeting lassen sich fast alle Parameter einer Benutzerumgebung abfragen, um diesen gezielt Freigaben zuzuordnen. Dies funktioniert übrigens auch noch mit Windows XP, wenn man dort die erforderlichen Client Side Extensions installiert.

Erstellen eines GPO

Im ersten Schritt legt man über die Gruppen­richt­linien­verwaltung ein neues GPO an und öffnet es zur Bearbeitung mit dem Gruppen­richt­linien­verwaltungs-Editor. Dort navigiert man zu Benutzerkonfiguration => Einstellungen => Windows-Einstellungen => Laufwerkzuordnungen. Anschließend führt man aus dem Menü den Befehl Aktion => Neu => Zugeordnetes Laufwerk aus.

Die Aktion 'Ersetzen' muss man wählen, wenn die Verbindung mit dem Netzlaufwerk wieder automatisch entfernt werden soll.

Bestehende Zuordnungen ersetzen oder aktualisieren

Der folgende Dialog bietet mehrere Einstellungen zur Auswahl, die meisten sind selbsterklärend. Auf Anhieb nicht ganz klar ist die Entscheidung zwischen Erstellen, Ersetzen und Aktualisieren (default):

  • Erstellen bedeutet, dass eine Zuordnung eingerichtet wird, wenn eine Freigabe \\server\share noch nicht verbunden wurde, andernfalls passiert nichts.
  • Ersetzen löscht eine vorhandene Verbindung mit einem Share und richtet sie gemäß den GPP-Einstellungen neu ein. Wurde jedoch eine Freigabe noch nicht verbunden, dann erzeugen die Client Side Extensions eine neue Zuordnung.
  • Aktualisieren verändert eine bestehende Zuordnung, indem die Einstellungen aus der GPP übernommen werden, wenn eine Verbindung für die Freigabe bereits besteht. Beispielweise würde dadurch der Laufwerksbuchstabe geändert. Existiert für ein Share keine Zuordnung, dann wird sie eingerichtet.

In der Regel wird man die Option Ersetzen wählen, um sicherzustellen, dass eventuell vom Benutzer angelegte Zuordnungen beseitigt und zentrale Vorgaben durchgesetzt werden. Wenn man möchte, dass die Verbindung mit einer Freigabe entfernt wird, sobald die Kriterien für die Zuordnung nicht mehr zutreffen (z.B. weil ein Benutzer aus einer Gruppe entfernt wurde), dann muss man ohnehin Ersetzen wählen.

Die Einstellung für das Entfernen einer Verbindung mit einem Netzlaufwerk findet sich auf der Registerkarte Gemeinsame Optionen, sie lässt sich nur in Kombination mit Ersetzen aktivieren.

Sichtbarkeit im Explorer steuern

Etwas rätselhaft wirken auf der ersten Seite des Dialogs die Abschnitte Laufwerk aus-/einblenden sowie Alle Laufwerke aus-/einblenden. Sie entscheiden darüber, ob die zugeordneten Laufwerke im Explorer angezeigt werden. Dabei setzt sich Laufwerk aus-/einblenden durch, wenn aus beiden Abschnitten sich widersprechende Einstellungen gewählt wurden.

Die bis zu diesem Punkt verfügbaren Einstellungen führen dazu, dass die damit definierten Laufwerkzuordnungen für alle User eines AD-Containers (Domäne, OU) gelten, mit dem das GPO verknüpft wurde.

Kriterien für die Zielgruppe festlegen

Damit die Einschränkung des GPO auf bestimmte Gruppen funktioniert, muss ihre SID eingetragen werden.Die passgenaue Einschränkung auf bestimmte User erfolgt erst über die Zielgruppenadressierung auf Elementebene (Registerkarte Gemeinsame Optionen). In den meisten Fällen wird man hier die Zuordnung eines Share von der Gruppen­zuge­hörig­keit eines Benutzers abhängig machen (Option Sicherheitsgruppe). Beim folgenden Dialog zur Festlegung der Gruppe sollte man den Auswahldialog benutzen, weil nur so die SID der Gruppe eingetragen wird. Das Eintippen des Gruppennamens alleine reicht nicht.

Standardmäßig legt man mit der Auswahl einer oder mehreren Gruppen fest, dass die User ihr angehören müssen, damit die Regel greift. Allerdings besteht auch die Möglichkeit die Bedingung umzudrehen und das Laufwerk nur zuzuordnen, wenn User nicht Mitglied einer oder mehreren Gruppen sind. Zu diesem Zweck unterstützt das Item Level Targeting die Operatoren nicht, und, oder.

Einfachere Regeln durch Negation

Sinnvoll ist die Negation dann, wenn ein Netzlaufwerk für die meisten Benutzer verbunden werden soll, während wenige Gruppen außen vorbleiben. Diese Ausnahmen lassen sich innerhalb einer Regel mit dem Operator oder verketten und anschließend negieren. Das GPO kann man dann einer Domäne oder einer übergeordneten OU zuordnen.

Die Bedingungen zur Anwendung eines GPO lassen sich auch negieren sowie mit und/oder verknüpfen.

