Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Laufwerkszuordnung per Gruppenrichtlinien

Anleitung Microsoft Windows Server

Mitglied: TheToxic

TheToxic (Level 1) - Jetzt verbinden

07.07.2010, aktualisiert 14.07.2010, 71621 Aufrufe, 21 Kommentare, 5 Danke

Basierend auf einer Windows Server 2003-Domäne mit der Gruppenrichtlinienerweiterung von Vista und Win7

Heute möchte ich euch erklären, wie man jedem Benutzer oder Computer in einer Domäne eine Laufwerk elegant ohne Scriptingkenntnisse zuweisen kann.

Wir gehen von einer Win2003-Domäne aus. Alle hier genannten Freigaben haben die nötigen Berechtigungen, sodass diese verbunden werden können.

Beispiel

Gegeben sei folgendes:
  • 6 Benutzer bzw. Clients
    • Sesselpuper (Geschäftsleitung)
    • Maier (Finanzbuchhaltung)
    • Hans (Finanzbuchhaltung)
    • Schulz (EDV)
    • Handwerker1
    • Handwerker2
    • PC-Werkstatt1
    • PC-Werkstatt2
  • 4 verschiedene Laufwerksfreigaben
    • Öffentlicher Datenaustausch --> LW: X
    • Abteilungs-Verzeichnis --> LW: Y
    • Software --> LW: S
    • CAD-Software mit notwendigem Netzlaufwerk --> LW: Z
  • Clients mit verschiedenen Betriebssystemen
    • Geschäftsleitung - Windows 7
    • Finanzbuchhaltung - Windows Vista
    • EDV - Windows 7
    • Werkstatt - Windows XP

Es soll folgendes realisiert werden:
  • Die Geschäftsleitung soll Zugriff nur auf den Öffentlichen Datenaustausch haben
  • Alle benutzer sollen Zugriff auf das Abteilungs-Verzeichnis und den Öffentlichen Datenaustausch haben
  • Die EDV soll Zugriff auf alle Freigaben haben
  • Die Computer der Handwerker sollen Zugriff auf die Freigabe für die CAD-Software haben --> Somit kann jeder Benutzer, der sich an diesem PC anmeldet die CAD-Software nutzen.
  • Die Benutzer der Werkstatt sollen Zugriff auf den Offentlichen Datenaustausch und auf das Abteilungs-Verzeichnis haben

1. Arbeitsschritt - Gruppen im ADS pro Laufwerk anlegen

Folgende Gruppen werden in der ADS angelegt:
  • GPO-LWX-Datenaustausch
  • GPO-LWY-Abteilung-Fibu
  • GPO-LWY-Abteilung-EDV
  • GPO-LWY-Abteilung-Werkstatt
  • GPO-LWZ-CAD
  • GPO-LWS-Software

2. Arbeitsschritt - Benutzer in Gruppen im ADS Mitglied werden lassen
Jeder Benutzer oder Computer wird Mitglied einer oder mehrerer Gruppen. Im späteren Abschitt erfolgt anhand dieser Mitgliedschaft die Laufwerkszuordnung.

Folgende Benutzer werden in folgende Gruppen aufgenommen:
  • GPO-LWX-Datenaustausch:
    • Sesselpuper (Geschäftsleitung)
    • Maier (Finanzbuchhaltung)
    • Hans (Finanzbuchhaltung)
    • Schulz (EDV)
    • Handwerker1
    • Handwerker2
  • GPO-LWY-Abteilung-Fibu:
    • Maier (Finanzbuchhaltung)
    • Hans (Finanzbuchhaltung)
  • GPO-LWY-Abteilung-EDV
    • Schulz (EDV)
  • GPO-LWY-Abteilung-Werkstatt
    • Handwerker1
    • Handwerker2
  • GPO-LWZ-CAD
    • PC-Werkstatt1
    • PC-Werkstatt2
    • Schulz (EDV)
  • GPO-LWS-Software
    • Schulz (EDV)

3. Arbeitsschritt - Gruppenrichtlinien für Laufwerkszuweisung anhand der Gruppenzugehörigkeit
GPO anlegen und an die Organisationsanheit hängen, in dem sich die Benutzer befinden.
GPO wie folgt konfigurieren:
Benutzerkonfig -->Einstellungen --> Windows-Einstellungen --> Laufwerkszuordnungen: neues Zugeordnetes Laufwerk anlegen
Einstellungen wie folgt:

