gruenesossemitspeck
Goto Top

GPOs bezüglich dem Mounten von Laufwerken

Hallo,
wir hatte neulich eine Zuckung in unserem Netz (ca. 250.000 Clients) wo mit einem Mal das Verbinden von Shares in nicht-vertrauten Domains verweigert wurde.
Da die GPOs von einem Dienstleister verwaltet werden, ist es sehr schwierig, von denen Informationen zu erhalten, was sie aktuell gerade so tun oder geändert haben.

Beispiel:
Mein Client -PC hat ein Computerkonto in DomainA mein User hat einen User-Account sind in DomainA
Ich habe einen Share auf einem Server in DomainB

Die beiden Domänen haben keine Vertrauensstellung.

Ich wollte den Share authentifizieren mit

net use x: \\<server in DomainB>\shareInDomainB /user:DomainB\Administrator

Das wurde mir auf einem PC mit Computerkonto in DomainA verweigert mit einer Fehlermeldung "Ihre Workstation hat kein Computerkonto in der Domäne" oder so ähnlich.

Leider ist das Verhalten in der Zwischenzeit wieder verschwunden und von dem genauen Wortlaut der Meldung gibts keine Screenshots.
Ich hatte zu dem Zeitpunkt leider auch nicht genug Rechte, um ein gpresult aufzurufen, und nun fragen wir uns alle, was das gewesen ist.

Meine Frage ist deshalb:

Gibt es eine optionale GPO (ich vermute mal Computerrichtlninie) die vor der User-Authentifizierung an einem Share auch noch das Vorhandensein eines Computerkontos erzwingt?

Ich hab mir einen Wolf gesucht und nichts Sinnvolles gefunden. Und wie gesagt, unsere GPOs sind vor einer Woche aktualisiert worden und seitdem ist das Problem verschwunden.
Um das in einer Sandbox Umgebung zu reproduzieren, benötige ich ein paar Hinweise...

Content-Key: 351975

Url: https://administrator.de/contentid/351975

Ausgedruckt am: 19.03.2024 um 05:03 Uhr

Mitglied: emeriks
emeriks 17.10.2017 um 14:16:30 Uhr
Goto Top
Hi,
das Computerkonto in DomäneB würde nichts nützen, weil der Client ja aktuell mit dem der DomäneA angemeldet ist. Er kann nicht in 2 Domänen gleichzeitig sein.

Unabhängig davon:
Meines Wissens - muss man beim "net use" immer eine Freigabe angeben, nicht bloß den Server. Ich kann mich irren ...

Hast Du schon mal versucht, statt mittels "net use" dann mittels "cmdkey" Anmeldedaten anzugeben?

E.
Mitglied: GrueneSosseMitSpeck
GrueneSosseMitSpeck 18.10.2017 um 12:33:04 Uhr
Goto Top
öhm diese Kommdozeile bezieht sich auf einen Share...

net use x: \\<server in DomainB>\shareInDomainB /user:DomainB\Administrator

da das Problem wieder weg ist, und ich mir ohne Kenntnis der verantwortlichen GPO das Problem auch nicht reproduziren kann, war ja meine Frage, welche Stellen in einer GPO damit zu tun haben könnte...
Mitglied: GrueneSosseMitSpeck
GrueneSosseMitSpeck 18.10.2017 um 12:35:47 Uhr
Goto Top
p.s. ab Windows 2008R2 bzw. Windows 7 geht der Net Use auch auf den Rechnernamen ohne Share, ferner sind mittlerweile auch Unterordner mountbar nach dem Muster

net use x: \\server\share\folder1\subfolder9

In älteren Windows-Ständen war nur die Syntax erlaubt:

net use x: \\server\share