GPO NetShare pro Gruppe verbinden, allerdings viele Gruppen

[Gast]

Hi,

 

die ausgangssituation:

recht viele user (> 100) die je einer team gruppe zugeordnet sind(jeder user ist in maximal einem team). jedes team hat ein eigenes teamlaufwerk auf das ausschließlich sie zugreifen dürfen. die user haben einen client und zugriff zu einem terminalserver.

Die Information zu welchem team ein user gehört findet sich nur in der gruppenzugehörigkeit, könnte aber theoretisch noch über das user-attribut department abgebildet werden wenn nötig.

 

anforderung:

1. das gruppenlaufwerk soll bei der anmeldung am terminalserver verbunden werden

2. am client soll kein gruppenlaufwerk verbunden werden

 

umsetzungsvorschlag:

zu 1: das teamlaufwerk hätte ich per gpo (verlinkt auf die ou wo alle user sind) und die regel "drive map" mit item-level-targeting "member of security group teamXY" verbunden

Zu 2: Hier hätte ich loopbackprocessing nach dem vorbild hier verwendet, da ja auf ein und den selben user je nachdem wo er sich anmeldet zwei verschiedene regeln greifen sollen.

 

fragen:

ist das best-practice oder habt ihr andere vorschläge?

bekomme ich probleme wenn es in der gpo (zu punkt 1) sehr viele teamgruppen auf mitgliedschaft geprüft werden müssen? teilweise gibt es leider teams mit nur einem user und es wird in der zukunft noch stark wachsen. irgendwann wahrscheinlich > 200 team ads gruppen und damit auch shares. ich denke hier an lange anmeldezeiten bzw. zeiten zur verarbeitung der gpos.

 

wie würdet ihr das umsetzten?

[NorbertFe 2.027]

Liegen die Daten alle in einem Verzeichnis? Dann wärst du wahrscheinlich mit ABE und nur einem Laufwerk für alle schneller und einfacher. ;)

[Gast]

ABE?
auf dem fileserver siehts ca so aus:

 

d:\

---TeamLWs

------Team001 (freigegeben als Share \\server\team001)

----------file1.doc

----------file2.doc

------Team002 (freigegeben als Share \\server\team002)

----------file1.doc

----------file2.doc

------Team003 (freigegeben als Share \\server\team003)

----------file1.doc

----------file2.doc

 

usw.

ist noch nicht final kann also geändert werden.

 

edit: ABE das hier?

funktioniert das auch mit failover cluster? gibts da irgendwelche nachteile? sonst siehts auf den ersten blick ganz gut aus (nur schnell überflogen)

bearbeitet 8. Juli 2014 von Gast

[NorbertFe 2.027]

Ja das funktioniert und du brauchst nur \\server\teamLWs freigeben und jeder sieht nur seinen Teamordner. Alles andere ist viel Aufwand für wenig sinnvollen Nutzen (in meinen Augen).

 

Bye

Norbert

[Dunkelmann 96]

Moin,

 

wie immer die Frage: Was willst Du erreichen?

 

Da die Benutzer per ACL und Freigabeberechtigung Zugriff auf das Laufwerk haben müssen bringt das Verbinden oder Nicht-Verbinden mMn gar nichts - der Benutzer kann den UNC Pfad immer noch direkt im Explorer eingeben und die Ressource verwenden.

 

Willst Du 'Sicherheit'? Dann müssten Clients, FileShare und RDS durch eine entsprechend konfigurierte Firewall getrennt sein.

Soll es nur 'Kosmetik' sein, könntest Du Dir mal Group Policy Preferences (GPP) mit Zielgruppenadressierung anschauen.

[Dr.Melzer 191]

@schumischumi:

 

Bitte benutze doch auch Großbuchstaben. Sie machen deine Beiträge für uns besser lesbar und je besser wir deine Beiträge lesen können umso besser können wir dir helfen. :)

[Gast]

Danke schon mal an NorbertFe. Sieht sehr vielversprechend aus.

 

@Dunkelmann:

Was ich erreichen will steht im Prinzip oben unter Anforderungen und im Text.

Klar müssen die Ordner/Shares auch "sicher" sein (sehr weit definierbarer Begriff). Hierfür benötige ich mMn keine Firewall sondern kann das über die Berechtigungen der Shares und/oder Ordner machen. Die Teams dürfen theoretisch sehen, dass es andere Team-LW gibt. Theoretisch heisst eben "Pfad im Explorer eingeben und es wird gelistet". Zugreifen und in die Ordner einsehen, dürfen sie hingegen nicht.