202775abb13747651b0cdffdc32be666 - Klicke auf das Bild, um es zu vergrößern
Aktion: Erstellen --> hiermit definiert Ihr das beim Benutzer ein neues Laufwerk angelegt wird
Freigabepfad: \\Servername\Freigabenname --> Pfad zu dem Freigebenen Ordner
Verbindung wiederherstellen: aktiviert --> sollte eine GPO verzögert ausgeführt werden, so wird das Laufwerk durch die vorhergehende Sitzung wiederhergestellt (siehe Net Use /Persistent)


b7774577135247a0d8140d49040b320d - Klicke auf das Bild, um es zu vergrößern
Zielgruppenadressierung... --> aktiviert die Zielgruppenadressierung; hier erfolgt die filterung anhand der Gruppenmitgliedschaften

1. Achtung!!!

Bei Windows 7 gibt es einen Bug inerhalb der Client Side Extension. Dieser ist nicht in der Lage in der Zielgruppenadressierung anhand einer Sicherheitsgruppenzugehörigkeit zu filtern.
Den Hotfix dafür kann man bei MS runterladen und muss diesen bei allen Win7 Clients installieren.
Link zum Beitrag --> GPO - Laufwerkszuweiseung - XP vs. Win7
Link zum Download --> http://support.microsoft.com/kb/976399


Einstellungen der Zielgruppenadressierung am Beispiel des Abteilungslaufwerks für die Finanzbuchhaltung:
Benutzer ist Mitglied der Sicherheitsgruppe "GPO-LWY-Abteilung-Fibu"

Hierüber wird gefiltert, dass nur der Benutzer der Mitglied der Sicherheitsgruppe GPO-LWY-Abteilung-Fibu das Laufwerk Y mit dem Pfad auf \\Servername\Freigabenname zugewiesen bekommt. In diesem Falle sind das die Benutzer Maier und Hans.

Einstellung der Zielgruppenadressierung am Beispiel Computermitgliedschaft kann man dieses Verfahren dann auch für die CAD-Software nutzen.
Bsp.:
Computer ist Mitglied der Sicherheitsgruppe "GPO-LWZ-CAD"

Hierüber wird gefiltert, dass nur der COMPUTER der Mitglied der Sicherheitsgruppe GPO-LWZ-CAD das Laufwerk Z mit dem Pfad auf \\Servername\Freigabenname zugewiesen bekommt. In diesem Falle sind das die COMPUTER PC-Werkstatt1 und PC-Werkstatt2. Meldet sich z.B. Herr Schulze (EDV) an diesem PC an, bekommt er ebenfalls dieses Laufwerk und kann mit der Software arbeiten



2. Achtung!!!

Gegebenfalls ist unter Windows Vista und unter Windows7 die UAC auszuschalten. Sonst lassen sich die Laufwerke leider nicht zuweisen.



Viel Spaß beim Ausprobieren.

Grüße
Toxic
Mitglied: cyrusa38p
14.07.2010 um 10:19 Uhr
Klingt sauber, Danke.
Werd das heute gleich mal unseren Azubi ausprobieren lassen
Bitte warten ..
Mitglied: TheToxic
14.07.2010 um 11:40 Uhr
gern geschehen, Funktioniert auch wunderbar bei uns in der Firma.
Insgesamt weisen wir darüber 14 verschiedenste Laufwerke über eine einzige Richtlinie zu.
Dadurch konnten wir unser Anmeldescript um 90% kürzen.
Bitte warten ..
Mitglied: Tohla
14.07.2010 um 15:49 Uhr
Moin,

habe gerade deine Anleitung gelesen und wollte diese umsetzen.

Ich habe eine Test GPO in meiner W2K3 Server AD Umgebung.
Ich kann aber leider die Laufwerkszuordnungen nicht finden.
Bei mir sieht es so aus, das ich unter Benutzerkonfiguration folgendes habe.
Softwareinstallation
Windows-Einstellungen
Administrative Einstellungen.
Ich habe alle Bäume aufgemacht und nachgesehen. Leider Nix zu finden.

Welchen Haken sehe ich gerade nicht.
Schon mal Danke

Tohla
Bitte warten ..
Mitglied: TheToxic
14.07.2010 um 16:35 Uhr
Hab ich wohl vergessen zu erwähnen...
Die Domäne beinhalten die Gruppenrichtlinien-Erweiterungen für Windows Vista bzw Windows7.
Die CSE´s dafür musst du auf allen Clients installieren (am besten Über WSUS).
Außerdem wurden die ADMX-Dateien von Vista / Win7 in die Domäne integriert.

