Tags: Gruppenrichtlinien, Dateisystem
Wenn man Netzlaufwerke beim Anmelden eines Benutzers verbinden möchte, dann bietet Windows dafür das Kommandozeilen-Tool net use. In der Regel führt man es in Login-Scripts aus. Will man die Zuordnung von Laufwerksbuchstaben zu Netzfreigaben von bestimmten Kriterien abhängig machen, dann kann dies in Programmieraufwand ausarten. Einfacher und mächtiger als solche althergebrachten Verfahren sind Group Policy Preferences.
Nutzt man Batch-Dateien für Login-Scripts, dann sind die Möglichkeiten für das Abfragen von bestimmten Kriterien recht bescheiden, meistens überprüft man die Existenz von Dateien oder den Wert von Umgebungsvariablen. In vielen Fällen kommt man nicht um die Nutzung von Hilfsprogrammen herum, beispielsweise um festzustellen, ob der User lokal oder in einer Terminal-Session arbeitet. Eine Alternative ist daher etwa das Einbetten von net use in Powershell, weil diese mächtiger ist als die Stapelverarbeitung von cmd.exe.
Group Policy Preferences ersetzen Scripts
Seit der Einführung von Group Policy Preferences (GPP) mit Windows Server 2008 besteht aber keine Notwendigkeit mehr, sich mit Programmierung von Scripts herumzuschlagen, um Netzlaufwerke oder Netzwerkdrucker zu verbinden. Durch das so genannte Item Level Targeting lassen sich fast alle Parameter einer Benutzerumgebung abfragen, um diesen gezielt Freigaben zuzuordnen. Dies funktioniert übrigens auch noch mit Windows XP, wenn man dort die erforderlichen Client Side Extensions installiert.
Erstellen eines GPO
Im ersten Schritt legt man über die Gruppenrichtlinienverwaltung ein neues GPO an und öffnet es zur Bearbeitung mit dem Gruppenrichtlinienverwaltungs-Editor. Dort navigiert man zu Benutzerkonfiguration => Einstellungen => Windows-Einstellungen => Laufwerkzuordnungen. Anschließend führt man aus dem Menü den Befehl Aktion => Neu => Zugeordnetes Laufwerk aus.
Bestehende Zuordnungen ersetzen oder aktualisieren
Der folgende Dialog bietet mehrere Einstellungen zur Auswahl, die meisten sind selbsterklärend. Das Hinterlegen von Passwörtern wurde aus Sicherheitsgründen schon vor einiger Zeit deaktiviert. Bereits gespeicherte Kennwörter können daher nicht mehr geändert und neue nicht mehr eingegeben werden, weil das entsprechende Feld ausgegraut ist (siehe dazu das entsprechende Support-Dokument von Microsoft).
Auf Anhieb nicht ganz klar ist die Entscheidung zwischen Erstellen, Ersetzen und Aktualisieren (default):
- Erstellen bedeutet, dass eine Zuordnung eingerichtet wird, wenn eine Freigabe \\server\share noch nicht verbunden wurde, andernfalls passiert nichts.
- Ersetzen löscht eine vorhandene Verbindung mit einem Share und richtet sie gemäß den GPP-Einstellungen neu ein. Wurde jedoch eine Freigabe noch nicht verbunden, dann erzeugen die Client Side Extensions eine neue Zuordnung.
- Aktualisieren verändert eine bestehende Zuordnung, indem die Einstellungen aus der GPP übernommen werden, wenn eine Verbindung für die Freigabe bereits besteht. Beispielweise würde dadurch der Laufwerksbuchstabe geändert. Existiert für ein Share keine Zuordnung, dann wird sie eingerichtet.
In der Regel wird man die Option Ersetzen wählen, um sicherzustellen, dass eventuell vom Benutzer angelegte Zuordnungen beseitigt und zentrale Vorgaben durchgesetzt werden. Wenn man möchte, dass die Verbindung mit einer Freigabe entfernt wird, sobald die Kriterien für die Zuordnung nicht mehr zutreffen (z.B. weil ein Benutzer aus einer Gruppe entfernt wurde), dann muss man ohnehin Ersetzen wählen.
Die Einstellung für das Entfernen einer Verbindung mit einem Netzlaufwerk findet sich auf der Registerkarte Gemeinsame Optionen, sie lässt sich nur in Kombination mit Ersetzen aktivieren.
Sichtbarkeit im Explorer steuern
Etwas rätselhaft wirken auf der ersten Seite des Dialogs die Abschnitte Laufwerk aus-/einblenden sowie Alle Laufwerke aus-/einblenden. Sie entscheiden darüber, ob die zugeordneten Laufwerke im Explorer angezeigt werden. Dabei setzt sich Laufwerk aus-/einblenden durch, wenn aus beiden Abschnitten sich widersprechende Einstellungen gewählt wurden.
Die bis zu diesem Punkt verfügbaren Einstellungen führen dazu, dass die damit definierten Laufwerkzuordnungen für alle User eines AD-Containers (Domäne, OU) gelten, mit dem das GPO verknüpft wurde.
