Frage zur GPO für Netzlaufwerke

[Anubis2k 14]

Hallo zusammen,

 

ich hoffe mal das ich hier im AD Bereich richtig bin, da GPOs ja eher ein AD Thema sind.

 

Für das kommende Jahr wollte ich gerne die diversen netlogon Skripte weg haben, die bei uns die ganzen Netzlaufwerke einbinden. Netzlaufwerke via GPO einrichten, kenne ich und hab ich schon oft bei Kunden, meinem ehemaligen Arbeitgeber sowie Freunden und Bekannten gemacht. Im Internet hab ich dann mal so nach "best practice" Ansätzen geschaut, wobei es ja immer wieder sonderlocken gibt.

 

Einer meiner Kollegen ist ein Fan von Loopback Verarbeitungen bei den GPOs, doch auch darüber lässt sich dann z.B. streiten, und nun bin ich hier und wollte mal horchen wie ihr das gelöst habt.

 

Vermutlich ist das ganze super einfach, im Kopf mache ich es mir nur zu komplex.

 

Nun streitet man sich auch was sinniger ist, "eine GPO mit vielen Regeln" oder "für jede Regel eine GPO" und schon stehe ich vor einer kniffeligen Frage.

 

Wenn ich nun aber eine "Default" Regel baue, welche unsere Laufwerke einbindet und diese auf alle Benutzerkonten ausrolle, kommen weitere Dinge in den Kopf...

 

- Computerkonfigurationseinstellung deaktiviert (ist wohl gut für die Performance sein)

- kein Loop Back (ebenfalls gut für die Performance, würde aber auch aufgrund der erwähnten Deaktivierung nicht greifen)

- Zielgruppenadressierung (eventuell soll nicht jede Sicherheitsgruppe auch jedes Laufwerk)

 

Jetzt kommt aber der spannenden Punkt, meine Default GPO soll z.B. für alle Benutzer greifen, doch auf dem Fileserver nicht.

 

Auf gruppenrichtlinien.de hab ich gesehen, wenn ich "Authentifizierte-Benutzer" oder "Domänencomputer" für die GPO komplett weg lasse, nur die Benutzerkonten über eine Sicherheitsgruppe und die Computerkonten über eine Sicherheitsgruppe hinterlege, würde das gehen. Klingt erst einmal gut, pauschal würde ich aber sagen "das macht ja mehr Arbeit für die Kollegen"...

 

Nun führen auch viele Wege nach Rom, ich könnte mir da mit Sicherheit was zusammen bauen, aber bevor ich etwas baue und (ich glaube sein Name ist Nils) er eine geile Idee hat und mich fragt warum ich so eine doofe Idee hatte, frage ich euch einmal 

 

Wie habt ihr denn eine GPO zum verbinden von Netzlaufwerken gebaut, aber verhindert dass ein Admin der sich auf dem Fileserver anmeldet, diese nicht ebenfalls eingebunden bekommt?

 

Gruß, Dominik

 

p.s. Nur zur Info, falls einer fragt... Wenn die Strukturierung des Fileservers ansteht, werden wir wohl auch einen Dienstleister hinzuziehen (in der Hoffnung, dass der besser ist als die bisherigen), da wir echt viele NTFS Berechtigungen so gerade ziehen wollen das die Leute nicht versehentlich wieder Vererbungen aufbrechen oder gar uns Admins komplett raus kicken, was im Supportfall nicht so cool ist. Haben da nämlich das eine oder andere Verzeichnis wo "Vollzugriff" vergeben wurde und dann die Berechtigungen kaputt sind  Pauschal würde ich sagen "maximal Ändern, dass reicht" aber auch da lasse ich mich dann beraten.