Edit zur Anleitung: Hab es in der Kopfzeile der Anleitung korrigiert
Bitte warten ..
Mitglied: 60730
14.07.2010 um 21:55 Uhr
Servus,

ein kleiner Tipp - der "eigentlich" zu so einer Anleitung gehört.

"Alle" User sind Member von GPO-LWX-Datenaustausch und mindesten einer anderen Gruppe.

Das ist so - wie du dein Beispiel aufgebaut hast suboptimal

GPO-LWX-Datenaustausch:
GPO-LWY-Abteilung-Fibu:
GPO-LWY-Abteilung-EDV
usw.
lediglich der Chef, mit dem kosmischen Namen ist in keiner Gruppe und muß - so wie du das aufbaust daher in die Gruppe rein.

Wenn man das so wie man es üblicherweise lernt macht - muß man einem neuen User nur in seine "Abteilungsgruppe" stecken und der Rest passiert von alleine.

Und was mir nicht klar ist - und was ich nicht ausprobieren werde:
•Die EDV soll Zugriff auf alle Freigaben haben
Wie funktioniert dass, wenn du mehrere Laufwerke Y hast und die so "verteilst"?

Btw: nicht böse sein, aber wer das da durchblickt - der rafft auch ein Net Use script und wer sich Admin schimpft sollte scripten können, das braucht man immer
wie das aber heutzutage mit einer eleganten neuen Art der Laufwerksverteilung ist - für das man UAC abklemmen muß -sollen die Götter und der Belzebub unter sich ausmachen

Danke trotzdem für die gemachte Mühe.

Gruß
Bitte warten ..
Mitglied: TheToxic
15.07.2010 um 07:32 Uhr
... ein kleiner Tipp - der "eigentlich" zu so einer Anleitung gehört.

"Alle" User sind Member von GPO-LWX-Datenaustausch und mindesten einer anderen Gruppe.

Das ist so - wie du dein Beispiel aufgebaut hast suboptimal

GPO-LWX-Datenaustausch:
GPO-LWY-Abteilung-Fibu:
GPO-LWY-Abteilung-EDV
usw.
lediglich der Chef, mit dem kosmischen Namen ist in keiner Gruppe und muß - so wie du das aufbaust daher in die
Gruppe rein.

Ich versteh grad irgendwie nicht was du meinst. Der Chef ist doch Mitglied der Gruppe GPO-LWX-Datenaustausch


Wenn man das so wie man es üblicherweise lernt macht - muß man einem neuen User nur in seine
"Abteilungsgruppe" stecken und der Rest passiert von alleine.

Das ist doch auch der Fall....

Und was mir nicht klar ist - und was ich nicht ausprobieren werde:
•Die EDV soll Zugriff auf alle Freigaben haben
Wie funktioniert dass, wenn du mehrere Laufwerke Y hast und die so "verteilst"?

Schon klar dass die EDV nicht mehrmals Laufwerk Y haben kann. Die EDV hat also nur Zugriff auf das eigene Abteilungsverzeichnis Y und zusätzlich noch auf alle anderen Laufwerke (Außer die anderen Y´s)

Btw: nicht böse sein, aber wer das da durchblickt - der rafft auch ein Net Use script und wer sich Admin
schimpft sollte scripten können, das braucht man immer

Dass man ein klein wenig Scripten können sollte steht außer Frage. Ich habe hier nur eine Methode gezeigt, die komplett Ohne dem auskommt. Natürlich kann man auch das ganze per Batch-Datei realisieren..... ist Geschmackssache.
Für unsere Firma ist dieses Konzept, per GPO, einfacher zu managen.
Bitte warten ..
Mitglied: 60730
15.07.2010 um 08:31 Uhr
Moin,
Zitat von TheToxic:
Ich versteh grad irgendwie nicht was du meinst. Der Chef ist doch Mitglied der Gruppe GPO-LWX-Datenaustausch

der ja - aber anstatt die anderen genannten Gruppen in die Gruppe zu stecken, steckst du ein Mitglied in beide Gruppen.
Wenn es aber - so wie du beschreibst - so ist - dass GPO-LWX-Datenaustausch jeder bekommt, dann macht man das üblicherweise so,
dass man nicht diese, sondern die unterGruppen da reinpackt.

