Netzlaufwerk verbinden per Gruppenrichtlinie

Obwohl es seit vielen Jahren möglich ist, per Gruppenrichtlinie ein Netzlaufwerk verbinden zu können, wird diese einfache und effektive Methode oft nicht angewendet. Leider verwenden viele Administratoren, meist aus Unwissen, immer noch Skripte um dem Benutzer den Zugriff auf Netzlaufwerke zu ermöglichen. Ich möchte Dir in diesem Artikel daher zeigen, wie Du die Gruppenrichtlinienverwaltung im Active Directory hierfür verwenden kannst.

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

Per Gruppenrichtlinie ein Netzlaufwerk verbinden

Voraussetzung für die Zuordnung von Laufwerken per Gruppenrichtlinie (GPO) ist eine Windows Domäne. Du solltest ebenfalls über eine Freigabe verfügen, auf welche die Clients zugreifen sollen und welche als Netzlaufwerk eingebunden werden soll.

Im ersten Schritt solltest Du Dir eine Sicherheitsgruppe im Active Directory erstellen. Die Mitglieder dieser Gruppe sollen später Zugriff auf das Netzlaufwerk erhalten. In meinem Beispiel habe ich die Gruppe „Share_Marketing“ genannt und alle Benutzer des Marketings als Mitglied der Gruppe eingetragen.

Netzlaufwerk verbinden per Gruppenrichtlinie

In der Gruppe werden die Benutzer eingetragen, die später das Laufwerk per Gruppenrichtlinie verbunden bekommen sollen,

Nun geht es bereits an die Erstellung der entsprechenden Gruppenrichtlinie. Hierfür öffnest Du die Gruppenrichtlinienverwaltung auf dem Domänencontroller und legst eine neue Gruppenrichtlinie an. Der Name sollte, wie bei allen Gruppenrichtlinien, möglichst eindeutig sein. Ich nenne die Gruppenrichtlinie hier „[User] Netzlaufwerk verbinden„. Daraus geht hervor, dass es sich um eine Benutzerrichtlinie handelt und, dass ich damit ein Netzlaufwerk verbinden möchte.

Du legst eine neue Gruppenrichtlinie an, indem Du mit der rechten Maustaste auf „Gruppenrichtlinienobjekte“ und anschließend auf „Neu“ klickst. Nun kannst Du den Namen der neuen Richtlinie eingeben und mit „OK“ bestätigen.

Gruppenrichtlinie anlegen zum Laufwerk verbinden

Anlegen einer neuen Richtlinie in der Gruppenrichtlinienverwaltung des Domänencontrollers.

Benutzerrichtlinie konfigurieren

Mit einem Rechtsklick auf die soeben erstellte Richtlinie kannst Du diese bearbeiten. Es öffnet sich der sogenannte Gruppenrichtlinienverwaltungs-Editor. Die Struktur ist im Grunde genommen die gleiche, wie im lokalen Gruppenrichtlinien Editor (gpedit.msc). Letztere gilt aber immer nur für das lokal installierte Betriebssystem und bietet keine domänenweiten Einstellungsmöglichkeiten.


Empfehlung zum Thema (Anzeige):
Bestseller Nr. 1
Microsoft Windows Server Standard (2016) 16 Core deutsch
hier wird ein DVD/CD geliefert, wo der Kunde sich die Software installieren muss. Es wird keine Mail versendet!
498,74 EUR

In dem Editor finden wir die benötigte Richtlinie im Pfad Benutzerkonfiguration –> Einstellungen –> Windows-Einstellungen. Mit einem Rechtsklick auf den Eintrag „Laufwerkszuordnungen“ kannst Du jetzt ein neues zugeordnetes Laufwerk erstellen.

