Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Windows 2008 Terminalserver - Mappen von Netzlaufwerken über AD-Anmeldeskript funktioniert nicht

Mitglied: thaenhusen

thaenhusen (Level 2) - Jetzt verbinden

09.03.2011 um 15:48 Uhr, 14213 Aufrufe, 5 Kommentare

Nachdem ich hier fast durchgedreht wäre weil bestimmte User die Laufwerke nicht automatisch gemappt bekommen haben hier ein paar Hinweise.

Moin.

Das Problem ist die UAC von W2k8 und Domänenusern die auch lokale Administratoren sind.
In dieser Konstellation werden die Anmedeskripte als Administrator ausgeführt und beim beschneiden der Berechtigungen
durch das UAC beim starten des Desktops werden die Laufwerke unterdrückt, da ja keine Administratorrechte mehr vorliegen.

Also wurden die Laufwerke gemappt (kann man auch z.B. mit gpresult prüfen) aber können nicht mehr angesprochen werden, aufgrund
des UAC vom Windows.

Es gibt jetzt zwei Workarounds:

1. http://support.microsoft.com/kb/937624/en-us

Unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System einen DWORD-Wert EnableLinkedConnections
mit dem Wert 1 anlegen und neustarten.

Microsoft sagt allerdings: "Important This workaround may make your system unsafe. Microsoft does not support this workaround. Use this workaround at your own risk."

2. Aus dem AD-Skript einen geplanten Task anlegen, der das Mappen erst startet, wenn der Desktop geladen wurde (vgl. http://technet.microsoft.com/en-us/library/cc766208%28WS.10%29.aspx)

Vielleicht hilft das ja dem Ein oder Anderen...

HTH
MK
Mitglied: TuXHunt3R
13.03.2011 um 14:34 Uhr
Tag

Ist mir zwar noch nie passiert, aber ich behalts mal im Hinterkopf
Bitte warten ..
Mitglied: DerWoWusste
14.03.2011 um 00:02 Uhr
Du musst uns jetzt nur mal verraten, wo das Problem denn liegen soll - auch Nicht-Admins* können mit einer net-use-batch (.bat) jederzeit Netzlaufwerke mappen. EnableLinkedConnections hat mit Tokenwechsel zu tun - wo also ist der Zusammenhang?

  • (und Admins sind bis zur Hochstufung Nichtadmins - eine Hochstufung wird für das Verbinden von Netzlaufwerken jedoch nicht gebraucht)
Bitte warten ..
Mitglied: thaenhusen
14.03.2011 um 07:47 Uhr
Moin.

Du musst uns jetzt nur mal verraten, wo das Problem denn liegen soll - auch Nicht-Admins* können mit einer net-use-batch (.bat) jederzeit Netzlaufwerke mappen. EnableLinkedConnections hat mit Tokenwechsel zu tun - wo also ist der
Zusammenhang?

Natürlich können auch nicht admins per net-use-batch Netzlaufwerke verbinden. Das habe ich nie behauptet, dass dem nicht so ist. Auch lokale Admins können das, wenn die batch z.B. im Autostart liegt.

(und Admins sind bis zur Hochstufung Nichtadmins - eine Hochstufung wird für das Verbinden von Netzlaufwerken jedoch nicht gebraucht)

Auch das ist richtig.

Aber jetzt der Fall wo eben der Tokenwechsel zum tragen kommt. Windows 2008 TS und lokale Admins in einer Domäne.

Wenn diese User jetzt ein Anmeldeskript haben in dem ein Netzlaufwerk mittels net-use verbunden werden soll, dann macht der Tokenwechsel das unmöglich auf diese im Skript verbunden Netzlaufwerke zu zugreifen..

Führt man das Skript manuell oder per Autostart aus, also zeitlich nach laden des Desktops, dann funktioniert auch bei diesen Usern alles wie erwartet.

Schöne Grüße
MK
Bitte warten ..
Mitglied: DerWoWusste
14.03.2011 um 11:38 Uhr
Verstehe weiterhin nicht, wo der Tokenwechsel stattfinden sollte. Der kommt doch nur, wenn man beispielsweise auf einem Netzlaufwerk ein Setup startet, was eine UAC-Abfrage mit sich bringt.
Bitte warten ..
Mitglied: thaenhusen
14.03.2011 um 11:54 Uhr
Moin.

Verstehe weiterhin nicht, wo der Tokenwechsel stattfinden sollte. Der kommt doch nur, wenn man beispielsweise auf einem Netzlaufwerk ein Setup startet, was eine
UAC-Abfrage mit sich bringt.

Es gibt einen weiteren Tokenwechsel "in die andere Richtung" beim Laden des Desktops. Dabei werden die Admin-Berechtigungen beschränkt. Und genau das ist dann das Problem, wenn der Domänenuser auch lokaler Admin ist. Bei nicht Admins gibt es keinen Tokenwechsel und die mittels Anmeldeskript gemappten Laufwerke sind verfügbar.

Natürlich blebt die UAC-Abfrage beim starten eines Setup aus dem laufenden Betrieb heraus, wie von Dir beschrieben erhalten.

Schöne Grüße
MK
Bitte warten ..
Ähnliche Inhalte
Windows 10

Windows 10: So funktioniert das kostenlose Upgrade

Erfahrungsbericht von FrankWindows 1027 Kommentare

Windows 7 bzw. Windows 8 Nutzer können bis zum 29.07.2016 ihr bestehendes Windows kostenlos auf Windows 10 aktualisieren (Windows ...

Windows 10

Windows 10 - WSUS-Updaterollback funktioniert nicht

Erfahrungsbericht von DerWoWussteWindows 1020 Kommentare

und der nächste Bug in Win10 Wenn Ihr auf dem WSUS ein Update zur Deinstallation freigebt, dann wird es ...

Windows 10

Windows 10 Cortana funktioniert nicht, Systemapps auch nicht

Erfahrungsbericht von 125674Windows 10

Erst gestern ist es mir passiert, dass auf einem Domäne Computer mit einem frisch installierten Windows 10 die Windows ...

Windows Server

Windows Server 2016 - Terminalserver - Desktopgestaltung (Desktop Experience)

Tipp von jojo0411Windows Server1 Kommentar

Hallo Leute, Unter Windows Server 2012 R2 Remotedesktop Dienste (Terminalserver) war das Standard. Nach der Installation das Feature "Desktop ...

Neue Wissensbeiträge
Windows 7

Windows 7 - Server 2008 R2: Exploit für Total Meltdown verfügbar

Information von kgborn vor 7 StundenWindows 7

Kleine Information für Administratoren, die für die Updates von Windows 7 SP1 und Windows Server 2008 R2 SP1 verantwortlich ...

Sicherheit

Zero Day-Schwachstelle im Internet Explorer - wird von APT bereits ausgenutzt

Information von kgborn vor 18 StundenSicherheit

Im Kernel des Internet Explorer scheint es eine Zero Day-Lücke zu geben, die von staatlichen Akteuren (APT) im Rahmen ...

Microsoft
Folder Security Viewer-Lizenzen zu gewinnen
Information von kgborn vor 18 StundenMicrosoft

Ich nehme das Thema mal in Absprache mit Frank hier auf, da es für den einen oder anderen Administrator ...

Hardware

Feueralarm killt Festplatten in Rechenzentrum - führt zu größerem Ausfall

Information von kgborn vor 18 StundenHardware11 Kommentare

Noch ein kleiner Beitrag für Administratoren, die in Rechenzentren aktiv sind - so als Fingerzeig. Denn es gibt Szenarien, ...

Heiß diskutierte Inhalte
Linux
Linux Server oder Windows Server - lohnt eine Umstellung auf Linux und ebenso basierende SW bei einer langfristigen Planung?
Frage von motus5Linux23 Kommentare

Wir brauchen bei uns einen neuen Server. Dieser wird als Fileserver, Domäne Controller sowie Exchange Server verwendet. Wir versuchen ...

DSL, VDSL
ISP Wechsel auf Vodefone Koax, Gebäudeverkabelung nur per Cat 7
gelöst Frage von wusa88DSL, VDSL18 Kommentare

Hallo Zusammen, ich bin momentan bei Mnet als Glasfaser Kunde und möchte Preis/Leistungs-Technisch zu Kabel Deutschland / Vodafone wechseln. ...

LAN, WAN, Wireless
Kommunikation zwischen verschiedenen IP-Bereichen
Frage von DirkHoLAN, WAN, Wireless13 Kommentare

Hallo zusammen, von Unitymedia habe ich ein neues Modem (Connect Box) erhalten, das u.a. IPv4 aber keinen Bridge Mode ...

Windows Server
Domänencontroller trennen
Frage von Akit57Windows Server13 Kommentare

Hallo, ich hoffe das mir hier jemand meine Frage trotz der spärlichen Informationen die ich geben kann beantworten kann: ...