| Netzlaufwerke über DC-Gruppenrichtlinien an die Domänen-Mitglieder weiterleiten – Windows Server 2019 Standard |
|---|
In diesem Tutorial zeige ich wie Sie Netzwerkfreigaben unterschiedlicher Server (z.B. ein Fileserver) zentral mit dem Domänencontroller Verwalten und an die Benutzer und Abteilungen in der Domäne zuweisen können. Sie können final die Benutzer in die entsprechenden vordefinierten Gruppen verschieben und somit die Rechte für Lesen / Schreiben / Ausführen administrieren, zusätzlich besteht die Möglichkeit ein Netzlaufwerk mit oder ohne einen Laufwerksbuchstaben für den einzelnen Domänenbenutzer oder eine Domänengruppe zu Mappen
Dieses Tutorial baut auf der Einrichtung der ersten AD mit Windows Server 2019 auf, den Artikel dazu finden Sie hier
Vorbereitung
– Domänencontroller ist vorhanden
– Fileserver ist vorhanden, dies kann ein Windows- Server oder Client sein auf dem Netzwerkfreigaben eingerichtet werden können
– Client in der Domäne ist vorhanden
– folgendes Skript wurde als ausführbare Datei (.cmd) erstellt
| primärer Domänencontroller – dc01 (besteht bereits) | |
| Domäne | acsnetz.local |
| DC-Server Hostname | dc01 |
| DC-Server IP-Adresse | 192.168.1.100 |
| Subnetzmaske | 255.255.255.0 |
| Standardgateway (Router) | 192.168.1.254 |
| Bevorzugter DNS-Server | 192.168.1.101 (primärer Domänencontroller – dc01) |
| Alternativer DNS-Server | 192.168.1.100 (sekundärer Domänencontroller – dc02) |
| Windows Fileserver – fs01 (Server ist bereits Mitglied der Domäne) | |
| Domäne | acsnetz.local |
| Client Hostname | fs01 |
| Client IP-Adresse | 192.168.1.200 |
| Subnetzmaske | 255.255.255.0 |
| Standardgateway (Router) | 192.168.1.254 |
| Bevorzugter DNS-Server | 192.168.1.100 (primärer Domänencontroller – dc01) |
| Alternativer DNS-Server | 192.168.1.101 (sekundärer Domänencontroller – dc02) |
| Windows 10 Client – Win10pro (Client in der Domäne) | |
| Domäne | acsnetz.local |
| Client Hostname | |
| Client IP-Adresse | 192.168.1.120 |
| Subnetzmaske | 255.255.255.0 |
| Standardgateway (Router) | 192.168.1.254 |
| Bevorzugter DNS-Server | 192.168.1.100 (primärer Domänencontroller – dc01) |
| Alternativer DNS-Server | 192.168.1.101 (sekundärer Domänencontroller – dc02) |
| Skript für dc01 |
das nachfolgende Skript löscht alle verbunden Netzlaufwerke bei der Abmeldung eines Benutzers GPO (start über Gruppenrichtlinie auf dc01) |
net-use_delete-all.cmdnet use * /delete /yes |
net-use_delete-all.cmd – dc01 (C:\Windows\SYSVOL\domain\scripts) |
| Domänenlokale Gruppen anlegen |
 |
 |
| wir erstellen nun eine neue Gruppe unter Domänenlokale Gruppen Dies können Sie zum einen mit dem Symbol unter dem roten Pfeil machen, oder mit einem Rechtsklick in dem Ordner  |
| DL-NetzlaufwerkA-map Diese Domänenlokale Gruppe ist später für das Mappen der Netzlaufwerke mit Netzlaufwerksbuchstaben zuständig Wichtig der Gruppenbereich muss auf Lokal (in Domäne) eingestellt werden  |
| DL-NetzlaufwerkA-r Diese Domänenlokale Gruppe ist später für die „Nur Lesen“-Rechte zuständig Wichtig der Gruppenbereich muss auf Lokal (in Domäne) eingestellt werden  |
| DL-NetzlaufwerkA-rw Diese Domänenlokale Gruppe ist später für die „Lesen / Schreiben“-Rechte zuständig Wichtig der Gruppenbereich muss auf Lokal (in Domäne) eingestellt werden  |
| DL-NetzlaufwerkA-rwx Diese Domänenlokale Gruppe ist später für die „Lesen / Schreiben / Ausführen“-Rechte zuständig Wichtig der Gruppenbereich muss auf Lokal (in Domäne) eingestellt werden  |
| die Domänenlokalen Gruppen für die Freigabe NetzlaufwerkA wurde somit erstellt auf dem Domänencontroller – DL-NetzlaufwerkA-map – DL-NetzlaufwerkA-r – DL-NetzlaufwerkA-rw – DL-NetzlaufwerkA-rwx  |
