Benutzerprofil im Active Directory
Bis Windows Windows Server 2012 konnten Home Laufwerke über das Benutzerprofil im Active Directory dem User zugewiesen werden.
Bei vielen Benutzern ist dieser Weg sehr umständlich, so dass sich viele Admins mit selbsterstellten Skripten behalfen. Das ganze lässt sich jetzt bequem über Gruppenrichtlinien lösen. Voraussetzungen: Clients ab Windows 8, Server ab Windows Server 2012
Ordnerfreigabe
Zunächst erstellst du eine Ordnerfreigabe die z.B. den Namen „Homefolder“ trägt, in diese werden später die Basisordner der einzelnen Benutzer erstellt werden.
NTFS Freigaben
Die NTFS Berechtigungen müssen noch angepasst werden.
Authentifizierte Benutzer“ hinzufügen
„ERSTELLER-BESITZER“ hinzufügen.
„SYSTEM“ hinzufügen.
„Domänen-Admins“ hinzufügen.
Vorher solltest du mit dem Arbeitgeber bzw. der Mitarbeitervertretung abklären, ob die Domain-Admins Zugriff haben dürfen!
Nach dem drücken von „Übernehmen“ bzw. „OK“ fügt Windows den Besitzer des Ordners automatisch in die Berechtigungseinträge hinzu.
Gruppenrichtlinie erzeugen
GPO“.Konfiguration im Gruppenrichtlinienverwaltungs-Editor: Computerkonfiguration > Richtlinien > Administrative Vorlagen > System > Benutzerprofile: Basisordner für Benutzer festlegen.
Als erstes aktivierst du die Richtlinie. Danach kannst du auswählen ob die Freigabe Lokal oder in Netzwerk erstellt wird. In der Regel ist es
„Im Netzwerk“. Zum Schluß trägst du den entsprechenden Pfad ein und weist einen Laufwerksbuchstaben zu.
Da es sich hier um eine Computerrichtlinie handelt muss diese auch den entsprechenden Computern und nicht Benutzern zugewiesen werden.
TEST:
Wurde ein Basisordner erstellt?
Nach dem anmelden des Benutzers „Tester1“ ist der Basisordner im Explorer zu finden.
Nach dem anmelden des Benutzers „Tester1“ ist der Basisordner im Explorer zu finden.
Können Benutzer auf die Ordner anderer Benutzer zugreifen?
Tester2 versucht auf den Basisordner von Tester1 zuzugreifen und erhält eine Fehlermeldung dass er keine Berechtigung hat.
Zugriffsbasierte-Aufzählung (ABE)
Um zu verhindern das Benutzer Freigaben anderer Benutzer sehen können kann optional die Zugriffsbasierte-Aufzählung bei der Freigabe aktiviert werden. Im Server Manager:
Datei-/Speicherdienste > Freigaben > Homefolder: Eigenschaften
Bei Einstellungen die Zugriffsbasierte-Aufzählung aktivieren auswählen.
Tester1 sieht jetzt nur seine Freigabe.
Views: 2693
Hallo Red,
ja. Das liegt daran das die Mitarbeiter im Homeoffice die VPN Verbindung erst dann aufbauen können nach dem sie sich angemeldet haben. Die Gruppenrichtlinie für den Basisordner ist aber eine Computerrichtlinie (Warum auch immer Microsoft das so gemacht hat). Die Computerrichtlinien greifen bereits beim hochfahren des Rechners, also schon bevor der Benutzer sich über VPN mit dem Server verbinden konnte. In deinem Fall würde ich die Ordnerfreigabe wie in meinem Beispiel beschrieben anlegen und die Verknüpfung zum Basisordner (Homefolder) nicht über die GPO sondern klasisch über das AD-Benutzerobjekt erstellen.
Guten Tag,
wie verträgt sich das mit VPN?
Ich habe festgestellt, dass dies nicht funktioniert, wenn die Mitarbeiter im Homeoffice sind und erst nach der Anmeldung der VPN-Tunnel aufgebaut wird.
Haben Sie das selbe Problem und evtl. eine Lösung?
Grüße
Red