GPO-Netzlaufwerke WS2K19

GPO-Netzlaufwerke WS2K19

0
(0)
Netzlaufwerke über DC-Gruppenrichtlinien an die Domänen-Mitglieder weiterleiten – Windows Server 2019 Standard

In diesem Tutorial zeige ich wie Sie Netzwerkfreigaben unterschiedlicher Server (z.B. ein Fileserver) zentral mit dem Domänencontroller Verwalten und an die Benutzer und Abteilungen in der Domäne zuweisen können. Sie können final die Benutzer in die entsprechenden vordefinierten Gruppen verschieben und somit die Rechte für Lesen / Schreiben / Ausführen administrieren, zusätzlich besteht die Möglichkeit ein Netzlaufwerk mit oder ohne einen Laufwerksbuchstaben für den einzelnen Domänenbenutzer oder eine Domänengruppe zu Mappen

Dieses Tutorial baut auf der Einrichtung der ersten AD mit Windows Server 2019 auf, den Artikel dazu finden Sie hier

Vorbereitung
– Domänencontroller ist vorhanden
– Fileserver ist vorhanden, dies kann ein Windows- Server oder Client sein auf dem Netzwerkfreigaben eingerichtet werden können
– Client in der Domäne ist vorhanden
– folgendes Skript wurde als ausführbare Datei (.cmd) erstellt

primärer Domänencontroller – dc01 (besteht bereits)
Domäneacsnetz.local
DC-Server Hostnamedc01
DC-Server IP-Adresse192.168.1.100
Subnetzmaske255.255.255.0
Standardgateway (Router)192.168.1.254
Bevorzugter DNS-Server192.168.1.101 (primärer Domänencontroller – dc01)
Alternativer DNS-Server192.168.1.100 (sekundärer Domänencontroller – dc02)
Windows Fileserver – fs01 (Server ist bereits Mitglied der Domäne)
Domäneacsnetz.local
Client Hostnamefs01
Client IP-Adresse192.168.1.200
Subnetzmaske255.255.255.0
Standardgateway (Router)192.168.1.254
Bevorzugter DNS-Server192.168.1.100 (primärer Domänencontroller – dc01)
Alternativer DNS-Server192.168.1.101 (sekundärer Domänencontroller – dc02)
Windows 10 Client – Win10pro (Client in der Domäne)
Domäneacsnetz.local
Client Hostnamewin10pro
Client IP-Adresse192.168.1.120
Subnetzmaske255.255.255.0
Standardgateway (Router)192.168.1.254
Bevorzugter DNS-Server192.168.1.100 (primärer Domänencontroller – dc01)
Alternativer DNS-Server192.168.1.101 (sekundärer Domänencontroller – dc02)
Skript für dc01

das nachfolgende Skript löscht alle verbunden Netzlaufwerke bei der Abmeldung eines Benutzers GPO
(start über Gruppenrichtlinie auf dc01)
net-use_delete-all.cmd
net use * /delete /yes
net-use_delete-all.cmd – dc01 (C:\Windows\SYSVOL\domain\scripts)
Domänenlokale Gruppen anlegen
wir erstellen nun eine neue Gruppe unter Domänenlokale Gruppen
Dies können Sie zum einen mit dem Symbol unter dem roten Pfeil machen, oder mit einem Rechtsklick in dem Ordner
DL-NetzlaufwerkA-map
Diese Domänenlokale Gruppe ist später für das Mappen der Netzlaufwerke mit Netzlaufwerksbuchstaben zuständig

Wichtig
der Gruppenbereich muss auf Lokal (in Domäne) eingestellt werden
DL-NetzlaufwerkA-r
Diese Domänenlokale Gruppe ist später für die „Nur Lesen“-Rechte zuständig

Wichtig
der Gruppenbereich muss auf Lokal (in Domäne) eingestellt werden
DL-NetzlaufwerkA-rw
Diese Domänenlokale Gruppe ist später für die „Lesen / Schreiben“-Rechte zuständig

Wichtig
der Gruppenbereich muss auf Lokal (in Domäne) eingestellt werden
DL-NetzlaufwerkA-rwx
Diese Domänenlokale Gruppe ist später für die „Lesen / Schreiben / Ausführen“-Rechte zuständig

Wichtig
der Gruppenbereich muss auf Lokal (in Domäne) eingestellt werden
die Domänenlokalen Gruppen für die Freigabe NetzlaufwerkA wurde somit erstellt auf dem Domänencontroller
– DL-NetzlaufwerkA-map
– DL-NetzlaufwerkA-r
– DL-NetzlaufwerkA-rw
– DL-NetzlaufwerkA-rwx
Netzwerkfreigabe auf einem Fileserver erstellen und mit Rechten ausstatten
der hier verwendete Fileserver dient lediglich zur einfacheren Ansicht, die Freigabe-Ordner können eben so auf einem Windows-Client oder einem NAS bereit gestellt werden
Netzwerkfreigabe
neuen Ordner auf dem Fileserver erstellen…
ich nutze hierzu auf meinen Fileservern immer eine eigene Daten-Partition mit dem Laufwerksbuchstaben R:\

