leon123
Goto Top

GPO - Laufwerke - Linuxserver und Windows 10

Hallo zusammen,

ich habe eine simple GPO mit Laufwerksverknüpfung erstellt, die auf einen Linuxserver mit speziellen Anmeldedaten zeigt. Auf unserem 2012er Server funktioniert die GPO auch. Allerdings auf den Windows 10 Maschinen nicht...

Ich habe jetzt noch eine weitere Laufwerksverküpfung mit Ziel auf unseren Fileserver gemacht und siehe da, das funktioniert sofort.

In der Ereignisanzeige ist kein Fehler und gresult /r sagt auch, dass die GPO angewendet wird...


Weiß jemand von einer Besonderheit auf einer Windows 10 Maschine?


Danke und Grüße
Leon

Content-Key: 393383

Url: https://administrator.de/contentid/393383

Ausgedruckt am: 19.03.2024 um 02:03 Uhr

Mitglied: itisnapanto
itisnapanto 20.11.2018 um 16:46:17 Uhr
Goto Top
Moin ,

Ohne grundlegende Infos schmeiß ich mal WMI Filterung in die Runde.

Gruss Michael
Mitglied: leon123
leon123 20.11.2018 um 16:49:16 Uhr
Goto Top
Ups nicht zu lange gegoogelt, ich schätze es liegt daran:
https://www.windowspro.de/wolfgang-sommergut/netzlaufwerke-verbinden-gro ...

https://support.microsoft.com/de-de/help/2962486/ms14-025-vulnerability- ...


Da unser DC ein 2008er ist, erlaubt er diese Einstellung. Hat aber auf den Windows 10 Rechner vermutlich deswegen keine Wirkung.


Auf den Linux Servern ist aber der Aufwand zu hoch die Rechte dementsprechend anzupassen, sodass der AD-User automatisch den Zugriff hat.
Gibt es einen Workaround?
Mitglied: nEmEsIs
nEmEsIs 20.11.2018 um 19:05:33 Uhr
Goto Top
Hi

Ja Laufwerke per Logonskript.
Nicht schön aber es geht.

Mit freundlichen Grüßen Nemesis
Mitglied: erikro
erikro 21.11.2018 um 09:11:31 Uhr
Goto Top
Moin,

Zitat von @leon123:
Auf den Linux Servern ist aber der Aufwand zu hoch die Rechte dementsprechend anzupassen, sodass der AD-User automatisch den Zugriff hat.

Also bitte! Das ist genauso einfach wie unter Windows, wenn nicht sogar einfacher.

man setfacl

Gibt es einen Workaround?

Richtig machen. Wenn die User einen gemeinsamen Zugriff auf die Ressource brauchen, dann wird dafür eine Gruppe eingerichtet, der Gruppe werden die Rechte gegeben und die User kommen da rein. Naja, wenn man es ganz richtig macht in der Domain, dann hat man lokale und globale Gruppen ... Aber wir wollen ja nicht übertreiben. face-wink

Liebe Grüße

Erik
Mitglied: 121416
121416 21.11.2018 um 11:24:40 Uhr
Goto Top
Ich vermute mal, du verwendest SAMBA. Welche Version und welches Linux? Wenn da sonst nichts läuft und er Domänenmitglied werden darf, ist das in 10 Minuten erledigt.
Mitglied: leon123
leon123 21.11.2018 um 18:35:42 Uhr
Goto Top
Wir haben lokale und globale Gruppen, den Sinn bei einer nur einer Domäne verstehe ich aber nicht...
Mitglied: erikro
erikro 22.11.2018 um 08:30:06 Uhr
Goto Top
Moin,

Zitat von @leon123:

Wir haben lokale und globale Gruppen, den Sinn bei einer nur einer Domäne verstehe ich aber nicht...

Dann solltest Du vielleicht erstmal lernen, wie das AD geht, bevor Du dran rumspielst. ;) Guck mal hier:
https://www.faq-o-matic.net/2011/03/07/windows-gruppen-richtig-nutzen/

Und google nach: AGDLP-Prinzip.

Liebe Grüße

Erik
Mitglied: leon123
leon123 22.11.2018 um 10:27:56 Uhr
Goto Top
Hallo Erik, danke für deine Antwort...

Mir ist das Prinzip schon klar, aber hier wurden so einfach identische lokale und globale Gruppen angelegt. Also z.B. Buchhaltung-lokal und Buchhaltung-global.

Dann wurden die User in die Globale gepackt und die Globale Gruppe in die Lokale Gruppe. Alles gut soweit. Allerdings habe ich dudurch keinen Vorteil, denn ich könnte gleich die Globale Gruppe benutzen für die Rechteverteilung...

Für mich macht das AGDLP Prinzip nur dann Sinn wenn es eine die Buchhaltung-lokal z.b. Finanzen-lokal heißt und dann in diese Gruppe die Buchhaltung-global und z.B. Geschäftsführer-global enthalten ist...
Mitglied: erikro
erikro 22.11.2018 um 12:04:08 Uhr
Goto Top
Moin,

Zitat von @leon123:
Für mich macht das AGDLP Prinzip nur dann Sinn wenn es eine die Buchhaltung-lokal z.b. Finanzen-lokal heißt und dann in diese Gruppe die Buchhaltung-global und z.B. Geschäftsführer-global enthalten ist...

Genau so ist es. Wenn man es richtig macht, kann man fast immer die User selbst in nur eine Gruppe einfügen. Was Du beschreibst, ist allerdings ein wenig sinnbefreit, wenn auch zukunftssicher, wenn die Struktur mal komplizierter werden sollte.

Liebe Grüße

Erik