TheBiker006 1 Geschrieben 3. November 2016 Melden Teilen Geschrieben 3. November 2016 Hallo Leute, seit einigen Wochen versuche ich nun Netzlaufwerke über Gruppenrichtlinien zuzuordnen. Dies klappt nur sporadisch. Systemkonfiguration: AD: Hier sind die User in Globalen Gruppen und die NTFS Berechtigungen sind auf die lokalen Gruppen gelegt mit Lesen ® oder Lesen und Schreiben (RW) die Globalen Gruppen sind Mitglied der lokalen Gruppen. Die Berechtigungen sind getestet und funktionieren für den Fileserver. Gruppenrichtlinien: Benutzerkonfiguration/Einstellungen/Windows-Einstellungen-Laufwerkzuordnungen. Hier habe ich jetzt mehrere Netzlaufwerke erstellt. Dies funktioniert auch. Aber wenn ich es auf Zielgruppenadressierung auf Elementebene (Sicherheitsgruppe) also meine Globale Gruppen in denen die User sind versuche, kommt nur kaudawelsch raus. Manche Laufwerke sind da andere nicht. Ich habe alles versucht. Auch nach Anleitungen gearbeitet. Ich habe auch gelesen das es unter Windows Server ein Bug geben könnte. Hat jemand damit Erfahrung? Es wäre ja eine sehr Elegante Lösung die Netzlaufwerke mit einer Gruppenrichtlinie auf Elemementebene abzufrühstücken. :-) Zitieren Link zu diesem Kommentar
testperson 1.708 Geschrieben 3. November 2016 Melden Teilen Geschrieben 3. November 2016 Hi, was sagt das Eventlog am Client dazu? Ggfs.: https://blogs.technet.microsoft.com/askds/2016/06/22/deploying-group-policy-security-update-ms16-072-kb3163622/ Gruß Jan Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 3. November 2016 Melden Teilen Geschrieben 3. November 2016 Benutzerkonfiguration/Einstellungen/Windows-Einstellungen-Laufwerkzuordnungen. Hier habe ich jetzt mehrere Netzlaufwerke erstellt. Dies funktioniert auch. Aber wenn ich es auf Zielgruppenadressierung auf Elementebene (Sicherheitsgruppe) also meine Globale Gruppen in denen die User sind versuche, kommt nur kaudawelsch raus. Manche Laufwerke sind da andere nicht. Ich habe alles versucht. Auch nach Anleitungen gearbeitet. Ich habe auch gelesen das es unter Windows Server ein Bug geben könnte. Es kann viele Bugs geben, hast Du auch etwas mehr Details dazu oder ist das nur aus dem Kaffeesatz gelesen? Hat jemand damit Erfahrung? Es wäre ja eine sehr Elegante Lösung die Netzlaufwerke mit einer Gruppenrichtlinie auf Elemementebene abzufrühstücken. :-) Läuft bei uns und Millionen anderer Admins auf der Welt seit Jahren problemlos. Hast Du denn auch die Einstellung 'Immer auf das Netzwerk warten' gesetzt? Alternativ einfach mal zwei Minuten vor dem Login warten. Welche Buchstaben hast Du vergeben? Kann dir ein Kartenleser oder ähnliches in Sachen Buchstaben in die Quere kommen? Zusätzlich diesen Artikel lesen und prüfen ob das bei dir korrekt gesetzt ist: http://www.gruppenrichtlinien.de/artikel/sicherheitsfilterung-neu-erfunden-ms16-072-patchday-14062016/ Und zum Schluß einfach mal bei NULL anfangen. TestOU, Testclient und Testbenutzer in Testgruppe. Einen LW-Buchstaben probieren, und immer so langsam weiter. Einen Schritt nach dem anderen machen, alles andere ist nicht hilfreich. Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 3. November 2016 Melden Teilen Geschrieben 3. November 2016 (bearbeitet) versuche ich nun Netzlaufwerke über Gruppenrichtlinien zuzuordnen. Dies klappt nur sporadisch. Moin, ist das näher erläuterbar? Ich nehme mal an, es der benutzer wird nicht automatisch angemeldet? Falls dieser mit dem Anmelden etwas wartet, probieren mal eine Minute warten oder auch zwei, erfolgt dann ein verbinden? Ist die Gruppenrichtlinie konfiguriert "Bei Neustart des Computers und bei Anmeldung immer auf das Netzwerk warten."? Falls dieses GPO konfiguriert, wirkt es auch auf dem Client? Für das Funktionieren von Gruppenrichtlinien ist das Funktionieren der Namensauflösung per DNS in der Domäne zwingend notwendig. Nicht nur der Dienst muss funktionieren, am Client muss der erste DNS-Eintrag auf den DNS am DC zeigen. bearbeitet 3. November 2016 von lefg Zitieren Link zu diesem Kommentar
TheBiker006 1 Geschrieben 3. November 2016 Autor Melden Teilen Geschrieben 3. November 2016 (bearbeitet) @testperson Wenn du gpresult meinst beim Client. Da wird die Richtlinie normal angewendet. Es erscheinen auch 2 Netzlaufwerke beim Client. Aber eben nicht die manchmal 3-5 Netzlaufwerke die in der GPO stehen. @Sunny61 Auf Netzlaufwerke warten hab ich nicht gesetzt. Die Buchstaben sind Beginnend mit..... eingestellt. Da dürfte es auch keine Konflikte geben. Details: Aktion: Aktualisieren Speicherort: Freigegebene Datei RW Rechte (UNC Pfad). Haken bei Verbindung widerherstellen. Ersten verfügbaren Laufwerkbuchstaben verwenden. Laufwerk aus-/einblenden Keine Änderung. Alle Laufwerke aus-/einblenden Keine Änderung. Der Witz ist ja, einige Netzlaufwerke werden ja verbunden. Hab auch manchmal das Gefühl das man maximal 2 Netzlaufwerke über GPO einstellen kann. Das komische dabei ist ja, dass alle Netzlaufwerke auf dem Selben Fileserver sind. Wenn eins funktioniet sollten auch die anderen gehen wenn DNS funktioniert. @levg Das warten denke ich mal ist auch nicht das Problem. Denn wenn ich Gpupdate /force eingebe, dann wird die Richtlinie ja komplett neu eingelesen. Aber es passiert nur das gleiche. Sprich es fehlen Netzlaufwerke. Ich habe auch in der Hosts einen Eintrag zum DC/DNS gemacht. bearbeitet 3. November 2016 von TheBiker006 Zitieren Link zu diesem Kommentar
testperson 1.708 Geschrieben 3. November 2016 Melden Teilen Geschrieben 3. November 2016 Eigentlich meine ich eventvwr.msc. Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 3. November 2016 Melden Teilen Geschrieben 3. November 2016 (bearbeitet) @levg Das warten denke ich mal ist auch nicht das Problem. Denn wenn ich Gpupdate /force eingebe, dann wird die Richtlinie ja komplett neu eingelesen. Aber es passiert nur das gleiche. Sprich es fehlen Netzlaufwerke. Es geht beim warten darum, das Netzlaufwerk kann erst erfolgreich hergestellt werden, wenn der Client selbst eine Verbindung zum Server, zur Freigabe hat. Es ist ein Klassiker. Bei schnellen Rechnern kommt das Anmeldeformular schon vor dem Verbinden des Netzwerkes. Bei Rechnern mit SSD ist die Lücke noch grösser. Habe ich, haben wir schon nach relevanten Einträgen im Ereignisprotokoll gefragt? Hast Du da schon reingeschaut? Steht darin etwas Interessantes, etwas Wichtiges? Sicher kennst Du das Ereignisprotokoll, wesst wo Du das findest? Wo Du darin schauen musst? Da gibt es Windows-Protokolle mit System und Anwendung. Weiter gibt es Anwendungs- und Dienstprotokolle, doert Microsoft, Windows, Diagnostic Performance, Betriebsbereit, darin könnten auch interessante Einträge sein. bearbeitet 