[Sunny61 806]

Wie bei vielen anderen gibt es bei uns nur einen LW-Buchstaben, der ist für alle User gleich. Die User sehen nur die Verzeichnisse, auf die sie auch Zugriffsberechtigungen haben. Das lässt sich über ABE (access based enumeration) regeln. https://learn.microsoft.com/de-de/windows-server/storage/dfs-namespaces/enable-access-based-enumeration-on-a-namespace

Auch wenn ich mich am Fileserver anmelde, hab ich dieses LW verbunden, wen störts?

 

Viel wichtiger ist IMHO an der Stelle, das korrekte Einrichten der Berechtigungen, dabei haben wir uns an diesen Artikel gehalten: https://www.faq-o-matic.net/2011/03/07/windows-gruppen-richtig-nutzen/

Insbesonders wenn man sich das Bild hier anschaut und danach die Gruppen einrichtet, sollte das problemlos klappen:

 

 

@NilsK Sorry fürs direkte verlinken, aber das hilft am Anfang ungemein. ;)

[NilsK 2.930]

Moin,

 

dafür ist es ja da. Die Quelle steht dabei, also prima. 

 

Inhaltlich stimme ich dir zu: Einfach halten. Maximal einfach. Sonst wird es nur Probleme bereiten. Man kann sich viele schöne Sachen mit GPOs ausdenken ... sollte man aber nicht.

 

Gruß, Nils

 

bearbeitet 12. Dezember 2022 von NilsK

[NorbertFe 2.027]

vor einer Stunde schrieb Anubis2k:

pauschal würde ich aber sagen "das macht ja mehr Arbeit für die Kollegen"...

Stimmt, wenn jeder alles kann, dann macht das weniger Arbeit. Zumindest vorerst.

Wenn jeder jedem was klaut kommt keinem was weg. ;)

[Anubis2k 14]

Moin und vielen Dank für das Feedback... die vielen Netzlaufwerke will mein Kollege auch weg haben, wir wollen dies halbieren. Aktuell sind es acht Netzlaufwerke die wir einbinden und mit ABE wird auch gearbeitet, damit in dem was man jetzt schon sieht nicht alles im Blick hat :)

 

Diverse Ansätze hab ich mir bei faq-o-matic.net auch schon angeschaut als ich gesucht hatte was man so machen könnte, aber da streiten sich ja dann auch die Geister, dann gibt es hier was, dann gibt es da was etc. und in den "Basics" wurde halt auch immer von Vollzugriff gesprochen, wobei ich das halt schon sehr gefährlich finde.

 

Meine Kollegen aus dem First Level haben schon das eine oder andere mal einen Anruf gehabt, man solle mal die alte Version wiederherstellen und dann haben die keine Berechtigung. Dann gucken wir vom Infrastruktur Team nach, auch keine Berechtigung. Wenn wir uns dann auf den PC der Person schalten, die dort bitten hin zu gehen, ist die Vererbung aufgebrochen und Zugriff hat nur noch die eine Person.

 

Somit kam dann auch für die Zukunft der Gedanke, nie mehr Vollzugriff zu gewähren, sondern nur noch "Ändern", damit Vererbungen nicht mehr aufgebrochen werden (auch wenn es nur versehentlich ist) und das IT Team nicht mehr dran kommt. Denn selbst mit erhöhten rechten direkt auf dem Fileserver kommen wir als Admins an einige Dateien nicht mehr dran. Natürlich können wir uns die Berechtigung erzwingen, aber schön ist auch anders :)

 

vor 21 Minuten schrieb Sunny61:

Auch wenn ich mich am Fileserver anmelde, hab ich dieses LW verbunden, wen störts?

OK, dann ist es eher ein Schönheitsproblem und "jammern auf hohem Niveau" oder so  Persönlich finde ich das auch immer komisch, wenn ich auf dem Server bin und neben den Partitionen auch die Netzlaufwerke sehe.

 

Generell wird das Thema für 2023 ein spannendes Ding... Ich darf bei unseren Dienstleistern anfragen, dann schauen wir ob einer von denen Infrage kommt, oder ein ganz anderer / neuer und mit den ganzen Abteilungen muss geregelt werden, dass da nichts verloren geht etc.