 

Das Problem was ich mit ABE habe, ohne mich eingehender damit beschäftigt zu haben, ist, dass der User ein LW verbunden bekommt z.B. L:\ auf dem er eigentlich keine schreibberechtigungen hat. Erst wenn er in den Unterordner z.B. L:\Team015 wechselt hat er seine Daten, anstatt direkt unter L:\. Ist jetzt eher ein kosmetischer "Fehler" aber muss ich mir durch den Kopf gehen lassen. Im Prinzip eine Usability Frage und nichts technisches. 

ABE würde mir allerdings meine Angst vor einer langen Anmeldung bzw. ewigen GPO-Prüferei nehmen.

 

Trotzdem nochmal kurz die Frage von oben: Gibt es bei einem Umsetzungsvorschlag wie zu 1. ein (zeitliches) Problem mit den GPOs oder ist es dem AD vollkommen egal und des macht alles wie von Zauberhand ganz fix?

[NorbertFe 2.027]

Du musst doch bei abe nur auf den teAm Ordner leserechte für alle Teams vergeben. Und zwar nur für diesen Ordner.

bearbeitet 8. Juli 2014 von NorbertFe

[Dunkelmann 96]

Mit GPP im Benutzerkontext + Zielgruppenadressierung auf Gruppenmitgliedschaft und Terminalsitzung,Computername oder IP Bereich sollte es eigentlich flott laufen.

 

Bei ein paar hundert Gruppen ist es natürlich Fleißarbeit.

Da die Definition des Laufwerksmappings nur eine xml ist, kann man das auch semi-automatisch per Copy, Edit & Paste lösen. Vielleciht zaubert auch jemand ein fertiges Skript aus dem Hut.

[Gast]

Was würdet ihr aus eurer Erfahrung raus empfehlen?

 

Die GPO Lösung oder ABE? Letzteres ist atm mein Favorit.

Gerne auch mit kurzer Begründung.

[lefg 276]

Trotzdem nochmal kurz die Frage von oben: Gibt es bei einem Umsetzungsvorschlag wie zu 1. ein (zeitliches) Problem mit den GPOs oder ist es dem AD vollkommen egal und des macht alles wie von Zauberhand ganz fix?

 

Hallo,

 

Du kannst es so machen, wie Du es in #3 dargestellt, für jedes Team ist sein Ordner freigegegeben und daruf wird die Netzlaufwerkverbindung vom Benutzer am Client aus hergestellt. Natürlich müssen die Benutzer direkt oder inderekt über Sichereheitsgruppen(Teamxxx) Berechtigung auf Freigabe und Teamordner. haben. Für diesen Fall ist ABE aber sinnlos.

 

Ein zeitliches Problem gibt es nicht, falls alles rrichtig konfiguriert und funktioniert, die Namanauflösung per DNS in der Domäne und auch das GPO ".... immer auf das Netzwerk warten", der Client wartet vor der Anmeldung, bis die Netzwerkverbindung zum Server hergestellt.

 

Edit Diese Lösung ist aber weder elegent noch best pract.

bearbeitet 8. Juli 2014 von lefg

[NorbertFe 2.027]

Ich würde mir diese Arbeit sparen. Wenns berechtigungstechnisch korrekt gemacht ist, spart es jede menge Zeit und hat als einzigen Nachteil, dass die User in dem Laufwerk erst in den unterordner klicken müssen, als Vorteil aber dass ein User mehreren Teams angehören kann. Die Zuordnung User zu Gruppe muss man sowieso machen.

[Dunkelmann 96]

Was würdet ihr aus eurer Erfahrung raus empfehlen?

Ich bin ein überzeugter Nutzer von GPP.

Die Zielgruppenadressierung erlaubt eine sehr granulare Steuerung ohne wie anno 1995 Skripte basteln zu müssen.

 

ABE sehe ich eher als ergänzende Technik. Falls der User doch mal durch die Shares surft, wird er nicht durch die Anzahl von Freigaben 'verwirrt' bzw. es werden keine Begehrlichkeiten geweckt.

bearbeitet 8. Juli 2014 von Dunkelmann

[Daniel -MSFT- 129]

Mal eine ganz andere Frage: Muss es zwingend ein Laufwerksbuchstabe sein? Netzwerkressourcen sind da viel flexiblerund können im TS-Profil per xcopy verteilt werden: http://blogs.technet.com/b/dmelanchthon/archive/2005/03/04/netzwerkressourcen-als-alternative-zu-laufwerksbuchstaben-verbindungen.aspx

[Dunkelmann 96]

Die Netzwerkressourcen kann ich auch per GPP steuern :cool:

Leider gibt es immer noch Schrott Anwendungen, die nicht mit UNC Pfaden klarkommen