Gast Geschrieben 8. Juli 2014 Melden Teilen Geschrieben 8. Juli 2014 Hi, die ausgangssituation: recht viele user (> 100) die je einer team gruppe zugeordnet sind(jeder user ist in maximal einem team). jedes team hat ein eigenes teamlaufwerk auf das ausschließlich sie zugreifen dürfen. die user haben einen client und zugriff zu einem terminalserver. Die Information zu welchem team ein user gehört findet sich nur in der gruppenzugehörigkeit, könnte aber theoretisch noch über das user-attribut department abgebildet werden wenn nötig. anforderung: 1. das gruppenlaufwerk soll bei der anmeldung am terminalserver verbunden werden 2. am client soll kein gruppenlaufwerk verbunden werden umsetzungsvorschlag: zu 1: das teamlaufwerk hätte ich per gpo (verlinkt auf die ou wo alle user sind) und die regel "drive map" mit item-level-targeting "member of security group teamXY" verbunden Zu 2: Hier hätte ich loopbackprocessing nach dem vorbild hier verwendet, da ja auf ein und den selben user je nachdem wo er sich anmeldet zwei verschiedene regeln greifen sollen. fragen: ist das best-practice oder habt ihr andere vorschläge? bekomme ich probleme wenn es in der gpo (zu punkt 1) sehr viele teamgruppen auf mitgliedschaft geprüft werden müssen? teilweise gibt es leider teams mit nur einem user und es wird in der zukunft noch stark wachsen. irgendwann wahrscheinlich > 200 team ads gruppen und damit auch shares. ich denke hier an lange anmeldezeiten bzw. zeiten zur verarbeitung der gpos. wie würdet ihr das umsetzten? Zitieren Link zu diesem Kommentar
NorbertFe 2.065 Geschrieben 8. Juli 2014 Melden Teilen Geschrieben 8. Juli 2014 Liegen die Daten alle in einem Verzeichnis? Dann wärst du wahrscheinlich mit ABE und nur einem Laufwerk für alle schneller und einfacher. ;) Zitieren Link zu diesem Kommentar
Gast Geschrieben 8. Juli 2014 Melden Teilen Geschrieben 8. Juli 2014 (bearbeitet) ABE?auf dem fileserver siehts ca so aus: d:\ ---TeamLWs ------Team001 (freigegeben als Share \\server\team001) ----------file1.doc ----------file2.doc ------Team002 (freigegeben als Share \\server\team002) ----------file1.doc ----------file2.doc ------Team003 (freigegeben als Share \\server\team003) ----------file1.doc ----------file2.doc usw. ist noch nicht final kann also geändert werden. edit: ABE das hier? funktioniert das auch mit failover cluster? gibts da irgendwelche nachteile? sonst siehts auf den ersten blick ganz gut aus (nur schnell überflogen) bearbeitet 8. Juli 2014 von Gast Zitieren Link zu diesem Kommentar
NorbertFe 2.065 Geschrieben 8. Juli 2014 Melden Teilen Geschrieben 8. Juli 2014 Ja das funktioniert und du brauchst nur \\server\teamLWs freigeben und jeder sieht nur seinen Teamordner. Alles andere ist viel Aufwand für wenig sinnvollen Nutzen (in meinen Augen). Bye Norbert Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 8. Juli 2014 Melden Teilen Geschrieben 8. Juli 2014 Moin, wie immer die Frage: Was willst Du erreichen? Da die Benutzer per ACL und Freigabeberechtigung Zugriff auf das Laufwerk haben müssen bringt das Verbinden oder Nicht-Verbinden mMn gar nichts - der Benutzer kann den UNC Pfad immer noch direkt im Explorer eingeben und die Ressource verwenden. Willst Du 'Sicherheit'? Dann müssten Clients, FileShare und RDS durch eine entsprechend konfigurierte Firewall getrennt sein. Soll es nur 'Kosmetik' sein, könntest Du Dir mal Group Policy Preferences (GPP) mit Zielgruppenadressierung anschauen. Zitieren Link zu diesem Kommentar
Dr.Melzer 191 Geschrieben 8. Juli 2014 Melden Teilen Geschrieben 8. Juli 2014 @schumischumi: Bitte benutze doch auch Großbuchstaben. Sie machen deine Beiträge für uns besser lesbar und je besser wir deine Beiträge lesen können umso besser können wir dir helfen. :) Zitieren Link zu diesem Kommentar
Gast Geschrieben 8. Juli 2014 Melden Teilen Geschrieben 8. Juli 2014 Danke schon mal an NorbertFe. Sieht sehr vielversprechend aus. @Dunkelmann: Was ich erreichen will steht im Prinzip oben unter Anforderungen und im Text. Klar müssen die Ordner/Shares auch "sicher" sein (sehr weit definierbarer Begriff). Hierfür benötige ich mMn keine Firewall sondern kann das über die Berechtigungen der Shares und/oder Ordner machen. Die Teams dürfen theoretisch sehen, dass es andere Team-LW gibt. Theoretisch heisst eben "Pfad im Explorer eingeben und es wird gelistet". Zugreifen und in die Ordner einsehen, dürfen sie hingegen nicht. Das Problem was ich mit ABE habe, ohne mich eingehender damit beschäftigt