Laufwerkszuordnungen in der Gruppenrichtlinienverwaltung

In der Benutzerkonfiguration findet sich die gewünschte Richtlinie „Laufwerkszuordnungen

In dem nun folgenden Fenster werden alle Parameter für das künftige Netzlaufwerk festgelegt. Die wichtigsten Einstellungen sind die folgenden:

  • Aktion: Ersetzen
    Für nachfolgende Einstellungen ist es wichtig, dass Du als Aktion „Ersetzen“ auswählst. Dadurch werden eventuell vorhandene Netzlaufwerke mit diesem Buchstaben entfernt und durch die neue Zuordnung ersetzt.
  • Speicherort
    Hier gibst Du den UNC-Pfad der Freigabe ein, die Du als Netzlaufwerk verbinden möchtest (z.B. \\Servername\Freigabename).
  • Verbindung wiederherstellen
    Ist dieses Feld nicht aktiviert, wird ein Netzlaufwerk nicht wieder verbunden, falls es z.B. durch manuelles Einwirken des Benutzers wieder entfernt wurde (Netzlaufwerk trennen).
  • Beschriften als …
    Hier kannst Du den Namen eingeben, der neben dem Laufwerksbuchstaben im Windows Explorer des Clients erscheinen soll.
  • Verwenden
    In diesem Feld legst Du den gewünschten Laufwerksbuchstaben fest.
Gruppenrichtlinien
54,00 EUR

Neue Laufwerkseigenschaften konfigurieren

Die weiteren Eigenschaften kannst Du auf den Standardeinstellungen belassen. Interessant wird es jetzt aber im Reiter „Gemeinsame Optionen„. Da wir das Laufwerk nur den Benutzern zuweisen möchten, die Mitglied einer bestimmten Gruppe sind, müssen wir die Option „Im Sicherheitskontext des angemeldeten Benutzers ausführen“ zwingend aktivieren. Andernfalls würde der Berechtigungsabgleich mit dem Computerkonto erfolgen und mangels Berechtigungen fehlschlagen.

Ebenfalls solltest Du die Eigenschaft „Element entfernen, wenn es nicht mehr angewendet wird“ aktivieren. Dadurch wird sichergestellt, dass das jeweilige Netzlaufwerk am Client entfernt wird, sollte der Benutzer aus der verknüpften Gruppe entfernt werden. Wichtig, z.B. bei einem Abteilungswechsel des Mitarbeiters.

Im letzten Schritt musst Du nun die „Zielgruppenadressierung auf Elementebene“ auswählen. Mit dieser nehmen wir die Verknüpfung mit der im ersten Schritt angelegten Sicherheitsgruppe vor. Aktiviere die Option und klicke anschließend auf die Schaltfläche Zielgruppenadressierung.

Neues Netzlaufwerk verbinden

Die wichtigsten Einstellungen der Laufwerkszuordnung im Überblick.

Zuordnung per Zielgruppenadressierung

Im Zielgruppeneditor klickst Du auf „Neues Element“ und wählst als Element „Sicherheitsgruppe“ aus. Nun kannst Du über das Feld „“ nach der betreffenden Sicherheitsgruppe suchen und auswählen. Die Maske sollte anschließend ungefähr so aussehen:

Zielgruppenadressierung Sicherheitsgruppe auswählen

Nur die Sicherheitsgruppe „Share_Marketing“ soll sich mit dem Netzlaufwerk verbinden dürfen.

Durch die Zielgruppenadressierung erreichen wir, dass die zuvor konfigurierten Laufwerkszuordnungen ausschließlich angewendet werden, wenn die Gruppenrichtlinie im Benutzerkontext eines Benutzers ausgeführt wird, der Mitglied in der Gruppe „Share_Marketing“ ist. Trifft diese Bedingung nicht zu, wird dieses Netzlaufwerk nicht verbunden.

Auf diese Art und Weise kannst Du Dir für jede Abteilung, bzw. jeden Personenkreis ein oder mehrere Laufwerkszuordnungen anlegen. Du kannst natürlich auch mehrere Laufwerkszuordnungen in einer Gruppenrichtlinie eintragen. Desweiteren können auch mehrere Sicherheitsgruppen als Zielgruppe einer Zuordnung eingetragen werden.