Umgekehrt gilt natürlich auch, dass man die Mitgliedschaft als Kriterium dann wählt, wenn nur eine Minderheit ein Netzlaufwerk erhalten soll. Andernfalls müssten mehr Gruppen in die Liste aufgenommen werden als draußen bleiben, was auch die Abarbeitung der Bedingung verlangsamt.

10 Kommentare

Bild von DB
DB (Besucher) sagt:

Danke erstmal für diesen Beitrag!

Nach einigen Tests mit den GPPs ist es mir jedoch noch nicht gelungen einem Notebook, welches mal nicht mit der Domäne verbunden ist, beizubringen, dass es dann diese Netzlaufwerke nicht verbindet.

Geht das überhaupt mit den GPPs?

VG
DB

Bild von Wolfgang Sommergut

Kann es sein, dass es sich dabei um persistente Mappings handelt? Die können noch früher über net share oder den Explorer gesetzt worden sein. Bei der Verwendung von GPP werden Mappings persistent, wenn man die Option "Wiederverbinden" aktiviert. Wofür die überhaupt gut ist, erschließt sich mir nicht, weil die Client Side Extensions ohnehin bei jedem Login die Laufwerke zuordnen.

Ich würde empfehlen, alle persistenten Mapping zu löschen (entweder über die Aktion "Löschen" in den GPP oder über net use * /delete). Anschließend sollten die GPOs alle definierten Laufwerke zuordnen.

Dann kann offenbar der Fall auftreten, dass der Explorer die Netzlaufwerke als nicht verbunden anzeigt, wenn ein Rechner offline ist. Dafür hat Microsoft einen Hotfix veröffentlicht.

Bild von DB
DB (Besucher) sagt:

Ja, genau das Problem mit den persistenten Mappings meinte ich. Net Share benutze ich nur noch für VPN, aber da auch nur nonpersistent.

Kurzum, der Tip mit dem hotfix hat mein Problem gelöst. Offline werden die Netzlaufwerke nun nicht mehr angezeigt.

Vielen Dank und Gruß aus Mainz
DB

PS: mir erschließt sich im übrigen nicht, warum man so einen Bug erst mühsam selbst "weginstallieren" muß und dies nicht über den Mircrosoft-Update-Mechanismus behoben wird. Windows 7 gibts ja mittlerweile lang genug! Tja, so ist das eben...

Bild von ITset
ITset (Besucher) sagt:

Danke für den Beitrag! Es hat wunderbar geklappt.

Bild von Dimi
Dimi (Besucher) sagt:

Danke für den sehr hilfreichen Beitrag, nun bin ich ein gutes Stück weiter in meinem Projekt! :)

Bild von Johannes
Johannes (Besucher) sagt:

Vielen Dank für den hilfreichen Artikel.
Allerdings sollten Sie noch erwähnen, dass der Laufwerksbereich der GPP im Default mit dem Benutzerkontext des lokalen Systemkontos ausgeführt wird.
So hatte ich bei meinen ersten Tests stets die Fehlermeldung "Netzwerkpfad nicht gefunden" da das lokale Systemkonto natürlich keine Rechte auf der Freigabe hatte.
Erst nachdem ich die Option "im Sicherheitskontext des angemeldeten Benutzers" in den gemeinsamen Optionen aktiviert hatte, hat die Laufwerkszuweisung korrekt funktioniert.

Bild von IT WallaceTX
IT WallaceTX (Besucher) sagt:

Vielen Dank für die Hilfe!

Funktioniert wunderbar auch mit Server 2012 und Windows 8.

Bild von Christian
Christian (Besucher) sagt:

Hallo,

gibt es einen Weg den Pfad nutzerabhängig einzubinden?

Habe hier 40 Nutzer und jeder hat einen freigegebenen Ordner im Netzwerk, welcher als Netzlaufwerk eingebunden wird. Dies würde ich nun gerne automatisieren...

MfG
Chris

Bild von Wolfgang Sommergut

Das sollte über die Umgebungsvariable LogonUser kein Problem sein. Siehe dazu diesen Blog-Beitrag auf TechNet.

Bild von Franki
Franki (Besucher) sagt:

Wir setzen bei uns den Verknüpfungsverteiler ein, hier werden nach AD Zugehörigkeit (Gruppe / Benutzername) die Verk. erstellt. Klappt prima!

Kann ich nur so weiter empfehlen!!!

Kommentar hinzufügen

Der Inhalt dieses Feldes wird nicht angezeigt. Wenn mit Ihrer angegebenen Mail-Adresse ein Gravatar verknüpft ist, dann wird dieser neben Ihrem Kommentar eingeblendet.
  • Internet- und E-Mail-Adressen werden automatisch umgewandelt.
  • Zulässige HTML-Tags: <a> <em> <strong> <cite> <code> <ul> <ol> <li> <dl> <dt> <dd>
  • Zeilen und Absätze werden automatisch erzeugt.
  • Mail-Adressen werden im Seitenquelltext unkenntlich gemacht, um sie vor dem automatischen Erfassen durch Spammer zu schützen.

Weitere Informationen über Formatierungsoptionen