Obwohl es seit vielen Jahren möglich ist, per Gruppenrichtlinie ein Netzlaufwerk verbinden zu können, wird diese einfache und effektive Methode oft nicht angewendet. Leider verwenden viele Administratoren, meist aus Unwissen, immer noch Skripte um dem Benutzer den Zugriff auf Netzlaufwerke zu ermöglichen. Ich möchte Dir in diesem Artikel daher zeigen, wie Du die Gruppenrichtlinienverwaltung im Active Directory hierfür verwenden kannst.
Per Gruppenrichtlinie ein Netzlaufwerk verbinden
Voraussetzung für die Zuordnung von Laufwerken per Gruppenrichtlinie (GPO) ist eine Windows Domäne. Du solltest ebenfalls über eine Freigabe verfügen, auf welche die Clients zugreifen sollen und welche als Netzlaufwerk eingebunden werden soll.
Im ersten Schritt solltest Du Dir eine Sicherheitsgruppe im Active Directory erstellen. Die Mitglieder dieser Gruppe sollen später Zugriff auf das Netzlaufwerk erhalten. In meinem Beispiel habe ich die Gruppe „Share_Marketing“ genannt und alle Benutzer des Marketings als Mitglied der Gruppe eingetragen.
Nun geht es bereits an die Erstellung der entsprechenden Gruppenrichtlinie. Hierfür öffnest Du die Gruppenrichtlinienverwaltung auf dem Domänencontroller und legst eine neue Gruppenrichtlinie an. Der Name sollte, wie bei allen Gruppenrichtlinien, möglichst eindeutig sein. Ich nenne die Gruppenrichtlinie hier „[User] Netzlaufwerk verbinden„. Daraus geht hervor, dass es sich um eine Benutzerrichtlinie handelt und, dass ich damit ein Netzlaufwerk verbinden möchte.
Du legst eine neue Gruppenrichtlinie an, indem Du mit der rechten Maustaste auf „Gruppenrichtlinienobjekte“ und anschließend auf „Neu“ klickst. Nun kannst Du den Namen der neuen Richtlinie eingeben und mit „OK“ bestätigen.
Benutzerrichtlinie konfigurieren
Mit einem Rechtsklick auf die soeben erstellte Richtlinie kannst Du diese bearbeiten. Es öffnet sich der sogenannte Gruppenrichtlinienverwaltungs-Editor. Die Struktur ist im Grunde genommen die gleiche, wie im lokalen Gruppenrichtlinien Editor (gpedit.msc). Letztere gilt aber immer nur für das lokal installierte Betriebssystem und bietet keine domänenweiten Einstellungsmöglichkeiten.
In dem Editor finden wir die benötigte Richtlinie im Pfad Benutzerkonfiguration –> Einstellungen –> Windows-Einstellungen. Mit einem Rechtsklick auf den Eintrag „Laufwerkszuordnungen“ kannst Du jetzt ein neues zugeordnetes Laufwerk erstellen.
In dem nun folgenden Fenster werden alle Parameter für das künftige Netzlaufwerk festgelegt. Die wichtigsten Einstellungen sind die folgenden:
- Aktion: Ersetzen
In meinem Beispiel wähle ich die Aktion „Ersetzen“ aus. Dadurch werden eventuell vorhandene Netzlaufwerke mit diesem Buchstaben entfernt und durch die neue Zuordnung ersetzt. Wichtig zu wissen: Wenn die Richtlinie im laufenden Betrieb erneut angewendet wird, werden die Laufwerke kurzzeitig getrennt. Das kann bei Anwendungen zu Fehlermeldungen führen, wenn genau in diesem Moment zugegriffen wird (Alternative: „Aktualisieren“). - Speicherort
Hier gibst Du den UNC-Pfad der Freigabe ein, die Du als Netzlaufwerk verbinden möchtest (z.B. \\Servername\Freigabename). - Verbindung wiederherstellen
Ist dieses Feld nicht aktiviert, wird ein Netzlaufwerk nicht wieder verbunden, falls es z.B. durch manuelles Einwirken des Benutzers wieder entfernt wurde (Netzlaufwerk trennen). - Beschriften als …
Hier kannst Du den Namen eingeben, der neben dem Laufwerksbuchstaben im Windows Explorer des Clients erscheinen soll. - Verwenden
In diesem Feld legst Du den gewünschten Laufwerksbuchstaben fest.