Gruppenrichtlinie aktivieren

Damit die Gruppenrichtlinie auch angewendet und das Netzlaufwerk verbinden kann, musst Du die Richtlinie noch mit der Organisationseinheit (OU) verknüpfen. Dies erreichst Du, indem Du das soeben erstellte Gruppenrichtlinienelement auf die entsprechende OU ziehst und die Verknüpfung bestätigst.

Netzlaufwerk verbinden | Gruppenrichtlinienelement anwenden

Die erstellte Gruppenrichtlinie muss mit der Organisationseinheit verknüpft werden, welche die Richtlinien anwenden soll.

In meinem Beispiel wird die Gruppenrichtlinie „[User] Netzlaufwerk verbinden“ zukünftig von allen Domänenbenutzern angewendet, die Mitglied der Organisationseinheit „Benutzer“ sind. Welches Laufwerk letztlich verbunden wird, hängt aber von der Zugehörigkeit der Sicherheitsgruppen ab.

Fazit:

Mit Gruppenrichtlinien kannst Du Netzlaufwerke sehr flexibel und in einem sehr sicheren Kontext zuordnen. Mittels Zielgruppenadressierung ist sichergestellt, dass nur die dazu berechtigten Anwender ein Netzlaufwerk verbinden können. Besonders Umgebungen, in denen bisher (verschiedene) Loginskripte für die Laufwerksverbindungen zum Einsatz kamen, lassen sich mit dieser Gruppenrichtlinie vereinfachen und vereinheitlichen. Die Kollegen und die Dokumentation werden es Dir danken.

Übrigens funktioniert das Ganze auch um Drucker per Gruppenrichtlinien zu installieren.

Ebenfalls interessant:

Es freut mich, wenn ich Dir mit diesem Artikel helfen konnte.
Wer möchte, kann diesem Blog eine kleine Aufmerksamkeit in Form einer kleinen Spende (PayPal) oder über die Amazon Wunschliste zukommen lassen.

René Albarus

Ich heiße René Albarus und bin seit 2002 beruflich im Bereich der Systemadministration tätig. Da auch ich einen Teil meines Wissens IT-Blogs im Internet verdanke, ist es für mich selbstverständlich, dass ich Lösungsansätze und Anleitungen in diesem Blog weitergebe.
René Albarus

Letzte Artikel von René Albarus (Alle anzeigen)

Letzte Aktualisierung am 14.11.2019 / Affiliate Links / Bilder von der Amazon Product Advertising API

11 Antworten

  1. Tobi sagt:

    Ergänzend kann man noch gleich die GPO „Beim Neustart des Computers und bei der Anmeldung immer auf das Netzwerk warten“ setzen. Bei langen Leitungen immer wieder gut.

    • René Albarus sagt:

      Stimmt, diese Richtlinie kann auch ganz nützlich bei der Anwendung von Gruppenrichtlinien sein. Wobei man sich natürlich auch nach der Ursache für eventuelle Verzögerungen begeben sollte.

  2. Thomas Vogt sagt:

    Bei den Zielgruppenadressierungen sollte man erwähnen, dass wenn man mehrere Sicherheitsgruppen auswählt auch auf die Elementoptionen achtet. Das „or“ kommt wahrscheinlich öfter vor anstatt das default „and“

  3. Markus Winkler sagt:

    Danke für diese Erklärung. Wann ist es sinnvoll auf ersetzen und wann auf aktualisieren zu stellen? Gibt es hierfür eine Empfehlung?

    • René Albarus sagt:

      Hallo Markus,

      Aktualisieren bedeutet: Das Objekt wird verbunden, wenn es noch nicht existiert und aktualisiert, falls es schon verbunden ist. Gelöscht wird nicht – auch nicht, wenn der Benutzer aus der entsprechenden Gruppe entfernt wird.
      Ersetzen bedeutet: Das Laufwerk wird immer neu verbunden, egal, ob es vorher schon da war, oder nicht. Greift die Zielgruppenadressierung nicht mehr, wird das Laufwerk daher nicht mehr verbunden und der Benutzer sieht es nicht mehr im Explorer.

