Dynamische Laufwerkszuordnung mit Gruppenrichtlinien und Sicherheitsgruppen in Windows Client/Server Domänen-Netzwerken

Dynamische Laufwerkszuordnung mit Gruppenrichtlinien und Sicherheitsgruppen in Windows Client/Server Domänen-Netzwerken

Statt wie oft in der Vergangenheit, dem Benutzer mit Anmelde-Scripten Laufwerke, Drucker und andere Funktionalitäten zur Verfügung zu stellen, benutzen wir: Gruppenrichtlinien.


Voraussetzung wie in diesem Beispiel:

  • Bestehende Freigaben
  • Vorhandene Sicherheitsgruppen
  • Beispielsystem: Windows 10 21H2 / Windows Server 2019 Standard

Wir öffnen den Gruppenrichtlinien-Editor und erstellen eine Neue Gruppenrichtline (Group-Policy)

Neue Gruppenrichtlinie

Vergeben einen sinnvolles Label

Name der GPO

und gehen in die Bearbeitung

Rechtsklick / Bearbeiten

Navigieren anschließend zu folgendem Schlüssel:

Benutzerkonfiguration / Einstellungen / Windows-Einstellungen / Laufwerkszuordnung
Benutzerkonfiguration / Einstellungen / Windows-Einstellungen / Laufwerkszuordnung

gehen in die Erstellung einer Zuordnung

Neue Laufwerkszuordnung
Wir belassen die Aktion auf „Aktualisieren“

Wir geben an:

UNC-Pfad der Freigabe (\\Datei-Server\Freigabe-Name)
Die Verbindung soll wiederhergestellt werden
Das gewünschte Label
Den Laufwerksbuchstaben

Anschließend setzen wir einen Filter, über die gemeinsamen Optionen. Wir wollen erreichen, dass nur bestimmte Personen, die einer Sicherheitsgruppe angehören, diese Laufwerke verbunden bekommen.

Dazu wenden wir die Zielgruppenadressierung innerhalb der gemeinsamen Optionen an

Ein Klick auf Zielgruppenadressierung und ein Haken an der Option
bringen uns zu dem Zielgruppenadressierungseditor

Dort definieren wir anhand einer Sicherheitsgruppe

Auswahl eines neuen Elements: Sicherheitsgruppe

Wem das Laufwerk verbunden werden soll

DIe Auswahlmöglichekeit der Gruppe finden wir an den drei Punkten

Im besten Fall ist der Wortlaut der entsprechenden Gruppe bekannt, sodass die Auffindung und Auswahl zügig von statten geht

Vorbereitete Sicherheitsgruppe

Um das Laufwerk nicht ein zweites Mal als Zuordnung anlegen zu müssen, erweitern wir die Zuweisung der Sicherheitsgruppen

Weitere Zuweisung, jedoch müssen wir die Standard-Einstellung „AND“ entfernen

Wichtig ist hierbei, dass wir die Bedingung der Verknüpfung auf „ODER“ setzen

Verschiedene Benutzer in verschiedenen Gruppen verlangen ein „ODER“
Nach der Quittierung mit OK, sehen wir die angelegten Laufwerkszuordnungen
Nach dem Schließen der GPO-Bearbeitung, verknüpfen wir das Objekt mit der entsprechenden OU, auf die die Gruppenrichtlinie angewendet werden soll – Drag and Drop ist ebenfalls möglich
Abermals mit OK quittieren

Die Prüfung unserer Konfiguration, lässt sich durch die Anmeldung an einem entsprechenden Client nachvollziehen. In diesem Fall handelt es sich um einen Benutzer, der Änderungs-Zugriff auf die Freigabe „ALLGEMEIN“ besitzt, jedoch nur Lese-Rechte auf „Technik“. Dieser Benutzer gehört logischerweise unterschiedlichen Sicherheitsgruppen an, als etwa jemand, der Änderungs-, bzw. Schreib-Rechte an der Freigabe Technik besitzt. Durch unsere „ODER“-Aufforderung, wird die Freigabe dennoch als Laufwerk erstellt. Die Rechte innerhalb des Ordners, definieren sich ebenfalls über die Sicherheitsgruppe, die im NTFS entsprechend hinterlegt und mit den zugestandenen Rechten versehen sind.

Laufwerke nach Anmeldung erfolgreich verbunden

Die Praxis zeigt übrigens, dass sich bei der Erstellung von Freigaben, folgende Reihenfolge bewährt hat.

  • Definition und Anlage der Datei/Daten-Ordner und der Sicherheitsgruppen
    • Etwa: ‚ORDNERNAME-NTFS-RECHT‘ bsp.: „Technik-RW“ (Read/Write)
  • Vergabe der NTFS-Rechte eines Ordners innerhalb des Datei-Servers an die Sicherheitsgruppen
  • Erst dann: Erstellung einer Freigabe.
    • Die NTFS Rechte werden dabei berücksichtigt und in die Freigabe-Bereitstellung übernommen
  • Zuweisung der Laufwerke zu den jeweiligen Sicherheitsgruppen per Gruppenrichtlinien-Editor
  • Anschließende Zuweisung von Benutzern zur jeweiligen Sicherheitsgruppe