 

Nachtrag: Gefolgt von Audit für z.B. Dateien / Ordner der Personalabteilung und Geschäftsleitung... 

bearbeitet 12. Dezember 2022 von Anubis2k

[testperson 1.674]

Hi,

 

hier wäre noch ein anderer Ansatz, um (möglicherweise) ganz auf Laufwerkmappings zu verzichten: Dealing with network drive mappings in Citrix environments – JAMES-RANKIN.COM

 

Gruß

Jan

[Sunny61 806]

vor 2 Stunden schrieb Anubis2k:

Persönlich finde ich das auch immer komisch, wenn ich auf dem Server bin und neben den Partitionen auch die Netzlaufwerke sehe.

Geht mir nicht so, ganz im Gegenteil, so habe ich immer und überall den gleichen LW-Buchstaben mit dem gleichen Inhalt. ;)

vor 2 Stunden schrieb Anubis2k:

Aktuell sind es acht Netzlaufwerke die wir einbinden und mit ABE wird auch gearbeitet, damit in dem was man jetzt schon sieht nicht alles im Blick hat :)

Bei einem AG gingen sogar mal die Buchstaben aus, das zu reduzieren war sehr schwer in die Köpfe zu kriegen. Da half nur ankündigen, umstellen und nie wieder zurück blicken.

[daabm 1.348]

Ich bin bei allen Vorrednern - DFS-N mit ABE kann alle Netzlaufwerke außer einem eliminieren, maximal einfach. Und mit GPOs kann man sich nicht nur "schöne Sachen" ausdenken, sondern auch richtig praktische Netzlaufwerke gehören aber in keinem Fall dazu.

[Anubis2k 14]

Zum Thema GPO selbst, als wir das eine oder andere Gespräch mit einem Dienstleister zwecks Tiering hatten, haben wir auch erst einmal aufgeräumt. Alle GPOs mit "zzz_" versehen von denen wir glauben die können weg und deaktiviert. Nach ein paar Wochen (oder sogar 1,5 Monate) dann weg gelöscht was wir nicht mehr brauchen.

 

Netzlaufwerke werden wir auch weiterhin behalten, da sowohl wir IT'ler als auch die Kolleginnen und Kollegen ja Menschen mit Gewohnheiten sind. Es kommen noch genug Dinge auf sie zu, die denen nicht gefallen werden, aufgrund Sicherheitskonzepte etc., wobei wir vom IT Team auch schon einiges auf unserem Plan haben womit wir uns schwer tun werden, aber es nichts nützt.

 

Aber ich nehme folgende Erkenntnis mit, Netzlaufwerke auf dem Fileserver einfach ignorieren, auch wenn es für den einen oder anderen nicht schön aussehen mag. Somit muss ich mir dann auch nicht all zu sehr bezüglich meiner Standard GPO und ob ich da Ausnahmen hinein bekomme 

 

Und in dem faq-o-matic Artikel wird ein "A-G-DL-P-Prinzip" erwähnt... das ist lustig, denn mein Kollege sagte letztens dass er nested Groups irgendwie doof findet, weil man da leicht den Überblick verlieren kann  Aber anhand der Grafik hier im Thread und auf der Seite (ist ja die gleiche) kann man damit doch recht gute und logische Aufteilungen durchführen.

 

Ich bedanke mich aber schon mal für die Ansätze bis hierher. Ich selbst werde auch noch mal ein wenig recherchieren, vielleicht hab ich ja auch noch die eine oder andere Frage, bevor ich blind in die Ideen eines (oder mehrerer) Dienstleister stürze und hinterher sind die Ideen nicht so gut gewesen. Was ja auch verständlich wäre, da jeder nur mit Wasser kocht 

[Sunny61 806]

vor 41 Minuten schrieb Anubis2k:

Und in dem faq-o-matic Artikel wird ein "A-G-DL-P-Prinzip" erwähnt... das ist lustig, denn mein Kollege sagte letztens dass er nested Groups irgendwie doof findet, weil man da leicht den Überblick verlieren kann  Aber anhand der Grafik hier im Thread und auf der Seite (ist ja die gleiche) kann man damit doch recht gute und logische Aufteilungen durchführen.

