Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Windows 2008 Terminalserver - Mappen von Netzlaufwerken über AD-Anmeldeskript funktioniert nicht

Erfahrungsbericht Microsoft Windows Server

Mitglied: thaenhusen

thaenhusen (Level 2) - Jetzt verbinden

09.03.2011 um 15:48 Uhr, 13941 Aufrufe, 5 Kommentare

Nachdem ich hier fast durchgedreht wäre weil bestimmte User die Laufwerke nicht automatisch gemappt bekommen haben hier ein paar Hinweise.

Moin.

Das Problem ist die UAC von W2k8 und Domänenusern die auch lokale Administratoren sind.
In dieser Konstellation werden die Anmedeskripte als Administrator ausgeführt und beim beschneiden der Berechtigungen
durch das UAC beim starten des Desktops werden die Laufwerke unterdrückt, da ja keine Administratorrechte mehr vorliegen.

Also wurden die Laufwerke gemappt (kann man auch z.B. mit gpresult prüfen) aber können nicht mehr angesprochen werden, aufgrund
des UAC vom Windows.

Es gibt jetzt zwei Workarounds:

1. http://support.microsoft.com/kb/937624/en-us

Unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System einen DWORD-Wert EnableLinkedConnections
mit dem Wert 1 anlegen und neustarten.

Microsoft sagt allerdings: "Important This workaround may make your system unsafe. Microsoft does not support this workaround. Use this workaround at your own risk."

2. Aus dem AD-Skript einen geplanten Task anlegen, der das Mappen erst startet, wenn der Desktop geladen wurde (vgl. http://technet.microsoft.com/en-us/library/cc766208%28WS.10%29.aspx)

Vielleicht hilft das ja dem Ein oder Anderen...

HTH
MK
Mitglied: TuXHunt3R
13.03.2011 um 14:34 Uhr
Tag

Ist mir zwar noch nie passiert, aber ich behalts mal im Hinterkopf
Bitte warten ..
Mitglied: DerWoWusste
14.03.2011 um 00:02 Uhr
Du musst uns jetzt nur mal verraten, wo das Problem denn liegen soll - auch Nicht-Admins* können mit einer net-use-batch (.bat) jederzeit Netzlaufwerke mappen. EnableLinkedConnections hat mit Tokenwechsel zu tun - wo also ist der Zusammenhang?

  • (und Admins sind bis zur Hochstufung Nichtadmins - eine Hochstufung wird für das Verbinden von Netzlaufwerken jedoch nicht gebraucht)
Bitte warten ..
Mitglied: thaenhusen
14.03.2011 um 07:47 Uhr
Moin.

Du musst uns jetzt nur mal verraten, wo das Problem denn liegen soll - auch Nicht-Admins* können mit einer net-use-batch (.bat) jederzeit Netzlaufwerke mappen. EnableLinkedConnections hat mit Tokenwechsel zu tun - wo also ist der
Zusammenhang?

Natürlich können auch nicht admins per net-use-batch Netzlaufwerke verbinden. Das habe ich nie behauptet, dass dem nicht so ist. Auch lokale Admins können das, wenn die batch z.B. im Autostart liegt.

(und Admins sind bis zur Hochstufung Nichtadmins - eine Hochstufung wird für das Verbinden von Netzlaufwerken jedoch nicht gebraucht)

Auch das ist richtig.

Aber jetzt der Fall wo eben der Tokenwechsel zum tragen kommt. Windows 2008 TS und lokale Admins in einer Domäne.

Wenn diese User jetzt ein Anmeldeskript haben in dem ein Netzlaufwerk mittels net-use verbunden werden soll, dann macht der Tokenwechsel das unmöglich auf diese im Skript verbunden Netzlaufwerke zu zugreifen..

Führt man das Skript manuell oder per Autostart aus, also zeitlich nach laden des Desktops, dann funktioniert auch bei diesen Usern alles wie erwartet.

Schöne Grüße
MK
Bitte warten ..
Mitglied: DerWoWusste
14.03.2011 um 11:38 Uhr
Verstehe weiterhin nicht, wo der Tokenwechsel stattfinden sollte. Der kommt doch nur, wenn man beispielsweise auf einem Netzlaufwerk ein Setup startet, was eine UAC-Abfrage mit sich bringt.
Bitte warten ..
Mitglied: thaenhusen
14.03.2011 um 11:54 Uhr
Moin.

Verstehe weiterhin nicht, wo der Tokenwechsel stattfinden sollte. Der kommt doch nur, wenn man beispielsweise auf einem Netzlaufwerk ein Setup startet, was eine
UAC-Abfrage mit sich bringt.

Es gibt einen weiteren Tokenwechsel "in die andere Richtung" beim Laden des Desktops. Dabei werden die Admin-Berechtigungen beschränkt. Und genau das ist dann das Problem, wenn der Domänenuser auch lokaler Admin ist. Bei nicht Admins gibt es keinen Tokenwechsel und die mittels Anmeldeskript gemappten Laufwerke sind verfügbar.

Natürlich blebt die UAC-Abfrage beim starten eines Setup aus dem laufenden Betrieb heraus, wie von Dir beschrieben erhalten.

Schöne Grüße
MK
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Server
Windows 2008 Terminalserver hängt (10)

Frage von Aubanan zum Thema Windows Server ...

Windows Server
Windows 2008 Terminalserver Programmicons verschwinden (5)

Frage von Rapante90 zum Thema Windows Server ...

Windows Server
gelöst Windows Server2016 TerminalServer-Rolle Erfahrungen (5)

Frage von johnde zum Thema Windows Server ...

Windows Server
gelöst Oracle ODBC Treiber in Windows 2008 R2 (3)

Frage von kschi12 zum Thema Windows Server ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (14)

Frage von liquidbase zum Thema Windows Update ...

DSL, VDSL
Problem mit variernder Internetgeschwindigkeit (12)

Frage von schaurian zum Thema DSL, VDSL ...