Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Windows 2008 Terminalserver - Mappen von Netzlaufwerken über AD-Anmeldeskript funktioniert nicht

Mitglied: thaenhusen

thaenhusen (Level 2) - Jetzt verbinden

09.03.2011 um 15:48 Uhr, 14179 Aufrufe, 5 Kommentare

Nachdem ich hier fast durchgedreht wäre weil bestimmte User die Laufwerke nicht automatisch gemappt bekommen haben hier ein paar Hinweise.

Moin.

Das Problem ist die UAC von W2k8 und Domänenusern die auch lokale Administratoren sind.
In dieser Konstellation werden die Anmedeskripte als Administrator ausgeführt und beim beschneiden der Berechtigungen
durch das UAC beim starten des Desktops werden die Laufwerke unterdrückt, da ja keine Administratorrechte mehr vorliegen.

Also wurden die Laufwerke gemappt (kann man auch z.B. mit gpresult prüfen) aber können nicht mehr angesprochen werden, aufgrund
des UAC vom Windows.

Es gibt jetzt zwei Workarounds:

1. http://support.microsoft.com/kb/937624/en-us

Unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System einen DWORD-Wert EnableLinkedConnections
mit dem Wert 1 anlegen und neustarten.

Microsoft sagt allerdings: "Important This workaround may make your system unsafe. Microsoft does not support this workaround. Use this workaround at your own risk."

2. Aus dem AD-Skript einen geplanten Task anlegen, der das Mappen erst startet, wenn der Desktop geladen wurde (vgl. http://technet.microsoft.com/en-us/library/cc766208%28WS.10%29.aspx)

Vielleicht hilft das ja dem Ein oder Anderen...

HTH
MK
Mitglied: TuXHunt3R
13.03.2011 um 14:34 Uhr
Tag

Ist mir zwar noch nie passiert, aber ich behalts mal im Hinterkopf
Bitte warten ..
Mitglied: DerWoWusste
14.03.2011 um 00:02 Uhr
Du musst uns jetzt nur mal verraten, wo das Problem denn liegen soll - auch Nicht-Admins* können mit einer net-use-batch (.bat) jederzeit Netzlaufwerke mappen. EnableLinkedConnections hat mit Tokenwechsel zu tun - wo also ist der Zusammenhang?

  • (und Admins sind bis zur Hochstufung Nichtadmins - eine Hochstufung wird für das Verbinden von Netzlaufwerken jedoch nicht gebraucht)
Bitte warten ..
Mitglied: thaenhusen
14.03.2011 um 07:47 Uhr
Moin.

Du musst uns jetzt nur mal verraten, wo das Problem denn liegen soll - auch Nicht-Admins* können mit einer net-use-batch (.bat) jederzeit Netzlaufwerke mappen. EnableLinkedConnections hat mit Tokenwechsel zu tun - wo also ist der
Zusammenhang?

Natürlich können auch nicht admins per net-use-batch Netzlaufwerke verbinden. Das habe ich nie behauptet, dass dem nicht so ist. Auch lokale Admins können das, wenn die batch z.B. im Autostart liegt.

(und Admins sind bis zur Hochstufung Nichtadmins - eine Hochstufung wird für das Verbinden von Netzlaufwerken jedoch nicht gebraucht)

Auch das ist richtig.

Aber jetzt der Fall wo eben der Tokenwechsel zum tragen kommt. Windows 2008 TS und lokale Admins in einer Domäne.

Wenn diese User jetzt ein Anmeldeskript haben in dem ein Netzlaufwerk mittels net-use verbunden werden soll, dann macht der Tokenwechsel das unmöglich auf diese im Skript verbunden Netzlaufwerke zu zugreifen..

Führt man das Skript manuell oder per Autostart aus, also zeitlich nach laden des Desktops, dann funktioniert auch bei diesen Usern alles wie erwartet.

Schöne Grüße
MK
Bitte warten ..
Mitglied: DerWoWusste
14.03.2011 um 11:38 Uhr
Verstehe weiterhin nicht, wo der Tokenwechsel stattfinden sollte. Der kommt doch nur, wenn man beispielsweise auf einem Netzlaufwerk ein Setup startet, was eine UAC-Abfrage mit sich bringt.
Bitte warten ..
Mitglied: thaenhusen
14.03.2011 um 11:54 Uhr
Moin.