Neue Laufwerkseigenschaften konfigurieren
Die weiteren Eigenschaften kannst Du auf den Standardeinstellungen belassen. Interessant wird es jetzt aber im Reiter „Gemeinsame Optionen„. Da wir das Laufwerk nur den Benutzern zuweisen möchten, die Mitglied einer bestimmten Gruppe sind, müssen wir die Option „Im Sicherheitskontext des angemeldeten Benutzers ausführen“ zwingend aktivieren. Andernfalls würde der Berechtigungsabgleich mit dem Computerkonto erfolgen und mangels Berechtigungen fehlschlagen.
Ebenfalls solltest Du die Eigenschaft „Element entfernen, wenn es nicht mehr angewendet wird“ aktivieren. Dadurch wird sichergestellt, dass das jeweilige Netzlaufwerk am Client entfernt wird, sollte der Benutzer aus der verknüpften Gruppe entfernt werden. Wichtig, z.B. bei einem Abteilungswechsel des Mitarbeiters.
Im letzten Schritt musst Du nun die „Zielgruppenadressierung auf Elementebene“ auswählen. Mit dieser nehmen wir die Verknüpfung mit der im ersten Schritt angelegten Sicherheitsgruppe vor. Aktiviere die Option und klicke anschließend auf die Schaltfläche Zielgruppenadressierung.
Zuordnung per Zielgruppenadressierung
Im Zielgruppeneditor klickst Du auf „Neues Element“ und wählst als Element „Sicherheitsgruppe“ aus. Nun kannst Du über das Feld „…“ nach der betreffenden Sicherheitsgruppe suchen und auswählen. Die Maske sollte anschließend ungefähr so aussehen:
Durch die Zielgruppenadressierung erreichen wir, dass die zuvor konfigurierten Laufwerkszuordnungen ausschließlich angewendet werden, wenn die Gruppenrichtlinie im Benutzerkontext eines Benutzers ausgeführt wird, der Mitglied in der Gruppe „Share_Marketing“ ist. Trifft diese Bedingung nicht zu, wird dieses Netzlaufwerk nicht verbunden.
Auf diese Art und Weise kannst Du Dir für jede Abteilung, bzw. jeden Personenkreis ein oder mehrere Laufwerkszuordnungen anlegen. Du kannst natürlich auch mehrere Laufwerkszuordnungen in einer Gruppenrichtlinie eintragen. Desweiteren können auch mehrere Sicherheitsgruppen als Zielgruppe einer Zuordnung eingetragen werden.
Gruppenrichtlinie aktivieren
Damit die Gruppenrichtlinie auch angewendet und das Netzlaufwerk verbinden kann, musst Du die Richtlinie noch mit der Organisationseinheit (OU) verknüpfen. Dies erreichst Du, indem Du das soeben erstellte Gruppenrichtlinienelement auf die entsprechende OU ziehst und die Verknüpfung bestätigst.
In meinem Beispiel wird die Gruppenrichtlinie „[User] Netzlaufwerk verbinden“ zukünftig von allen Domänenbenutzern angewendet, die Mitglied der Organisationseinheit „Benutzer“ sind. Welches Laufwerk letztlich verbunden wird, hängt aber von der Zugehörigkeit der Sicherheitsgruppen ab.
Fazit:
Mit Gruppenrichtlinien kannst Du Netzlaufwerke sehr flexibel und in einem sehr sicheren Kontext zuordnen. Mittels Zielgruppenadressierung ist sichergestellt, dass nur die dazu berechtigten Anwender ein Netzlaufwerk verbinden können. Besonders Umgebungen, in denen bisher (verschiedene) Loginskripte für die Laufwerksverbindungen zum Einsatz kamen, lassen sich mit dieser Gruppenrichtlinie vereinfachen und vereinheitlichen. Die Kollegen und die Dokumentation werden es Dir danken.
Übrigens funktioniert das Ganze auch um Drucker per Gruppenrichtlinien zu installieren.
Ebenfalls interessant:
- Gruppenrichtlinie nicht anwenden
- Anmeldung am Computer verweigern in der Domäne
- Gruppenrichtlinien aktualisieren
- DNS Server einrichten
Dieser Artikel ist wie alle anderen auf dieser Seite kostenlos für Dich und ich hoffe, ich konnte Dir weiterhelfen. Wer möchte, kann diesem Blog eine kleine Aufmerksamkeit in Form einer kleinen Spende (PayPal) oder über die Amazon Wunschliste zukommen lassen.
Ergänzend kann man noch gleich die GPO „Beim Neustart des Computers und bei der Anmeldung immer auf das Netzwerk warten“ setzen. Bei langen Leitungen immer wieder gut.
Stimmt, diese Richtlinie kann auch ganz nützlich bei der Anwendung von Gruppenrichtlinien sein. Wobei man sich natürlich auch nach der Ursache für eventuelle Verzögerungen begeben sollte.