      Aktualisieren ist daher etwas schneller in der Verarbeitung, weil ein bereits verbundenes Laufwerk nicht immer erst entfernt wird.

  4. Maik sagt:

    Hallo
    Die Einstellungen haben mir sehr geholfen. Vielen Dank. Allerdings habe ich noch eine Frage. Ich habe 2 Server 2008 R2 an 2 verschiedene Standorte. Diese replizieren sich via DFS. Allerdings, wenn sich ein Nutzer, der überwiegend am Hauptstandort sich anmeldet und sich dann mal am Nebenstandort anmeldet, hat er nicht alle Freigaben zur Verfügung. Mein Vorgänger hat die Freigaben via Script eingebunden. Das habe ich geändert über die GPO’s. Funktioniert soweit auch super. Allerdings nicht am Nebenstandort. Ich habe schon versucht den UNC Pfad anzupassen in der GPO mit der Variablen %logonserver%. Hat aber nicht funktioniert.

    Hätten Sie vielleicht noch einen Tipp für mich?
    Vielen Dank.

    MFG
    Maik

    • René Albarus sagt:

      Hallo,
      ohne nähere Informationen ist das natürlich schwierig. Ich würde mal auf irgendein (kleineres) Problem mit dem DNS tippen. Falls Du eine Lösung findest, kannst Du sie gerne kurz hier hinterlassen – würde mich selbst interessieren.

  5. Hans Rahm sagt:

    Herzlichen Dank für den gut dokumentierten Beitrag.
    Bei uns gibt es jedoch vereinzelt Mitarbeiter, die in zwei oder drei Abteilungen arbeiten. Die anderen sollen die Ordner der Abteilungen, zu denen sie nicht gehören, nicht sehen. Wenn jede Abteilung einen Laufwerksbuchstaben erhält, reicht das Alphabet nicht. Wenn wir eine Freigabe mit Abteilungsordnern machen, dann sehen alle alles, auch wenn sie wegen den Zugriffsrechten nicht rein können.
    Die Login-Skripte für jeden zu pflegen, war wirklich eine Sisyphus-Arbeit.
    Gibt es eine Möglichkeit, per GPO die Freigabe der Hauptabteilung mit dem N: zu verbinden und für die zusätzlichen Abteilungen dann bei Bedarf O:, P:, zu vergeben?
    Mit bestem Dank zum Voraus und herzlichen Grüssen
    Hans Rahm

  6. Lion sagt:

    Zunächst einmal danke für diesen Artikel. Bei mir will sich leider kein Erfolg einstellen. Bei der Richtlinie muss ich die OU angeben. Desweiteren ein Gruppe bei der Sicherheitsfilterung. Ich glaube ich habe etwas noch nicht so ganz verstanden. Ich möchte 2 Laufwerke verbinden. Die OU ist klar aber was gebe ich bei der Sicherheitsfilterung an? Ich habe eine Gruppe angelegt und in die Zielgruppenadressierung eines Laufwerkes eingetragen. Wenn ich bei Sicherheitsfilterung nichts eintrage passiert nichts. Gebe ich Domänenbenutzer und Domänencomputer an, dann wird das Laufwerk verbunden, welches keinen Eintrag in der Zielgruppenadressierung hat.

    • René Albarus sagt:

      Hallo,

      die Gruppenrichtlinie wird der OU zugewiesen, in welcher die AD-Benutzer liegen. Mit der Zielgruppenadressierung kannst Du zusätzliche Bedingungen stellen, die erfüllt sein müssen, damit die Gruppenrichtlinie angewendet wird. Lässt Du diese weg, wird die Gruppenrichtlinie auf alle Benutzer der OU angewendet („Authentifizierte Benutzer“). Wichtig ist: Es handelt sich um eine Benutzerrichtlinie.
      Wo jetzt genau bei Dir der Fehler liegt, kann ich ohne es zu sehen nicht sagen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.