Verstehe weiterhin nicht, wo der Tokenwechsel stattfinden sollte. Der kommt doch nur, wenn man beispielsweise auf einem Netzlaufwerk ein Setup startet, was eine
UAC-Abfrage mit sich bringt.

Es gibt einen weiteren Tokenwechsel "in die andere Richtung" beim Laden des Desktops. Dabei werden die Admin-Berechtigungen beschränkt. Und genau das ist dann das Problem, wenn der Domänenuser auch lokaler Admin ist. Bei nicht Admins gibt es keinen Tokenwechsel und die mittels Anmeldeskript gemappten Laufwerke sind verfügbar.

Natürlich blebt die UAC-Abfrage beim starten eines Setup aus dem laufenden Betrieb heraus, wie von Dir beschrieben erhalten.

Schöne Grüße
MK
Bitte warten ..
Ähnliche Inhalte
Windows 10

Windows 10: So funktioniert das kostenlose Upgrade

Erfahrungsbericht von FrankWindows 1027 Kommentare

Windows 7 bzw. Windows 8 Nutzer können bis zum 29.07.2016 ihr bestehendes Windows kostenlos auf Windows 10 aktualisieren (Windows ...

Windows 10

Windows 10 - WSUS-Updaterollback funktioniert nicht

Erfahrungsbericht von DerWoWussteWindows 1020 Kommentare

und der nächste Bug in Win10 Wenn Ihr auf dem WSUS ein Update zur Deinstallation freigebt, dann wird es ...

Windows 10

Windows 10 Cortana funktioniert nicht, Systemapps auch nicht

Erfahrungsbericht von 125674Windows 10

Erst gestern ist es mir passiert, dass auf einem Domäne Computer mit einem frisch installierten Windows 10 die Windows ...

Windows Server

Windows Server 2016 - Terminalserver - Desktopgestaltung (Desktop Experience)

Tipp von jojo0411Windows Server1 Kommentar

Hallo Leute, Unter Windows Server 2012 R2 Remotedesktop Dienste (Terminalserver) war das Standard. Nach der Installation das Feature "Desktop ...

Neue Wissensbeiträge
Microsoft
ARD-Doku - Das Microsoft Dilemma
Tipp von Knorkator vor 24 MinutenMicrosoft

Hallo zusammen, vor einigen Tagen lief in der ARD u.a. Reportage. Das Youtube Video dazu dürfte länger verfügbar sein. ...

Windows 10

Neue Sicherheitslücke in Windows 10 (Version 1709) durch Google öffentlich geworden

Information von kgborn vor 18 StundenWindows 10

Vor ein paar Tagen haben Googles Sicherheitsforscher vom Projekt Zero eine Sicherheitslücke im Edge-Browser publiziert. Jetzt wurde eine weitere ...

iOS
IOS 11.2.6 verfügbar
Information von sabines vor 1 TagiOS

Mit dem Update soll der Bug behoben werden, bei dem eine bestimmte Zeichenkette IOS zum Absturz gebracht hat.

Sicherheit
Sicherheitsrisiko: Die Krux mit 7-Zip
Information von kgborn vor 1 TagSicherheit8 Kommentare

Bei vielen Anwendern ist das Tool 7-Zip zum Entpacken von Archivdateien im Einsatz. Die Software ist kostenlos und steht ...

Heiß diskutierte Inhalte
Router & Routing
LANCOM VPN CLIENT einrichten
Frage von Finchen961988Router & Routing27 Kommentare

Hallo, ich habe ein Problem und hoffe ihr könnt mir helfen, wir haben einen Kunden der hat einen Speedport ...

Windows Server
AD DS findet Domäne nicht, behebbar?
Frage von schapitzWindows Server25 Kommentare

Guten Tag, ich habe bei einem Kunden ein Problem mit den AD DS. Umgebung ist folgende: Windows Server 2016 ...

LAN, WAN, Wireless
VPN Cisco ASA5505 PaloAlto PA-200
gelöst Frage von YannoschLAN, WAN, Wireless22 Kommentare

Hallo zusammen, ich würde gerne ein Site-to-Site VPN zwischen den beiden Standorten aufbauen. PaloAlto PA200 Internetanschluss Deutsche Telekom GK ...

SAN, NAS, DAS
Qnap TS-453S Pro - Anbindung Active Directory
Frage von JuckieSAN, NAS, DAS13 Kommentare

Hallo zusammen, ich habe hier eine Qnap TS-453S Pro die sich mal so absolut gar nicht in das Active ...