Bei den Zielgruppenadressierungen sollte man erwähnen, dass wenn man mehrere Sicherheitsgruppen auswählt auch auf die Elementoptionen achtet. Das „or“ kommt wahrscheinlich öfter vor anstatt das default „and“
Danke für diese Erklärung. Wann ist es sinnvoll auf ersetzen und wann auf aktualisieren zu stellen? Gibt es hierfür eine Empfehlung?
Hallo Markus,
Aktualisieren bedeutet: Das Objekt wird verbunden, wenn es noch nicht existiert und aktualisiert, falls es schon verbunden ist. Gelöscht wird nicht – auch nicht, wenn der Benutzer aus der entsprechenden Gruppe entfernt wird.
Ersetzen bedeutet: Das Laufwerk wird immer neu verbunden, egal, ob es vorher schon da war, oder nicht. Greift die Zielgruppenadressierung nicht mehr, wird das Laufwerk daher nicht mehr verbunden und der Benutzer sieht es nicht mehr im Explorer.
Aktualisieren ist daher etwas schneller in der Verarbeitung, weil ein bereits verbundenes Laufwerk nicht immer erst entfernt wird.
Hallo
Die Einstellungen haben mir sehr geholfen. Vielen Dank. Allerdings habe ich noch eine Frage. Ich habe 2 Server 2008 R2 an 2 verschiedene Standorte. Diese replizieren sich via DFS. Allerdings, wenn sich ein Nutzer, der überwiegend am Hauptstandort sich anmeldet und sich dann mal am Nebenstandort anmeldet, hat er nicht alle Freigaben zur Verfügung. Mein Vorgänger hat die Freigaben via Script eingebunden. Das habe ich geändert über die GPO’s. Funktioniert soweit auch super. Allerdings nicht am Nebenstandort. Ich habe schon versucht den UNC Pfad anzupassen in der GPO mit der Variablen %logonserver%. Hat aber nicht funktioniert.
Hätten Sie vielleicht noch einen Tipp für mich?
Vielen Dank.
MFG
Maik
Hallo,
ohne nähere Informationen ist das natürlich schwierig. Ich würde mal auf irgendein (kleineres) Problem mit dem DNS tippen. Falls Du eine Lösung findest, kannst Du sie gerne kurz hier hinterlassen – würde mich selbst interessieren.
Herzlichen Dank für den gut dokumentierten Beitrag.
Bei uns gibt es jedoch vereinzelt Mitarbeiter, die in zwei oder drei Abteilungen arbeiten. Die anderen sollen die Ordner der Abteilungen, zu denen sie nicht gehören, nicht sehen. Wenn jede Abteilung einen Laufwerksbuchstaben erhält, reicht das Alphabet nicht. Wenn wir eine Freigabe mit Abteilungsordnern machen, dann sehen alle alles, auch wenn sie wegen den Zugriffsrechten nicht rein können.
Die Login-Skripte für jeden zu pflegen, war wirklich eine Sisyphus-Arbeit.
Gibt es eine Möglichkeit, per GPO die Freigabe der Hauptabteilung mit dem N: zu verbinden und für die zusätzlichen Abteilungen dann bei Bedarf O:, P:, zu vergeben?
Mit bestem Dank zum Voraus und herzlichen Grüssen
Hans Rahm
Hallo Hans,
schau Dir mal diesen Artikel an: https://www.tech-faq.net/ordner-in-freigaben-ausblenden/. Dort beschreibe ich, wie Du die Ordner ausblenden kannst, auf die Benutzer keine Berechtigungen haben. Ansonsten kannst Du in der Gruppenrichtlinie einfach mehrere Netzlaufwerke anlegen. Die können auch den gleichen Buchstaben haben, solange sie nicht dem gleichen Benutzer zugewiesen werden.
Gruß René
Zunächst einmal danke für diesen Artikel. Bei mir will sich leider kein Erfolg einstellen. Bei der Richtlinie muss ich die OU angeben. Desweiteren ein Gruppe bei der Sicherheitsfilterung. Ich glaube ich habe etwas noch nicht so ganz verstanden. Ich möchte 2 Laufwerke verbinden. Die OU ist klar aber was gebe ich bei der Sicherheitsfilterung an? Ich habe eine Gruppe angelegt und in die Zielgruppenadressierung eines Laufwerkes eingetragen. Wenn ich bei Sicherheitsfilterung nichts eintrage passiert nichts. Gebe ich Domänenbenutzer und Domänencomputer an, dann wird das Laufwerk verbunden, welches keinen Eintrag in der Zielgruppenadressierung hat.