| Netzwerkfreigabe auf einem Fileserver erstellen und mit Rechten ausstatten der hier verwendete Fileserver dient lediglich zur einfacheren Ansicht, die Freigabe-Ordner können eben so auf einem Windows-Client oder einem NAS bereit gestellt werden |
| Netzwerkfreigabe neuen Ordner auf dem Fileserver erstellen… ich nutze hierzu auf meinen Fileservern immer eine eigene Daten-Partition mit dem Laufwerksbuchstaben R:\ Wir benennen den Ordner dabei exakt gleich wie die Domänenlokalen Gruppen auf dem DC – hier also NetzlaufwerkA So behalten wir die Übersicht bei, wenn weitere Netzwerkfreigaben bzw. Domänenlokale Gruppen folgen  |
Rechtsklick auf den neu erstellten Ordner / Eigenschaften  |
die Netzwerkfreigabe für den Benutzer Jeder wird wie folgt durchgeführt… |
| Einstellungen übernehmen, nun ist die Freigabe erstellt, kümmern wir uns nun um die Rechteverteilung für den neu erstellten Ordner  |
| Rechte setzen Die Rechte werden im selben Fenster unter dem Reiter Sicherheit angepasst wie folgt…  |
wir legen nun die Benutzer fest, die später die Zugriffe auf die Netzwerkfreigabe bekommen, wir suchen nach den bereits bestehenden Domänen-Admins |
den Domänen-Admins wird nun der Vollzugriff erteilt… |
wir fügen nun die im DC erstellten Domänenlokalen Gruppen hinzu… |
Suche nach dem Namen der Domänenlokalen Gruppen – hier also DL-NetzlaufwerkA |
| uns werden nun alle Domänenlokalen Gruppen angezeigt, die der Suche entsprechen Wichtig wir wählen nun nur die Gruppen mit r / rw und rwx aus und geben die entsprechenden Rechte wie in den folgenden Screenshots  |
DL-NetzlaufwerkA-rwx |
DL-NetzlaufwerkA-rw |
DL-NetzlaufwerkA-r und bestätigen mit OK |
zurück im folgenden Fenster wählen wir Erweitert aus |
| hier deaktivieren wir alle Vererbungen die dem erstellten Ordner zugeteilt sind, außer die, die wir gerade angelegt hatten Reiter Berechtigungen / Vererbung deaktivieren  |
| folgende Warnmeldung wird angezeigt, diese bestätigen wir nun mit der Auswahloption Alle vererbten Berechtigungen aus diesem Objekt entfernen  |
wir übernehmen die Einstellungen und klicken auf OK… |
wir schließen vorerst die Eigenschaften des neu erstellten Netzwerkfreigabe |
ich empfehle das erste mal die neu erstellten Netzwerkfreigabe zu öffnen, um zu prüfen ob alle Rechte korrekt vergeben wurden für den Administrator sonst kann es sein, dass wir später keinen Zugriff mehr bekommen und unsere Daten nicht bearbeiten können!  |
| wir erstellen nun final die Sicherheitsfreigabe für den bestehenden Windows SYSTEM – Benutzer wir gehen dazu erneut in die Eigenschaften des Ordners auf den Reiter Sicherheit und wählen Bearbeiten…  |
Hinzufügen |
wir suchen nach dem Benutzernamen system und bestätigen mit OK |
der Benutzer SYSTEM bekommt ebenfalls alle Rechte zugewiesen, wir übernehmen die Einstellungen und klicken auf OK |
| wie man sieht, haben wir nun nur noch die Freigaben eingetragen die wir tatsächlich nutzen möchten, wir bestätigen mit OK und schließen die Eigenschaften  |
| zurück auf dem dc01 – Gruppenrichtlinien verwalten |
| Die Gruppenrichtlinien werden über das Tool Gruppenrichtlinienverwaltung eingerichtet, diese erreichen wir über den Server-Manager  |
 |
 |
 |
 |
 |
| Pfad zur Abmelde-Skript: Benutzerkonfiguration/Richtlinien/Windows-Einstellungen/Skripts (Anmelden/Abmelden)/Abmelden  |
 |
 |
\\<DOMÄNENCONTROLLER>\SYSVOL\<IHRE DOMAIN>\scripts\ |
 |
 |
wir erstellen nun das erste Netzlaufwerk für NetzlaufwerkA, es soll der Laufwerksbuchstabe K:\ zugewiesen werden |
| im folgenden Fenster unter Allgemein wählen wir folgendes aus Aktion: Aktualisieren Speicherort: \\<Server der Netzwerkfreigabe>\<Pfad zur Netzwerkfreigabe>\ Haken setzen bei: Verbindung wiederherstellen Beschriften als: Netzlaufwerksbezeichnung -> exakte Namensgebung wie Domänenlokale Gruppen auf dem DC empfohlen Laufwerkbuchstabe: Verwenden Laufwerksbuchstaben wählen: K  |