Für unsere Firma ist dieses Konzept, per GPO, einfacher zu managen.

Ja aber denk dran, das du so x GPO pflegen mußt, wenn mal ein Server ausgetauscht werden muß und das jede zusätzliche GPO (egal ob gefiltert oder nicht) "Last" beim anmelden provduziert.

Gruß
Bitte warten ..
Mitglied: TheToxic
15.07.2010 um 08:57 Uhr
der ja - aber anstatt die anderen genannten Gruppen in die Gruppe zu stecken, steckst du ein Mitglied in beide Gruppen.
Wenn es aber - so wie du beschreibst - so ist - dass GPO-LWX-Datenaustausch jeder bekommt, dann macht man das üblicherweise so,
dass man nicht diese, sondern die unterGruppen da reinpackt.

OK, jetzt hab ich es gerafft. Kann man so machen, allerdings leidet meiner Meinung nach die Übersichtlichkeit und das einfache Management darunter.

Ja aber denk dran, das du so x GPO pflegen mußt, wenn mal ein Server ausgetauscht werden muß und das jede zusätzliche GPO (egal ob gefiltert oder nicht) "Last" beim anmelden provduziert.

Es ist nur eine einzige GPO in der alle Laufwerke hinterlegt sind und anhand der Sicherheitsgruppenmitgliedschaft gefiltert wird. Ich muss also beim Serveraustausch nur das bisherige Laufwerk in den Einstellungen Aktualisieren (siehe "Aktion: Aktualisieren") und einen neuen Pfad angeben.
Zum Thema "Last"... das spielt eigentlich keine Rolle, sonst würden wir dies ja auch nicht nutzen, oder!?
Bitte warten ..
Mitglied: lenny4me
20.09.2010 um 16:34 Uhr
Hallo,

danke für deine Anleitung. Ich habe mein mapping auch so realisiert bis auf einen Unterschied.
Du verwendest Zielgruppenadressierung auf Elementarebene.
Ich hinterlege die gewünschte Gruppe unter Sicherheitsfilterung. Somit können meine Benutzer (die nicht in den genannten Gruppen auftauchen) die GPO erst gar nicht sehen geschweige denn anwenden.

Siehst du in deinem Vorgehen einen Vorteil, oder lösen wir das gleiche Problem nur auf zwei Unterschiedliche weisen.


Mfg Lenny
Bitte warten ..
Mitglied: TheToxic
27.09.2010 um 20:23 Uhr
Ich habe in einer GPO alle Laufwerkszuordnungen realisiert. Du wirst wohl pro Laufwerk eine GPO haben. Korrigiere mich wenn ich falsch liege.

Ich denke wir lösen das gleiche Problem blos auf zwei Unterschiedliche wege. Bei dir werden mehr GPO´s als bei mir abgearbeitet. Bei mir ist die eine GPO dafür umso größer. Wird also Performancetechnisch keinen großen Unterschied machen.
Bitte warten ..
Mitglied: lenny4me
28.09.2010 um 08:58 Uhr
Hallo Toxic,

ja ich habe mehrere GPOs werde aber warscheinlich aus Gründen der Übersichtlichkeit auf deine Varriante umschwenken... Wir mounten nur knapp 10 Laufwerke. Da ist das relativ schnell passiert.

Grüße Lenny
Bitte warten ..
Mitglied: MythWarrior
29.11.2010 um 09:35 Uhr
Hi, das ist genau das was ich suche und die Anleitung ist wirklich sehr gut beschrieben.

Leider stehe ich bezüglich der integration der Gruppenrichtlinien-Erweiterungen für Windows Vista bzw Windows7 und die angesprochen ADMX-Dateien von Vista / Win 7 auf dem Schlauch. Habe per google versucht dies in meine AD Testumgebung Win 2k3 Standard Edtion ein zu binden habe aber bisher nur den KB zur Erweiterung von XP entdeckt.

Gibt es dazu ebenfalls eine Anleitung auf administator.de, oder woher bekomme ich diese Dateien. Des Weitern verstehe ich das richtig das die CSE Dateien für die jeweilige Richtlinie auf dem Zielsystem inplementiert sein muss?

Wäre sehr nett falls mir jemand hier einen Schubs für den richtigen Weg geben kann.

Danke und Gruß
Myth
Bitte warten ..
Mitglied: TheToxic
03.12.2010 um 11:28 Uhr
Danke,


Bitte eröffne für deine Fragestellung einen eigenen Thread.