Das sieht von außen erstmal so aus, wenn man dann mal drin ist geht das schon. Wichtig ist auch die Benennung der Gruppen, es sollte gleich beim lesen klar sein, welche Gruppe was ist. User kommen IMMER nur in die erste Gruppe rein, in der Zugriffsgruppe hat keine User was verloren. Wenn man sich daran hält ist das übersichtlich.

 

Das hat bei uns zwar eine Zeit gedauert das aufzubauen und umzusetzen, aber seitdem ist das Thema Berechtigungen relativ easy zu handeln. ;)

[Anubis2k 14]

Hab eben mal eine kleine Besprechung mit meinem Kollegen gehabt... er findet das Prinzip auch gut, dann hab ich das falsch verstanden. Das einzige was ihn gestört hatte ist, es gibt Anwendungen / Programme die damit nicht zurecht kommen und das wäre doof, aber für unseren Fileserver können wir das gerne so in Angriff nehmen, meint er 

 

Wir wollen dann auch die Tiefe der Ordner kürzen, denn aktuell ist es so dass wir (so machen es zumindest die Kollegen wenn Freigaben erstellt werden) in der tiefsten Ebene anfangen, dort (wenn benötigt) Schreibrechte geben und dann nach oben durch gehen und jedem Ordner nur das Leserecht geben, damit die Kolleginnen und Kollegen dann dort hin "surfen" können. Bei ein / zwei oder drei Ordnerebenen mag das noch Spaß machen, aber wenn man fünf oder mehr Ordner im Ordner hat, ist das auch schon echt fies.

 

Es sei denn man baut dieses wieder mit Nested Groups korrekt auf... dann könnte man das vielleicht cool lösen 

[NorbertFe 2.027]

vor 7 Minuten schrieb Anubis2k:

es gibt Anwendungen / Programme die damit nicht zurecht kommen

Welche denn?

 

vor 7 Minuten schrieb Anubis2k:

Es sei denn man baut dieses wieder mit Nested Groups korrekt auf... dann könnte man das vielleicht cool lösen 

Nein, ab einer gewissen Ebene wird das einfach "uncool". ;)

[Anubis2k 14]

Alles klar, dann ist das mit den Ebenen einfach so... Es hätte ja sein können, dass ihr da jetzt irgend einen coolen Trick kennt, den ich noch nicht kenne bei dem man dann irgendwie in der entsprechenden Ebene das Lese / Schreibrecht (oder was auch immer) vergibt und dann kann man das "easy" mit den darüber liegenden Ordnern lösen 

 

Habt ihr eigentlich der Sicherheitsgruppe für die Freigaben ein Prefix oder Postfix verpasst? Als man mich im Sommer mal darauf angesprochen hatte, habe ich zwei Gruppen für einen Ordner erstellt...

- OrdnerXY_R

- OrdnerXY_RW

 

Bezüglich der Programme, ich frage ihn morgen mal ob er ein Beispiel hat. Vielleicht ist das auch nur eine historische Geschichte und mittlerweile hat sich das auch geklärt.

[NorbertFe 2.027]

vor 33 Minuten schrieb Anubis2k:

Habt ihr eigentlich der Sicherheitsgruppe für die Freigaben

Nein, denn auf der Freigabe vergibt man keine Berechtigungen. ;)

[Anubis2k 14]

Mea culpa... ich vergas und korrigiere... es geht um Sicherheitsgruppen für die NTFS Berechtigungen :)