Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Windows 2008 Terminalserver - Mappen von Netzlaufwerken über AD-Anmeldeskript funktioniert nicht

Erfahrungsbericht Microsoft Windows Server

Mitglied: thaenhusen

thaenhusen (Level 2) - Jetzt verbinden

09.03.2011 um 15:48 Uhr, 14108 Aufrufe, 5 Kommentare

Nachdem ich hier fast durchgedreht wäre weil bestimmte User die Laufwerke nicht automatisch gemappt bekommen haben hier ein paar Hinweise.

Moin.

Das Problem ist die UAC von W2k8 und Domänenusern die auch lokale Administratoren sind.
In dieser Konstellation werden die Anmedeskripte als Administrator ausgeführt und beim beschneiden der Berechtigungen
durch das UAC beim starten des Desktops werden die Laufwerke unterdrückt, da ja keine Administratorrechte mehr vorliegen.

Also wurden die Laufwerke gemappt (kann man auch z.B. mit gpresult prüfen) aber können nicht mehr angesprochen werden, aufgrund
des UAC vom Windows.

Es gibt jetzt zwei Workarounds:

1. http://support.microsoft.com/kb/937624/en-us

Unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System einen DWORD-Wert EnableLinkedConnections
mit dem Wert 1 anlegen und neustarten.

Microsoft sagt allerdings: "Important This workaround may make your system unsafe. Microsoft does not support this workaround. Use this workaround at your own risk."

2. Aus dem AD-Skript einen geplanten Task anlegen, der das Mappen erst startet, wenn der Desktop geladen wurde (vgl. http://technet.microsoft.com/en-us/library/cc766208%28WS.10%29.aspx)

Vielleicht hilft das ja dem Ein oder Anderen...

HTH
MK
Mitglied: TuXHunt3R
13.03.2011 um 14:34 Uhr
Tag

Ist mir zwar noch nie passiert, aber ich behalts mal im Hinterkopf
Bitte warten ..
Mitglied: DerWoWusste
14.03.2011 um 00:02 Uhr
Du musst uns jetzt nur mal verraten, wo das Problem denn liegen soll - auch Nicht-Admins* können mit einer net-use-batch (.bat) jederzeit Netzlaufwerke mappen. EnableLinkedConnections hat mit Tokenwechsel zu tun - wo also ist der Zusammenhang?

  • (und Admins sind bis zur Hochstufung Nichtadmins - eine Hochstufung wird für das Verbinden von Netzlaufwerken jedoch nicht gebraucht)
Bitte warten ..
Mitglied: thaenhusen
14.03.2011 um 07:47 Uhr
Moin.

Du musst uns jetzt nur mal verraten, wo das Problem denn liegen soll - auch Nicht-Admins* können mit einer net-use-batch (.bat) jederzeit Netzlaufwerke mappen. EnableLinkedConnections hat mit Tokenwechsel zu tun - wo also ist der
Zusammenhang?

Natürlich können auch nicht admins per net-use-batch Netzlaufwerke verbinden. Das habe ich nie behauptet, dass dem nicht so ist. Auch lokale Admins können das, wenn die batch z.B. im Autostart liegt.

(und Admins sind bis zur Hochstufung Nichtadmins - eine Hochstufung wird für das Verbinden von Netzlaufwerken jedoch nicht gebraucht)

Auch das ist richtig.

Aber jetzt der Fall wo eben der Tokenwechsel zum tragen kommt. Windows 2008 TS und lokale Admins in einer Domäne.

Wenn diese User jetzt ein Anmeldeskript haben in dem ein Netzlaufwerk mittels net-use verbunden werden soll, dann macht der Tokenwechsel das unmöglich auf diese im Skript verbunden Netzlaufwerke zu zugreifen..

Führt man das Skript manuell oder per Autostart aus, also zeitlich nach laden des Desktops, dann funktioniert auch bei diesen Usern alles wie erwartet.

Schöne Grüße
MK
Bitte warten ..
Mitglied: DerWoWusste
14.03.2011 um 11:38 Uhr
Verstehe weiterhin nicht, wo der Tokenwechsel stattfinden sollte. Der kommt doch nur, wenn man beispielsweise auf einem Netzlaufwerk ein Setup startet, was eine UAC-Abfrage mit sich bringt.
Bitte warten ..
Mitglied: thaenhusen
14.03.2011 um 11:54 Uhr
Moin.

Verstehe weiterhin nicht, wo der Tokenwechsel stattfinden sollte. Der kommt doch nur, wenn man beispielsweise auf einem Netzlaufwerk ein Setup startet, was eine
UAC-Abfrage mit sich bringt.

Es gibt einen weiteren Tokenwechsel "in die andere Richtung" beim Laden des Desktops. Dabei werden die Admin-Berechtigungen beschränkt. Und genau das ist dann das Problem, wenn der Domänenuser auch lokaler Admin ist. Bei nicht Admins gibt es keinen Tokenwechsel und die mittels Anmeldeskript gemappten Laufwerke sind verfügbar.

Natürlich blebt die UAC-Abfrage beim starten eines Setup aus dem laufenden Betrieb heraus, wie von Dir beschrieben erhalten.

Schöne Grüße
MK
Bitte warten ..
Ähnliche Inhalte
Windows Server
Mehrer Netzlaufwerke mappen die auf einem Server liegen (7)

Frage von M.Marz zum Thema Windows Server ...

Netzwerkmanagement
gelöst Im Anmeldeskript ein Laufwerk mit einem anderen User und Pw mappen unsicher? (10)

Frage von M.Marz zum Thema Netzwerkmanagement ...

Windows Server
gelöst Netzlaufwerk RemoteApp auf Win 2012 R2 Terminalserver funktioniert nicht (12)

Frage von grenzde zum Thema Windows Server ...

Windows Userverwaltung
gelöst Anmeldeskript fragt für das mappen nach einem User und Pw unterdrücken (9)

Frage von M.Marz zum Thema Windows Userverwaltung ...

Neue Wissensbeiträge
Windows Update

Microsoft Update KB4034664 verursacht Probleme mit Multimonitor-Systemen

(2)

Tipp von beidermachtvongreyscull zum Thema Windows Update ...

Viren und Trojaner

CNC-Fräsen von MECANUMERIC werden (ggf.) mit Viren, Trojanern, Würmern ausgeliefert

(4)

Erfahrungsbericht von anteNope zum Thema Viren und Trojaner ...

Windows 10

Windows 10: Erste Anmeldung Animation deaktivieren

(3)

Anleitung von alemanne21 zum Thema Windows 10 ...

Heiß diskutierte Inhalte
Netzwerkprotokolle
gelöst Leiten "dumme" Switches VLAN-Tags mit durch? (26)

Frage von coltseavers zum Thema Netzwerkprotokolle ...

Netzwerkgrundlagen
Kann auf Freigabe nicht Zugreifen (16)

Frage von leon123 zum Thema Netzwerkgrundlagen ...

Windows Server
gelöst Neues KB für W10 1607 und W2K16 wieder mal nicht im WSUS 3.0, hat das noch jemand? (16)

Frage von departure69 zum Thema Windows Server ...

Router & Routing
FTTH bzw FTTB Router (13)

Frage von ukulele-7 zum Thema Router & Routing ...