Netzlaufwerke verbinden mit Group Policy Preferences

Login-Scripts für Netzwerke waren gestern; sie wurden schlichtweg von einer neuen Technik (die darüber hinaus auch wesentlich unanfälliger und stabiler ist) abgelöst: Die Group Policy Preferences.

In der letzten Zeit hatte ich bei Kunden immer mal wieder Probleme mit nicht verbundenen Netzlaufwerken. Zwar ist ein zentrales LoginScript übersichtlich und einfach zu administrieren, aber gerade bei Servern ab 2012 kommt es immer mal wieder zu diesem Phänomen. Technisch up-to-date ist das Verbinden von Netzlaufwerken mittels der Group Policy Preferences.

Hierbei arbeitet man direkt in den Einstellungen der Active Directory und sollte natürlich entsprechend sorgsam vorgehen.

Durch das so genannte Item Level Targeting lassen sich fast alle Parameter einer Benutzerumgebung abfragen, um diesen gezielt Freigaben zuzuordnen. Dies funktioniert übrigens auch noch mit Windows XP, wenn man dort die erforderlichen Client Side Extensions installiert. Man knn so auch Netzwerkdrucker verbinden; ich arbeite jedoch lieber mit echten installierten Druckern auf den einzelnen Computern, bei denen ich die IP-Adresse des Druckers als Port installiere.

Erstellen eines Group Policy Objects

Im ersten Schritt legt man über die Gruppenrichtlinienverwaltung des Servers ein neues Group Policy Object an und öffnet es zur Bearbeitung mit dem Gruppenrichtlinienverwaltungs-Editor. Dort navigiert man zu Benutzerkonfiguration -> Einstellungen -> Windows-Einstellungen -> Laufwerkzuordnungen:

GPO Laufwerkmappings

Anschließend führt man aus dem Menü den Befehl Aktion -> Neu -> Zugeordnetes Laufwerk aus:

GPO Neues Laufwerk

Welche Einstellungen machen Sinn?

Der folgende Dialog bietet mehrere Einstellungen zur Auswahl, die meisten sind selbsterklärend. Etwas verwirrend ist die Entscheidung zwischen Erstellen, Ersetzen und Aktualisieren (default):

Erstellen bedeutet, dass eine Zuordnung eingerichtet wird, wenn eine Freigabe noch nicht verbunden wurde, andernfalls passiert nichts.
Ersetzen löscht eine vorhandene Verbindung mit einem Share und richtet sie gemäß den GPP-Einstellungen neu ein. Wurde jedoch eine Freigabe noch nicht verbunden, dann erzeugen die Client Side Extensions eine neue Zuordnung.
Aktualisieren verändert eine bestehende Zuordnung, indem die Einstellungen aus der GP übernommen werden, wenn eine Verbindung für die Freigabe bereits besteht. Beispielweise würde dadurch der Laufwerksbuchstabe geändert. Existiert für ein Share keine Zuordnung, dann wird sie eingerichtet.

Ich schlage vor immer Ersetzen zu wählen, um sicherzustellen, dass eventuell lokal angelegte Zuordnungen entfernt und die zentralen Vorgaben erzwungen werden. Wenn man sicherstellen möchte, dass die Verbindung mit einer Freigabe entfernt wird, sobald die Kriterien für die Zuordnung nicht mehr zutreffen (z.B. weil ein Benutzer aus der entsprechenden Gruppe* entfernt wurde), muss man sowieso Ersetzen wählen.

Die Einstellung für das Entfernen einer Verbindung mit einem Netzlaufwerk findet sich auf der Registerkarte Gemeinsame Optionen, sie ist aber nur in Verbindung mit Ersetzen aktiviert.

*Ich definiere zuvor Gruppen mit Rechten auf dem Server, so dass ich die Laufwerke rechtebasierend mappen kann.

Nach dem Anlegen erscheinen die Laufwerkmappings in der Übersicht:

GPO Laufwerkmappings

Die Sichtbarkeit der Netzlaufwerke im Explorer

Unklar sind auf der ersten Seite des Dialogs zunächst die Abschnitte Laufwerk aus-/einblenden sowie Alle Laufwerke aus-/einblenden. Hier legt man fest, ob die zugeordneten Laufwerke im Explorer angezeigt werden sollen oder nicht. Laufwerk aus-/einblenden wird priorisiert, wenn in den beiden Abschnitten widersprüchliche Einstellungen gewählt wurden.

Die bis zu diesem Punkt verfügbaren Einstellungen führen dazu, dass die damit definierten Laufwerkzuordnungen für alle User eines AD-Containers (Domäne, OU) gelten, mit dem das GPO verknüpft wurde.

Kriterien für die Sicherheitsgruppen bestimmen

GPO Zielgruppenadressierungseditor

Die Anpassung auf bestimmte User erfolgt erst über die Zielgruppenadressierung auf Elementebene (auf der Registerkarte Gemeinsame Optionen). Üblicherweise wird man hier die Zuordnung einer Freigabe von der Gruppenzugehörigkeit eines Users abhängig machen (Option Sicherheitsgruppe). Beim folgenden Dialog zur Festlegung der Gruppe sollte man den Auswahldialog benutzen, weil nur so die korrekte SID der jeweiligen Gruppe eingetragen wird. Das Eintippen des Gruppennamens alleine reicht leider nicht.

Man legt durch die Auswahl einer oder mehreren Gruppen fest, dass die User ihr bzw. ihnen angehören müssen, damit die Regel greift. Man kann aber auch die Bedingung umkehren und das Laufwerk nur zuordnen, wenn ein User nicht Mitglied einer oder mehreren Gruppen ist. Zu diesem Zweck unterstützt das Item Level Targeting die Operatoren nicht, und, oder.

Manche Regeln werden einfacher durch die Negation

Sinnvoll ist die Negation in den Fällen, in denen ein Laufwerksmapping für die meisten User verbunden werden soll, während nur wenige Benutzer bzw. Gruppen keinen Zugriff haben. Diese Ausnahmen lassen sich innerhalb einer Regel mit dem Operator oder verketten und anschließend negieren. Das GPO kann man dann einer Domäne oder einer übergeordneten OU zuordnen.

Umgekehrt gilt natürlich auch, dass man die Mitgliedschaft als Kriterium dann wählt, wenn nur eine Minderheit ein Netzlaufwerk erhalten soll. Andernfalls müssten mehr Gruppen in die Liste aufgenommen werden als draußen bleiben, was auch das Abarbeiten der Bedingung beim Login in die ActiveDirectory verlangsamt.