Kriterien für die Zielgruppe festlegen
Die passgenaue Einschränkung auf bestimmte User erfolgt erst über die Zielgruppenadressierung auf Elementebene (Registerkarte Gemeinsame Optionen). In den meisten Fällen wird man hier die Zuordnung eines Share von der Gruppenzugehörigkeit eines Benutzers abhängig machen (Option Sicherheitsgruppe). Beim folgenden Dialog zur Festlegung der Gruppe sollte man den Auswahldialog benutzen, weil nur so die SID der Gruppe eingetragen wird. Das Eintippen des Gruppennamens alleine reicht nicht.
Standardmäßig legt man mit der Auswahl einer oder mehreren Gruppen fest, dass die User ihr angehören müssen, damit die Regel greift. Allerdings besteht auch die Möglichkeit die Bedingung umzudrehen und das Laufwerk nur zuzuordnen, wenn User nicht Mitglied einer oder mehreren Gruppen sind. Zu diesem Zweck unterstützt das Item Level Targeting die Operatoren nicht, und, oder.
Einfachere Regeln durch Negation
Sinnvoll ist die Negation dann, wenn ein Netzlaufwerk für die meisten Benutzer verbunden werden soll, während wenige Gruppen außen vorbleiben. Diese Ausnahmen lassen sich innerhalb einer Regel mit dem Operator oder verketten und anschließend negieren. Das GPO kann man dann einer Domäne oder einer übergeordneten OU zuordnen.
Umgekehrt gilt natürlich auch, dass man die Mitgliedschaft als Kriterium dann wählt, wenn nur eine Minderheit ein Netzlaufwerk erhalten soll. Andernfalls müssten mehr Gruppen in die Liste aufgenommen werden als draußen bleiben, was auch die Abarbeitung der Bedingung verlangsamt.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
- Neue Policies: SMB NTLM blockieren, minimale SMB-Version erzwingen
- NTFS-Berechtigungen über Gruppenrichtlinien anpassen
- Dateien und Verzeichnisse mit langen Namen löschen (in PowerShell)
- Suche in Windows 10: Cortana abschalten, Bing deaktivieren
- Speicherplatz für Benutzer mit GPOs oder FSRM begrenzen
Weitere Links
21 Kommentare
Danke erstmal für diesen Beitrag!
Nach einigen Tests mit den GPPs ist es mir jedoch noch nicht gelungen einem Notebook, welches mal nicht mit der Domäne verbunden ist, beizubringen, dass es dann diese Netzlaufwerke nicht verbindet.
Geht das überhaupt mit den GPPs?
VG
DB
Kann es sein, dass es sich dabei um persistente Mappings handelt? Die können noch früher über net share oder den Explorer gesetzt worden sein. Bei der Verwendung von GPP werden Mappings persistent, wenn man die Option "Wiederverbinden" aktiviert. Wofür die überhaupt gut ist, erschließt sich mir nicht, weil die Client Side Extensions ohnehin bei jedem Login die Laufwerke zuordnen.
Ich würde empfehlen, alle persistenten Mapping zu löschen (entweder über die Aktion "Löschen" in den GPP oder über net use * /delete). Anschließend sollten die GPOs alle definierten Laufwerke zuordnen.
Dann kann offenbar der Fall auftreten, dass der Explorer die Netzlaufwerke als nicht verbunden anzeigt, wenn ein Rechner offline ist. Dafür hat Microsoft einen Hotfix veröffentlicht.
Ja, genau das Problem mit den persistenten Mappings meinte ich. Net Share benutze ich nur noch für VPN, aber da auch nur nonpersistent.
Kurzum, der Tip mit dem hotfix hat mein Problem gelöst. Offline werden die Netzlaufwerke nun nicht mehr angezeigt.
Vielen Dank und Gruß aus Mainz
DB
PS: mir erschließt sich im übrigen nicht, warum man so einen Bug erst mühsam selbst "weginstallieren" muß und dies nicht über den Mircrosoft-Update-Mechanismus behoben wird. Windows 7 gibts ja mittlerweile lang genug! Tja, so ist das eben...
Danke für den Beitrag! Es hat wunderbar geklappt.
Danke für den sehr hilfreichen Beitrag, nun bin ich ein gutes Stück weiter in meinem Projekt! :)
Vielen Dank für den hilfreichen Artikel.
Allerdings sollten Sie noch erwähnen, dass der Laufwerksbereich der GPP im Default mit dem Benutzerkontext des lokalen Systemkontos ausgeführt wird.
So hatte ich bei meinen ersten Tests stets die Fehlermeldung "Netzwerkpfad nicht gefunden" da das lokale Systemkonto natürlich keine Rechte auf der Freigabe hatte.
Erst nachdem ich die Option "im Sicherheitskontext des angemeldeten Benutzers" in den gemeinsamen Optionen aktiviert hatte, hat die Laufwerkszuweisung korrekt funktioniert.
Vielen Dank für die Hilfe!
Funktioniert wunderbar auch mit Server 2012 und Windows 8.