3. November 2016 von lefg Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 3. November 2016 Melden Teilen Geschrieben 3. November 2016 @Sunny61 Auf Netzlaufwerke warten hab ich nicht gesetzt. Die Buchstaben sind Beginnend mit..... eingestellt. Da dürfte es auch keine Konflikte geben. Setz die Einstellung auf Computerebene. Wir fragen nicht aus Jux und Tollerei. Vergib feste Buchstaben und lassen den anderen Quatsch weg. Aktion: Aktualisieren Speicherort: Freigegebene Datei RW Rechte (UNC Pfad). Haken bei Verbindung widerherstellen. Ersten verfügbaren Laufwerkbuchstaben verwenden. Laufwerk aus-/einblenden Keine Änderung. Alle Laufwerke aus-/einblenden Keine Änderung. Weißt Du denn was 'Haken bei Verbindung wiederherstellen' bedeutet? Lies dich dazu doch erstmal ein, bevor du solche Einstellungen setzt. Der Witz ist ja, einige Netzlaufwerke werden ja verbunden. Hab auch manchmal das Gefühl das man maximal 2 Netzlaufwerke über GPO einstellen kann. Das komische dabei ist ja, dass alle Netzlaufwerke auf dem Selben Fileserver sind. Wenn eins funktioniet sollten auch die anderen gehen wenn DNS funktioniert. Mach es einfach nochmal, diesmal richtig. Zuerst ein LW verbinden, dann das zweite hinzufügen. Benutze den Buchstaben Z:, Verbindung wiederherstellen NICHT aktivieren. Beschriften als etwas eintragen. Zielgruppenadressierung konfigurieren. Testrechner neu starten und Benutzer anmelden lassen. Das warten denke ich mal ist auch nicht das Problem. Denn wenn ich Gpupdate /force eingebe, dann wird die Richtlinie ja komplett neu eingelesen. Aber es passiert nur das gleiche. Sprich es fehlen Netzlaufwerke. Weißt Du denn was /force macht? Und ja, das warten ist sehr häufig ein Problem. Ich habe auch in der Hosts einen Eintrag zum DC/DNS gemacht. Warum das denn? Wenn DNS funktioniert ist das flüssiger als Wasser. Zitieren Link zu diesem Kommentar
TheBiker006 1 Geschrieben 3. November 2016 Autor Melden Teilen Geschrieben 3. November 2016 @Sunny61 Ich danke dir für deine Hilfe. Ich werde es gleich heute Mittag einmal ganz neu versuchen. Kann doch nicht so schwer sein. :-)) @testperson Das Ereignisprotokoll hat keine Einträge bzgl. Netzlaufwerken oder Performance. @levg Das Warten auf das Netzwerk ist gesetzt @Sunny61 Die Laufwerke hab ich neu angelegt mit einem festen Laufwerksbuchstaben mit Z beginnend. Aktion: aktualisieren Speicherort \\UNC Pfad mit der Freigabe Verbindung wiederherstellen: Haken entfernt Laufwerksbuchstabe:Z Gemeinsame optionen Zielgruppenadressierung auf Elementebene Da hängt es wohl noch. Ich sollte ja den Radiobutton wählen Computer in der Gruppe. Dann oben auf Element Sicherheitsgruppe (Aber die Sicherheitsgruppe besteht aus Usern meiner Globalen Gruppe) Wenn ich oben bei Element "Computer" auswähle dann kann ich nur explizit ein Computerobjekt angeben. Die GPO wirkt auf Benutzer erst einmal. In der GPO mache ich eine Zielgruppe auf Computer. Gruselig. Nach einem Rechnerneustart wurde jetzt kein Netzlaufwerk mehr verbunden mit der Einstellung. Jetzt ist die Verwirrung komplett. Ich versuche die Zielgruppenaddressierung jetzt mal nochmal auf "Benutzer in der Gruppe" das Element ist Sicherheitsgruppe und die Gruppe ist meine Globale Sicherheitsgruppe mit den Usern darin. So ist es in vielen Anleitungen beschrieben. Verbessert mich wenn dies falsch ist. Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 3. November 2016 Melden Teilen Geschrieben 3. November 2016 Spätestens jetzt solltest Du im Eventlog etwas finden. Schau dir unbedingt diesen Artikel an: http://www.gruppenrichtlinien.de/artikel/sicherheitsfilterung-neu-erfunden-ms16-072-patchday-14062016/ Prüf nach ob im GPO im Reiter Delegierung auch die Authentifzierten Benutzer eingetragen sind. Wenn das Benutzer-GPO nur auf bestimmten Computern gelten soll, dann würde ich persönlich die Computergruppe als Sicherheitsfilter eintragen. Aber unbedingt im Reiter Delegierung die Authentifizierten Benutzer eintragen! Gibt es einen bestimmten Grund für dieses Vorgehen oder ist das nur just for Fun? Laufwerke sind normalerweise Benutzerbezogen, sehr sehr selten Computerbezogen. Zitieren Link zu diesem Kommentar
TheBiker006 1 Geschrieben 3. November 2016 Autor Melden Teilen Geschrieben 3. November 2016 (bearbeitet) So erst mal an alle die mir so gut geholfen haben ein dickes Dankeschön. Es funktioniert jetzt. Die Lösung bestand wohl aus vielen kleinen Dingen. Windows ist da wohl so etwas eigen. 1. Laufwerksbuchstabe fest zugeordnet 2. Bei mehreren Sicherheitsgruppen habe ich oben eine "oder ist Mitglied von" auswählen müssen. Standardmäßig ist da ein "Und ist mitglied"drin. 3. Dann die sache mit der verzögerten Netzwerksuche 4. Was aber zum Schluss ausschlaggebend war, ist der Punkt "aktualisieren" habe ich auf "ersetzen" gestellt. Jetzt geht es mit der Zielgruppenadressierung auf Sicherheitsgruppen "Benutzer" @Sunny61 Die authentifizierten Benutzer waren und sind noch drin. Das stand auch im Internet. Sonst wird die GPO nicht angewendet. Das hätte ich aber auch gesehen bei gpresult -r wenn die Gruppenrichtlinie beim Client nicht angewendet wurde. Der Grund weshalb ich die GPO Netzlaufwerkzuordnung gewählt habe, ist eine leichtere Administrierung meines ADs. Früher wurde dies über Startscripte, Usereinträge mit Netzlaufwerken gelöst. Die Sache auf Computerebene zu machen war nicht meine Idee. Ich wollte nur eine einzige GPO im Stamm meiner Richtlinien die ich dann auf User gruppen anwenden kann. So muss ich nur die Gruppenzugehörigkeit eines Mitarbeiters ändern, sodass er automatisch ein Netzlaufwerk bekommt. bearbeitet 3. November 2016 von TheBiker006 Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 3. November 2016 Melden Teilen Geschrieben 3. November 2016 4. Was aber zum Schluss ausschlaggebend war, ist der Punkt "aktualisieren" habe ich auf "ersetzen" gestellt. Jetzt geht es mit der Zielgruppenadressierung auf Sicherheitsgruppen "Benutzer" Das kann so auf Dauer nicht gut gehen, bei uns und Millionen anderer funktioniert Aktualisieren. Aber Du wirst sicher bald feststellen, dass Ersetzen Mist ist. Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 4. November 2016 Melden Teilen Geschrieben 4. November 2016 Ja, Ersetzen ist Mist. Du mußt in dem Fall tatsächlich zwei Zuordnungen machen. Eine mit Aktion "Aktualisieren" und mit der Filterung, die Du haben möchtest. Die kopierst Du jetzt, erstellst in der Filterung eine Sammlung und wirfst da alles rein, was an Filterung da ist. Die Sammlung invertierst Du dann ("Ist nicht"), und die Aktion stellst Du auf "Löschen" um. Ich sag ja, Skripts sind für NW-Mappings die bessere Lösung Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.