zu haben, ist, dass der User ein LW verbunden bekommt z.B. L:\ auf dem er eigentlich keine schreibberechtigungen hat. Erst wenn er in den Unterordner z.B. L:\Team015 wechselt hat er seine Daten, anstatt direkt unter L:\. Ist jetzt eher ein kosmetischer "Fehler" aber muss ich mir durch den Kopf gehen lassen. Im Prinzip eine Usability Frage und nichts technisches. ABE würde mir allerdings meine Angst vor einer langen Anmeldung bzw. ewigen GPO-Prüferei nehmen. Trotzdem nochmal kurz die Frage von oben: Gibt es bei einem Umsetzungsvorschlag wie zu 1. ein (zeitliches) Problem mit den GPOs oder ist es dem AD vollkommen egal und des macht alles wie von Zauberhand ganz fix? Zitieren Link zu diesem Kommentar
NorbertFe 2.065 Geschrieben 8. Juli 2014 Melden Teilen Geschrieben 8. Juli 2014 (bearbeitet) Du musst doch bei abe nur auf den teAm Ordner leserechte für alle Teams vergeben. Und zwar nur für diesen Ordner. bearbeitet 8. Juli 2014 von NorbertFe Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 8. Juli 2014 Melden Teilen Geschrieben 8. Juli 2014 Mit GPP im Benutzerkontext + Zielgruppenadressierung auf Gruppenmitgliedschaft und Terminalsitzung,Computername oder IP Bereich sollte es eigentlich flott laufen. Bei ein paar hundert Gruppen ist es natürlich Fleißarbeit. Da die Definition des Laufwerksmappings nur eine xml ist, kann man das auch semi-automatisch per Copy, Edit & Paste lösen. Vielleciht zaubert auch jemand ein fertiges Skript aus dem Hut. Zitieren Link zu diesem Kommentar
Gast Geschrieben 8. Juli 2014 Melden Teilen Geschrieben 8. Juli 2014 Was würdet ihr aus eurer Erfahrung raus empfehlen? Die GPO Lösung oder ABE? Letzteres ist atm mein Favorit. Gerne auch mit kurzer Begründung. Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 8. Juli 2014 Melden Teilen Geschrieben 8. Juli 2014 (bearbeitet) Trotzdem nochmal kurz die Frage von oben: Gibt es bei einem Umsetzungsvorschlag wie zu 1. ein (zeitliches) Problem mit den GPOs oder ist es dem AD vollkommen egal und des macht alles wie von Zauberhand ganz fix? Hallo, Du kannst es so machen, wie Du es in #3 dargestellt, für jedes Team ist sein Ordner freigegegeben und daruf wird die Netzlaufwerkverbindung vom Benutzer am Client aus hergestellt. Natürlich müssen die Benutzer direkt oder inderekt über Sichereheitsgruppen(Teamxxx) Berechtigung auf Freigabe und Teamordner. haben. Für diesen Fall ist ABE aber sinnlos. Ein zeitliches Problem gibt es nicht, falls alles rrichtig konfiguriert und funktioniert, die Namanauflösung per DNS in der Domäne und auch das GPO ".... immer auf das Netzwerk warten", der Client wartet vor der Anmeldung, bis die Netzwerkverbindung zum Server hergestellt. Edit Diese Lösung ist aber weder elegent noch best pract. bearbeitet 8. Juli 2014 von lefg Zitieren Link zu diesem Kommentar
NorbertFe 2.065 Geschrieben 8. Juli 2014 Melden Teilen Geschrieben 8. Juli 2014 Ich würde mir diese Arbeit sparen. Wenns berechtigungstechnisch korrekt gemacht ist, spart es jede menge Zeit und hat als einzigen Nachteil, dass die User in dem Laufwerk erst in den unterordner klicken müssen, als Vorteil aber dass ein User mehreren Teams angehören kann. Die Zuordnung User zu Gruppe muss man sowieso machen. Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 8. Juli 2014 Melden Teilen Geschrieben 8. Juli 2014 (bearbeitet) Was würdet ihr aus eurer Erfahrung raus empfehlen? Ich bin ein überzeugter Nutzer von GPP. Die Zielgruppenadressierung erlaubt eine sehr granulare Steuerung ohne wie anno 1995 Skripte basteln zu müssen. ABE sehe ich eher als ergänzende Technik. Falls der User doch mal durch die Shares surft, wird er nicht durch die Anzahl von Freigaben 'verwirrt' bzw. es werden keine Begehrlichkeiten geweckt. bearbeitet 8. Juli 2014 von Dunkelmann Zitieren Link zu diesem Kommentar
Daniel -MSFT- 129 Geschrieben 8. Juli 2014 Melden Teilen Geschrieben 8. Juli 2014 Mal eine ganz andere Frage: Muss es zwingend ein Laufwerksbuchstabe sein? Netzwerkressourcen sind da viel flexiblerund können im TS-Profil per xcopy verteilt werden: http://blogs.technet.com/b/dmelanchthon/archive/2005/03/04/netzwerkressourcen-als-alternative-zu-laufwerksbuchstaben-verbindungen.aspx Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 8. Juli 2014 Melden Teilen Geschrieben 8. Juli 2014 Die Netzwerkressourcen kann ich auch per GPP steuern :cool: Leider gibt es immer noch Schrott Anwendungen, die nicht mit UNC Pfaden klarkommen Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.