Hallo,
gibt es einen Weg den Pfad nutzerabhängig einzubinden?
Habe hier 40 Nutzer und jeder hat einen freigegebenen Ordner im Netzwerk, welcher als Netzlaufwerk eingebunden wird. Dies würde ich nun gerne automatisieren...
MfG
Chris
Das sollte über die Umgebungsvariable LogonUser kein Problem sein. Siehe dazu diesen Blog-Beitrag auf TechNet.
Wir setzen bei uns den Verknüpfungsverteiler ein, hier werden nach AD Zugehörigkeit (Gruppe / Benutzername) die Verk. erstellt. Klappt prima!
Kann ich nur so weiter empfehlen!!!
Das klappt alles prima.... wenn ich nicht noch zwei Linux-Server hätte, die nicht im AD hängen und mit einem besonderen User connected werden müssten.
Nach einem Sicherheits-Patch wurde das "connect as" ja deaktiviert.
Hat hier jemand eine Idee für mich, wie ich das lösen könnte?
Vielen Dank im voraus
Christoph
Das "Ersetzen" bei der Laufwerkeszuweisung funktioniert bei mir nicht, nachdem der User aus der Gruppe entfernt wurde.
Das Laufwerk ist weiterhin vorhanden.
Irgendwie auch logisch, da das script ja nur der Grp FIBU zugeordnet ist und der User nun nicht mehr dazu gehört.
Habe schon versucht, als ersten Schritt alle Laufwerke löschen zu lassen.
Aber über die GPP klappt das irgendwie so nicht.
Jedenfalls kriege ich das Löschen nicht an Pos. 1
Falls jemand eine Idee hat, immer her damit ...
greetz
Der Rico
Windows Server 2008 R2, Win 7 Pro,
Meine Laufwerkszuweisung über GPO wird erstellt, jedoch wird der Inhalt des Laufwerks im späteren Verlauf der Sitzung auf einigen Arbeitsplätzen nicht aktualisiert. Erst eine neue Anmeldung des Benutzers stellt den Inhalt des Laufwerks korrekt dar?
Was kann ich für stabiles Verhalten tun?
Danke
Siegfried
Noch eine kleine Anmerkung zu den Verbindungstypen und damit verbundenen Problemen: Wenn man "Ersetzen" wählt, bekommt man ab Windows 8.1 möglicherweise Probleme. Ab 8.1 werden die GPO alle 90 Minuten aktualisiert, was bedeutet, dass auch alle 90 Minuten die Netzlaufwerke für einen ganz kurzen Moment getrennt und neu verbunden werden. Wenn ein Kopierprozess läuft, wird der abgebrochen.
Auf dieses Problem bin ich gestoßen, weil Kopiervorgänge immer wieder abgebrochen sind. Nach ewiger Sucherei habe ich dann das Beschriebene herausgefunden. Seitdem ich auf "aktualisieren" umgestellt habe, sind die Netzwerkverbindungen stabil.
Daniel
Habe dzt. bei einigen systemen probleme mit über GPO zugewiesene Netzlaufwerke.
wir verwenden hier sicherheitsfilter mit Gruppen.
(wenn ich die gruppe "authentifizierte benutzer" hinzufüge, ist das netzlaufwerk gemappt !!)
Benutzerberechtigung kann es nicht sein, (wurde auch überprüft) bzw. passiert es bei 4-5 Systemen - da wurde in letzter zeit auch nichts geändert.
seit dieser woche werden die laufwerke nicht mehr zugewiesen.
ich vermute da stark, dass es sich um ein problematisches windows update von Windows 7 handelt ?
kann das wer bestätigen ?
Wahrscheinlich eine Nebenwirkung von KB3163622. Die Lösung besteht dann darin, Authentifizierte Benutzer wieder zu den GPOs hinzuzufügen und nur mit Leseberechtigung auszustatten.
hallo wolfgang !
danke für die info.
ich hab gerade auch die letzten windows updates wieder entfernt - neustart, danach gingen die netzwlaufwerke wieder...
witzigerweise war das KB3163622 nicht dabei ...
hab die vorher installierten updates leider nur als grafik, deswegen kann ich sie hier nicht posten....
Als Nachtrag:
MS16-072 – Known Issue – Use PowerShell to Check GPOs
https://blogs.technet.microsoft.com/poshchap/2016/06/16/ms16-072-known-issue-use-powershell-to-check-gpos/
Ist es möglich per GPO eine Netzlaufwerkverbindung herzustellen, die als Variable den Benutzernamen enthält?
Also nach der Art \\Server\%USERNAME%\Ordername
in einer Batchdatei funktioniert das tadellos. Aber über Gruppenrichtlinie scheint es mit dem %-Platzhalter nicht zu funktionieren.
Gibt es da ein anderes Zeichen, was verwendet werden muss?
Ja, einfach im Feld "Speicherort" die Taste F3 drücken. Dann erscheint die Liste aller unterstützten Variablen.
Vielen herzlichen Dank.
Das war genau der entscheidende Tastendruck, den ich gesucht hatte.