Hallo,
die Gruppenrichtlinie wird der OU zugewiesen, in welcher die AD-Benutzer liegen. Mit der Zielgruppenadressierung kannst Du zusätzliche Bedingungen stellen, die erfüllt sein müssen, damit die Gruppenrichtlinie angewendet wird. Lässt Du diese weg, wird die Gruppenrichtlinie auf alle Benutzer der OU angewendet („Authentifizierte Benutzer“). Wichtig ist: Es handelt sich um eine Benutzerrichtlinie.
Wo jetzt genau bei Dir der Fehler liegt, kann ich ohne es zu sehen nicht sagen.
Hallo René!
Deine Anleitung hat mich m.M. nach gut in die Untiefen der Richtlinienverwaltung eintauchen lassen. Deine schrittweise Beschreibung ist weder zu knapp noch zu langatmig. Habe dadurch einen Anreiz bekommen mich mehr mit dem Thema zu beschäftigen. U.A. auch deshalb weil das Ergebnis auf einem Win10 und einem Win7 Clientrechner nicht sichtbar war.
Dennoch vielen Dank😐
Hallo,
super Artikel erst einmal 👍. Funktioniert auch alles, wie jedoch erstelle ich Benutzerspezifische Laufwerke? %username% habe ich schon getestet, was nicht funktioniert. Bin für jede Hilfe dankbar, da ich gerade die IT für unser Startup einrichte.
Vielen Dank im Voraus und mit freundlichen Grüßen,
Florian
Hallo Florian,
die benutzerspezifischen Laufwerke kannst Du in der AD-Benutzerverwaltung konfigurieren. Die Eigenschaften des Benutzers öffnen und im Reiter „Profil“ unter „Verbinden von“ den Buchstaben und den UNC-Pfad eintragen.
Hallo,
vielen Dank für die Antwort, gibt es auch eine Lösung wie das Automatisch funktioniert?
Hi,
ist mir nicht bekannt – was nicht heißt, dass es nicht geht. Aber solange man das nicht für tausende Benutzer machen muss…
Wenn Du die Variable %username% im Pfad einträgst, erstellt er automatisch den richtigen Pfad bei jedem Benutzer. So brauchst Du lediglich immer den gleichen Pfad per Copy/Paste einfügen.
Ersetzen ist das Problem aber das wenn Software über ein Netzwerklaufwerk laufen hat die Software abstürzen kann da ersetzten löschen und verbinden bedeutet, somit ist das Laufwerk immer wieder wenn die GPO abgerarbeitet ist weg.
Deswegen haben wir nur aktualisieren eingestellt.
Löschen kann man anders natürlich auch regeln.
Wie ist eure Meinung?
Hallo Florian, da hast Du natürlich recht. Habe es in dem Artikel auch nochmal aktualisiert, bzw. ergänzt.
Vielen Dank für den Hinweis
Hallo René,
danke für den Artikel. Wäre es nicht auch möglich eine Gruppenrichtlinie einer Sicherheitsgruppe zuzuordnen, indem man dies in deiner OU „Gruppen“ definiert?
– Benutzer (OU)
– User1 (Benutzer) – Ist Mitglied der Sicherheitsruppe „OfficeX“
– Gruppen (OU)
– Offices (OU)
– OfficeX (Sicherheitsgruppe)
Ich scheitere gerade genau daran:
– Meine GPO funktioniert, wenn sie in der OU „Benutzer“ verknüpft ist.
– Wenn ich sie aber in der der >OU „Gruppen“-OU „Offices“< mit der darin liegengenden Sicherheitsgruppe verknüpfe, wir das Share beim Benutzer nicht angelegt, obwohl User1 in OfficeX Mitglied ist.
Lässt sich eine GPO nicht auch so an eine ganze Sicherheitsgruppe delegieren oder habe ich da einen Denkfehler?
Gruß Markus
Hallo Markus,
soweit ich weiß, funktioniert das nicht (bitte verbessern, falls das doch geht) – daher nutze ich die Zielgruppenadressierung. Dort kann ich ja sehr flexibel die Richtlinie auf eine oder mehrere Sicherheitsgruppen anwenden.
Hallo René,
danke für die Rückmeldung, wie ich mittlerweile auch mehrfach in der Literatur lesen konnte, wirken Gruppenrichtlinien auf Benutzer- oder Computerobjekte, aber leider nicht auf Sicherheitsgruppen (wo Benutzer- oder Computerobjekte Mitglied sind).
Der von dir beschriebene Weg über die Zielgruppenadressierung, ist also der aktuell mögliche/richtige.