| im folgenden Fenster unter Gemeinsame Optionen wird nun das Mappen des Netzlaufwerks festgelegt Haken setzen bei: Zielgruppenadressierung auf Elementebene Zielgruppenadressierung… wählen  |
Neues Element / Sicherheitsgruppe wählen |
Gruppe suchen (siehe blauer Pfeil) |
wir suchen nun erneut nach den Domänenlokalen Gruppen, hier also DL-NetzlaufwerkA |
| uns werden nun alle Domänenlokalen Gruppen angezeigt, die der Suche entsprechen Wichtig wir wählen nun nur die Gruppe map aus wie im folgenden Screenshot  |
wir schließen den Zielgruppenadressierungseditor mir dem klick auf OK |
Eigenschaften schließen mit Übernehmen / OK |
die Netzlaufwerksfreigabe ist nun in der GPO eingerichtet, wir schließen nun den Gruppenrichtlinienverwaltungs-Editor |
| Globale Gruppe anlegen |
 |
 |
| wir erstellen nun eine neue Gruppe unter Globale Gruppen Dies können Sie ebenfalls zum einen mit dem Symbol unter dem roten Pfeil machen, oder mit einem Rechtsklick in dem Ordner  |
| GL-Abteilung-K Wichtig der Gruppenbereich muss nun auf Global eingestellt werden  |
wir öffnen nun die Eigenschaften der neu erstellten Globalen Gruppe |
Reiter Mitglied von wählen und auf Hinzufügen klicken |
Suche nach dem Namen der Domänenlokalen Gruppen – hier also DL-NetzlaufwerkA |
| uns werden nun alle Domänenlokalen Gruppen angezeigt, die der Suche entsprechen Wichtig wir wählen nun nur die Gruppen map und rw wie in den folgenden Screenshots, damit ermöglichen wir der Gruppe das Mappen sowie die Schreib und Leserechte für die Netzlaufwerkfreigabe, aller Benutzer die zukünftig hier hinzugefügt werden bekommen bei der nächsten Anmeldung diese Rechte zugewiesen  |
 |
Reiter Mitglieder wählen und auf Hinzufügen klicken |
| Suche nach dem Benutzer, der dieser Gruppe zugewiesen werden soll, ich habe für den Versuch einen neuen Benutzer mit dem Namen Alexander erstellt,  wie Sie einen neuen AD-Benutzer anlegen finden Sie hier |
wir Übernehmen die Einstellungen und schließen das Fenster |
| hier nochmals die Übersicht, wie die Domänenlokalen Gruppen nun eingeteilt sind für das Netzlaufwerk-Mapping und die Lese/Scheib-Rechte für die Globale Gruppe GL-Abteilung-K  |
| wir testen nun ob dem Benutzer Alexander nun auch das neu erstellte Netzlaufwerk zugeteilt wird… dazu melden wir uns als Alexander in der Domäne acsnetz an und gehen im Windows-Explorer auf Dieser PC, nun sollte das Netzlaufwerk auch angezeigt werden.  |
der Benutzer hat nun auch die Lese und Schreibrechte auf dem Netzlaufwerk zugewiesen bekommen |
| als Gegentest erstellen wir nun einen weiteren Benutzer Mitarbeiter2, der das Laufwerk gemappt bekommen soll, aber keine Schreibrechte besitzt, nur Leserechte Wir gehen dazu in die Eigenschaften der Domänenlokalen Gruppe DL-NetzlaufwerkA-map  |
Reiter Mitglieder / Hinzufügen |
suchen nach dem neu angelegten Mitarbeiter2 und bestätigen mit OK |
Fenster schließen mit Übernehmen / OK |
das selbe machen wir nun auch für die Domänenlokale Gruppe DL-NetzlaufwerkA, wir gehen dazu in die Eigenschaften der Domänenlokalen Gruppe… |
um dem Benutzer „Nur Leserechte“ zuzuweisen fügen wir diesen in dem Reiter Mitglieder hinzu |
suchen nach dem neu angelegten Mitarbeiter2 und bestätigen mit OK |
Fenster schließen mit Übernehmen / OK |
Wir melden uns nun erneut an irgendeinem Rechner oder Server in der Domäne an, denn die Rechte werden nun Rechnerübergreifend verteilt, somit ist der Benutzer immer flexibel  |
| wir gehen im Windows-Explorer auf Dieser PC, der Benutzer Mitarbeiter2 hat nun ebenfalls das Netzlaufwerk zugewiesen bekommen  |
allerdings kann der Benutzer Mitarbeiter2… |
nichts in dem Netzlaufwerk erstellen, verändern… |
oder löschen  |
 sondern nur Lesen weiter mit WSUS-Server WS2K19 |