--> http://www.administrator.de/rules#toc2

Grüße,
Toxic
Bitte warten ..
Mitglied: FlexM3
01.02.2011 um 16:39 Uhr
Hallo! Vielen Dank für deine Anleitung! Ich muss das gleich mal ausprobieren, verwende allerdings Server 2008 R2 und hoffe, daß das dort auch so klappt.

Nochwas zu deiner Beschreibung:
Du gibts an, das die EDV-Abteilung (Schulz (EDV)) Zugriff auf alle Freigaben haben soll.
Jedoch ist oben unter der "GPO-LWY-Abteilung-Fibu" und "GPO-LWY-Abteilung-Werkstatt" nicht "Schulz (EDV)" angegeben. Dieser gehört hier doch auch noch rein - oder?
Bitte warten ..
Mitglied: FlexM3
02.02.2011 um 19:41 Uhr
So, ich habe das jetzt auch mal versucht. Leider klappt das bei mir nicht. Habe Windows Server 2008 R2 (den o. g. Hotfix habe ich installiert) und als Client-PC nur XP-Maschinen. Kann das an 2008 liegen?

Könntest du vielleicht noch ein paar Screenshots posten, wie das mit der Einstellung bei der Zielgruppenadressierung aussieht?
Vielen Dank.
Bitte warten ..
Mitglied: FlexM3
02.02.2011 um 20:53 Uhr
Zu dem Satz "GPO anlegen und an die Organisationsanheit hängen, in dem sich die Benutzer befinden" hätt ich ne Frage. Muss das nicht heißen ...in dem sich die BENUTZERGRUPPEN (GPO-LW....) befinden?

Ich habe ein OU "Netzlaufwerke" angelegt und dort hinein die Benutzergruppen "GPO-LW...". Ist das etwa falsch?
Bitte warten ..
Mitglied: FlexM3
03.02.2011 um 18:48 Uhr
So wie es aussieht, funktioniert es jetzt bei mir! Eine super Funktion - einfach genial!

Problem war, daß auf den XP-Rechnern nicht der Hotfix KB943729 installiet war. Dieser ist unabkömmlich wenn als Server 2008 eingesetzt wird.

Für alle die ein ähnliches Problem haben: Ohne diesen Hotfix läuft nix im Zusammenhang mit 2008!!
Bitte warten ..
Mitglied: KeinDurchblick
14.05.2011 um 11:48 Uhr
Das ist eine super Sache, zumal die "blöden" Freigaben nicht gleich sichtbar sind (im Explorer).
Ich werde es in Zusammenhang mit DFS einsetzen.
Bitte warten ..
Mitglied: lenny4me
19.05.2011 um 09:20 Uhr
Hallo,

habe dein Laufwerksmapping übernommen und es funktioniert.
Was mir aber auffällt. Wenn ich einen GPO Ergebnissatz für einen Recher erstelle wird mir folgendes angezeigt.

Ausschlaggebendes Gruppenrichtlinienobjekt netuse
Ergebnis: Fehler (Fehlercode: 0x80070005)

Das Laufwerk wird gemappt. Der User hat Zugriff. Kurz gesagt, alles funktioniert wie es soll. Ich weis nur nicht warum dieser Fehler auftaucht.
Hast du (oder sonst jemand) eine Idee waoran das liegen könnte?
Bitte warten ..
Mitglied: lenny4me
15.06.2011 um 11:47 Uhr
push
Bitte warten ..
Mitglied: DevTig
16.08.2011 um 11:38 Uhr
Hallo,

ist eine schnelle und relativ übersichtliche Anleitung.

Es gibt aber noch einen anderen Ansatz der Erwähnenswert wäre, in dem Fall DFS und ABE.
Dadurch spare ich mir ein paar GPO's mehr und die User sehen nur das was sie sollen.

Grüße DevTig
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Microsoft Office
Sind Gruppenrichtlinien bei Migration auf Office 365 Steinzeit? (2)

Frage von Spatze zum Thema Microsoft Office ...

Windows Server
gelöst Gruppenrichtlinien-Vorlage Office 2013 auf einem DC 2003 (5)

Frage von bluepython zum Thema Windows Server ...

Windows 10
gelöst Microsoft Konten blockieren Gruppenrichtlinien (7)

Frage von markaurel zum Thema Windows 10 ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...