Wir benennen den Ordner dabei exakt gleich wie die Domänenlokalen Gruppen auf dem DC – hier also NetzlaufwerkA
So behalten wir die Übersicht bei, wenn weitere Netzwerkfreigaben bzw. Domänenlokale Gruppen folgen
Rechtsklick auf den neu erstellten Ordner / Eigenschaften
die Netzwerkfreigabe für den Benutzer Jeder wird wie folgt durchgeführt…
Einstellungen übernehmen, nun ist die Freigabe erstellt,
kümmern wir uns nun um die Rechteverteilung für den neu erstellten Ordner
Rechte setzen
Die Rechte werden im selben Fenster unter dem Reiter Sicherheit angepasst wie folgt…
wir legen nun die Benutzer fest, die später die Zugriffe auf die Netzwerkfreigabe bekommen, wir suchen nach den bereits bestehenden Domänen-Admins
den Domänen-Admins wird nun der Vollzugriff erteilt…
wir fügen nun die im DC erstellten Domänenlokalen Gruppen hinzu…
Suche nach dem Namen der Domänenlokalen Gruppen – hier also DL-NetzlaufwerkA
uns werden nun alle Domänenlokalen Gruppen angezeigt, die der Suche entsprechen

Wichtig
wir wählen nun nur die Gruppen mit r / rw und rwx aus und geben die entsprechenden Rechte wie in den folgenden Screenshots
DL-NetzlaufwerkA-rwx
DL-NetzlaufwerkA-rw
DL-NetzlaufwerkA-r und bestätigen mit OK
zurück im folgenden Fenster wählen wir Erweitert aus
hier deaktivieren wir alle Vererbungen die dem erstellten Ordner zugeteilt sind, außer die, die wir gerade angelegt hatten
Reiter Berechtigungen / Vererbung deaktivieren
folgende Warnmeldung wird angezeigt, diese bestätigen wir nun mit der Auswahloption
Alle vererbten Berechtigungen aus diesem Objekt entfernen
wir übernehmen die Einstellungen und klicken auf OK…
wir schließen vorerst die Eigenschaften des neu erstellten Netzwerkfreigabe
ich empfehle das erste mal die neu erstellten Netzwerkfreigabe zu öffnen, um zu prüfen ob alle Rechte korrekt vergeben wurden für den Administrator sonst kann es sein, dass wir später keinen Zugriff mehr bekommen und unsere Daten nicht bearbeiten können!
wir erstellen nun final die Sicherheitsfreigabe für den bestehenden Windows SYSTEM – Benutzer
wir gehen dazu erneut in die Eigenschaften des Ordners auf den Reiter Sicherheit und wählen Bearbeiten…
Hinzufügen
wir suchen nach dem Benutzernamen system und bestätigen mit OK
der Benutzer SYSTEM bekommt ebenfalls alle Rechte zugewiesen, wir übernehmen die Einstellungen und klicken auf OK
wie man sieht, haben wir nun nur noch die Freigaben eingetragen die wir tatsächlich nutzen möchten,
wir bestätigen mit OK und schließen die Eigenschaften
zurück auf dem dc01 – Gruppenrichtlinien verwalten
Die Gruppenrichtlinien werden über das Tool Gruppenrichtlinienverwaltung eingerichtet,
diese erreichen wir über den Server-Manager

Pfad zur Abmelde-Skript:
Benutzerkonfiguration/Richtlinien/Windows-Einstellungen/Skripts (Anmelden/Abmelden)/Abmelden
\\<DOMÄNENCONTROLLER>\SYSVOL\<IHRE DOMAIN>\scripts\
wir erstellen nun das erste Netzlaufwerk für NetzlaufwerkA, es soll der Laufwerksbuchstabe K:\ zugewiesen werden
im folgenden Fenster unter Allgemein wählen wir folgendes aus
Aktion: Aktualisieren
Speicherort: \\<Server der Netzwerkfreigabe>\<Pfad zur Netzwerkfreigabe>\
Haken setzen bei: Verbindung wiederherstellen
Beschriften als: Netzlaufwerksbezeichnung -> exakte Namensgebung wie Domänenlokale Gruppen auf dem DC empfohlen
Laufwerkbuchstabe: Verwenden
Laufwerksbuchstaben wählen: K
im folgenden Fenster unter Gemeinsame Optionen wird nun das Mappen des Netzlaufwerks festgelegt
Haken setzen bei: Zielgruppenadressierung auf Elementebene
Zielgruppenadressierung… wählen
Neues Element / Sicherheitsgruppe wählen
Gruppe suchen (siehe blauer Pfeil)
wir suchen nun erneut nach den Domänenlokalen Gruppen, hier also DL-NetzlaufwerkA
uns werden nun alle Domänenlokalen Gruppen angezeigt, die der Suche entsprechen

Wichtig
wir wählen nun nur die Gruppe map aus wie im folgenden Screenshot
wir schließen den Zielgruppenadressierungseditor mir dem klick auf OK
Eigenschaften schließen mit Übernehmen / OK
die Netzlaufwerksfreigabe ist nun in der GPO eingerichtet, wir schließen nun den Gruppenrichtlinienverwaltungs-Editor
Globale Gruppe anlegen
wir erstellen nun eine neue Gruppe unter Globale Gruppen
Dies können Sie ebenfalls zum einen mit dem Symbol unter dem roten Pfeil machen, oder mit einem Rechtsklick in dem Ordner
GL-Abteilung-K

Wichtig
der Gruppenbereich muss nun auf Global eingestellt werden
wir öffnen nun die Eigenschaften der neu erstellten Globalen Gruppe
Reiter Mitglied von wählen und auf Hinzufügen klicken
Suche nach dem Namen der Domänenlokalen Gruppen – hier also DL-NetzlaufwerkA
uns werden nun alle Domänenlokalen Gruppen angezeigt, die der Suche entsprechen

Wichtig
wir wählen nun nur die Gruppen map und rw wie in den folgenden Screenshots, damit ermöglichen wir der Gruppe das Mappen sowie die Schreib und Leserechte für die Netzlaufwerkfreigabe, aller Benutzer die zukünftig hier hinzugefügt werden bekommen bei der nächsten Anmeldung diese Rechte zugewiesen

Reiter Mitglieder wählen und auf Hinzufügen klicken
Suche nach dem Benutzer, der dieser Gruppe zugewiesen werden soll,
ich habe für den Versuch einen neuen Benutzer mit dem Namen Alexander erstellt,

wie Sie einen neuen AD-Benutzer anlegen finden Sie hier
wir Übernehmen die Einstellungen und schließen das Fenster
hier nochmals die Übersicht, wie die Domänenlokalen Gruppen nun eingeteilt sind für das Netzlaufwerk-Mapping
und die Lese/Scheib-Rechte für die Globale Gruppe GL-Abteilung-K
wir testen nun ob dem Benutzer Alexander nun auch das neu erstellte Netzlaufwerk zugeteilt wird…

dazu melden wir uns als Alexander in der Domäne acsnetz an und gehen im Windows-Explorer auf Dieser PC,
nun sollte das Netzlaufwerk auch angezeigt werden.
der Benutzer hat nun auch die Lese und Schreibrechte auf dem Netzlaufwerk zugewiesen bekommen
als Gegentest erstellen wir nun einen weiteren Benutzer Mitarbeiter2,
der das Laufwerk gemappt bekommen soll, aber keine Schreibrechte besitzt, nur Leserechte

Wir gehen dazu in die Eigenschaften der Domänenlokalen Gruppe DL-NetzlaufwerkA-map
Reiter Mitglieder / Hinzufügen
suchen nach dem neu angelegten Mitarbeiter2 und bestätigen mit OK
Fenster schließen mit Übernehmen / OK
das selbe machen wir nun auch für die Domänenlokale Gruppe DL-NetzlaufwerkA, wir gehen dazu in die Eigenschaften der Domänenlokalen Gruppe…
um dem Benutzer „Nur Leserechte“ zuzuweisen fügen wir diesen in dem Reiter Mitglieder hinzu
suchen nach dem neu angelegten Mitarbeiter2 und bestätigen mit OK
Fenster schließen mit Übernehmen / OK
Wir melden uns nun erneut an irgendeinem Rechner oder Server in der Domäne an, denn die Rechte werden nun Rechnerübergreifend verteilt, somit ist der Benutzer immer flexibel
wir gehen im Windows-Explorer auf Dieser PC,
der Benutzer Mitarbeiter2 hat nun ebenfalls das Netzlaufwerk zugewiesen bekommen
allerdings kann der Benutzer Mitarbeiter2
nichts in dem Netzlaufwerk erstellen, verändern…
oder löschen

sondern nur Lesen

weiter mit WSUS-Server WS2K19

Diesen Beitrag Bewerten

Durchschnittliche Bewertung 0 / 5. Anzahl der Bewertungen 0

Bislang wurde noch keine Bewertung zu diesem Beitrag abgegeben

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert