Zuordnen eines Netzlaufwerks mithilfe einer Gruppenrichtlinie oder eines Skripts in Active Directory

   -     -   (0)  -    7 minutes
Windows Server 2019Windows Server 2022Windows Server 2025

Bei der Einrichtung einer Active Directory-Umgebung besteht eine der häufigsten Anforderungen darin, den Benutzerzugriff auf gemeinsam genutzte Ressourcen zu vereinfachen. Anstatt jede Workstation manuell zu konfigurieren, kann die Zuordnung von Netzlaufwerken beim Anmelden automatisiert werden.

Durch diese Automatisierung können Arbeitsplätze standardisiert, Konfigurationsfehler reduziert und die Dateizugriffsverwaltung vereinfacht werden.

In diesem Tutorial betrachten wir zwei Methoden zum Einbinden eines Netzlaufwerks:

  • Verwenden Sie Gruppenrichtlinien (GPO), die empfohlene Methode
  • mithilfe eines Skripts, das beim Anmelden ausgeführt wird

Wir werden auch sehen, wie man den Zugriff auf ein Netzlaufwerk basierend auf Benutzergruppen einschränken kann, um die verfügbaren Ressourcen dynamisch anzupassen.

Voraussetzungen:

  • In einer Active Directory Umgebung.
  • Habe ein freigegebener Ordner zugänglich für die Benutzer, denen es zugeordnet wird.

Inhaltsverzeichnis

Warum sollte die Zuordnung von Netzlaufwerken automatisiert werden?

In einer professionellen Umgebung gewährleistet die automatisierte Zuordnung von Netzlaufwerken die Konsistenz auf allen Benutzerarbeitsplätzen und vereinfacht die Administration erheblich. Benutzer finden ihre Laufwerke automatisch ohne manuelle Konfiguration, wodurch Supportanfragen reduziert werden.

Dieser Ansatz ermöglicht es auch, Netzlaufwerke nach Diensten oder Sicherheitsgruppen anzupassen, was insbesondere in strukturierten Umgebungen (Personalwesen, Buchhaltung, IT usw.) von Vorteil ist.

Netzlaufwerkszuordnung über Gruppenrichtlinie

Die Verwendung von Gruppenrichtlinienobjekten (GPOs) ist derzeit die am meisten empfohlene Methode zum Zuordnen von Netzlaufwerken in einer Active Directory-Umgebung. Sie ermöglicht die zentrale Verwaltung, die automatische Anwendung von Einstellungen und bietet dank der Targeting-Optionen hohe Flexibilität.

Im Gegensatz zu Skripten ist diese Methode nicht von der Ausführung von Code abhängig und integriert sich direkt in native Windows-Mechanismen.

1. Öffnen Sie den Gruppenrichtlinien-Editor auf einem Domänencontroller.

Mappage lecteur réseau : editeur de stratégies de groupe

2. Erstellen Sie eine neue Strategie, klicken Sie mit der rechten Maustaste auf den Domänennamen 1 oder auf eine Organisationseinheit und klicken Sie auf „GPO-Objekt in dieser Domäne erstellen und hier verknüpfen“ 2.

Créer une nouvelle stratégie

3. Geben Sie ihm einen Namen mit Strategie und klicken Sie auf OK 1.

Nom de la stratégie

4. Klicken Sie mit der rechten Maustaste auf Strategie 1 und anschließend auf Bearbeiten 2, um den Editor zu öffnen.

Edition de la strategie

5. Gehen Sie zu Benutzerkonfiguration / Einstellungen / Windows-Einstellungen und doppelklicken Sie auf Laufwerkszuordnungen 1.

Chemin d'accès

6. Rechtsklicken Sie auf Neu 1 / Zugeordnetes Laufwerk 2.

Ajouter un nouveau lecteur

7. Füllen Sie das Formular aus:

  • 1 Geben Sie den UNC-Pfad der Netzwerkfreigabe ein (z. B. \\server\share). Dieser Pfad muss für Benutzer zugänglich sein und die Berechtigungen müssen serverseitig korrekt konfiguriert sein.
  • 2 Geben Sie den verwendeten Buchstaben an
  • 3 Anwenden
  • 4 OK
  • A und B zum Beschriften des Netzlaufwerks
Formulaire lecteur reseau

8. Das Laufwerk 1 muss in den Laufwerkszuordnungen sichtbar sein.

Liste des lecteurs

9. GPO-Zusammenfassung: Standardmäßig ist das Laufwerk allen Benutzern zugeordnet.

Détail de la GPO

Beschränken Sie die Zuordnung von Netzlaufwerken auf eine Gruppe mithilfe der Targeting-Methode auf Elementebene.

Die Targeting-Option auf Elementebene ermöglicht die Kontrolle darüber, welche Benutzer das Netzlaufwerk sehen können, ersetzt aber nicht die Berechtigungsverwaltung.

Es ist unerlässlich, die NTFS-Berechtigungen und Freigabeberechtigungen für den betreffenden Ordner korrekt zu konfigurieren. Gruppenrichtlinien beeinflussen lediglich die Anzeige und Zuordnung des Laufwerks, nicht aber die tatsächliche Datensicherheit.

Für eine saubere und skalierbare Verwaltung empfiehlt es sich, Sicherheitsgruppen zu verwenden, anstatt Benutzer direkt zuzuweisen.

1. Bearbeiten Sie Ihren Player, indem Sie mit der rechten Maustaste darauf klicken 1 und Eigenschaften auswählen.

Edition proprietes

2. Gehen Sie zur Registerkarte „Allgemein“ 1, aktivieren Sie „Element-Level Targeting“ 2 und klicken Sie auf Targeting 3.

Activer le ciblage

3. Klicken Sie auf „Neues Element 1“ und wählen Sie „Sicherheitsgruppe 2“ aus.

Ciblage sur un groupe de sécurité

4. Fügen Sie Ihre Gruppe hinzu 1 und klicken Sie auf OK 2.

Selection de groupe : Grp_Partage_RW

5. Das war’s. Laufwerk P wird nun nur noch Benutzern der Gruppe Grp_Partage_RW zugeordnet. In der Übersicht der Richtlinieneinstellungen sehen Sie die Targeting-Elemente 1.

Parametres du ciblage.

PowerShell-Skript zum Verbinden eines Netzlaufwerks

Das in diesem Tutorial vorgestellte Skript ist in VBS geschrieben.

In zukünftigen Versionen von Windows 11 wird die VBS-Sprache zu einer optionalen Funktion, da die VBS-Sprache nun als veraltet gilt.

Im folgenden Artikel finden Sie Folgendes:PowerShell-Anmeldeskript, ein Beispiel für ein in PowerShell geschriebenes Skript.

Quelle :Ressourcen für veraltete Funktionen

1. Erstellen Sie eine neue PowerShell-Datei im .ps1-Format.

2. Bearbeiten Sie die Datei und fügen Sie die folgenden Codes hinzu:

$Drive = "P:"
$Path  = "\\LAB-AD1\partage"

# Vérifie si le lecteur P: est déjà utilisé
if (!(Get-PSDrive -Name $Drive.Replace(":", "") -ErrorAction SilentlyContinue)) {
    New-PSDrive -Name $Drive.Replace(":", "") -PSProvider FileSystem -Root $Path -Persist
} else {
    Write-Host "Le lecteur $Drive est déjà connecté."
}

3. Fügen Sie das Skript hinzu zuAnmeldung über Gruppenrichtlinie um die Netzlaufwerkszuordnung durchzuführen.

Beschränken Sie die Leserzuordnung auf eine Gruppe pro Skript.

Wie beim Gruppenrichtlinienobjekt (GPO) werden wir nun das Skript so anpassen, dass die Zuordnung des Netzlaufwerks auf die Gruppe Grp_partage_RW beschränkt wird.

1. Bearbeiten Sie die Datei:

# 1. Gestion des erreurs (On Error Resume Next)
$ErrorActionPreference = "SilentlyContinue"

# 2. Définition des variables
$Drive     = "P"
$Path      = "\\LAB-AD1\partage"
$GroupName = "Grp_Partage_RW"

# 3. Récupération des jetons de groupe de l'utilisateur (Méthode rapide sans module AD)
$Identity  = [Security.Principal.WindowsIdentity]::GetCurrent()
$Principal = New-Object Security.Principal.WindowsPrincipal($Identity)

# 4. Vérification du groupe et mappage
if ($Principal.IsInRole($GroupName)) {
    
    # On vérifie si le lecteur P: existe déjà pour éviter l'erreur de collision
    if (!(Get-PSDrive -Name $Drive)) {
        
        # New-PSDrive avec -Persist pour l'affichage dans l'Explorateur Windows
        New-PSDrive -Name $Drive -PSProvider FileSystem -Root $Path -Persist
        
    }
}

Wie Sie sehen, haben wir am Ende des Codes zwei Funktionen hinzugefügt, mit denen wir die Gruppenzugehörigkeit des angemeldeten Benutzers überprüfen können. Die Leserzuordnung erfolgt nun bedingt (if).

Fehlerbehebung: Häufige Probleme bei der Zuordnung von Netzlaufwerken

Obwohl die Einrichtung der Netzlaufwerkszuordnung relativ einfach ist, funktioniert sie häufig nicht wie erwartet. Im Folgenden finden Sie die wichtigsten Punkte, die Sie überprüfen sollten, falls ein Problem auftritt.

Wird das Netzlaufwerk nicht angezeigt, prüfen Sie zunächst die Anwendung der Gruppenrichtlinie. Möglicherweise ist die Gruppenrichtlinie nicht korrekt mit der Organisationseinheit verknüpft oder der Benutzer ist nicht davon betroffen. Um dies zu überprüfen, können Sie mit dem Befehl gpresult /r oder rsop.msc anzeigen, welche Richtlinien tatsächlich auf dem Computer angewendet werden.

Ein weiterer entscheidender Punkt betrifft die Zugriffsrechte. Selbst wenn das Laufwerk korrekt zugeordnet ist, kann es unzugänglich sein, wenn die NTFS- oder Freigabeberechtigungen nicht richtig konfiguriert sind. Daher ist es wichtig zu überprüfen, ob der Benutzer oder seine Gruppe über die erforderlichen Berechtigungen für den freigegebenen Ordner verfügt.

Auch der Netzwerkpfad ist eine häufige Fehlerquelle. Ein Fehler im UNC-Pfad (z. B. \\server\share) verhindert die Zuordnung des Laufwerks. Es wird empfohlen, diesen Pfad direkt im Windows Explorer zu testen, um seine Zugänglichkeit zu überprüfen.

Bei der Gruppenzuordnung ist es unerlässlich, sicherzustellen, dass der Benutzer Mitglied der in der Gruppenrichtlinie verwendeten Sicherheitsgruppe ist. Replikationsverzögerungen in Active Directory müssen ebenfalls berücksichtigt werden, da diese die Implementierung von Änderungen verzögern können.

Die Windows-Ereignisanzeige ist ein sehr nützliches Werkzeug zur Diagnose von Kartenproblemen. Durch Überprüfen der Protokolle in Anwendungs- und Dienstprotokolle > Microsoft > Windows > Gruppenrichtlinie > BetriebFehler im Zusammenhang mit der Anwendung von Gruppenrichtlinienobjekten (GPOs) lassen sich präzise identifizieren. Diese Ereignisse helfen zu verstehen, warum ein Netzlaufwerk nicht zugeordnet wurde, insbesondere bei Problemen mit der Zielauswahl, den Berechtigungen oder der Konfiguration.

Wenn Sie ein Anmeldeskript verwenden, beachten Sie, dass dieses nur beim Anmelden des Benutzers ausgeführt wird. Im Gegensatz zu Gruppenrichtlinienobjekten (GPOs) kann der Befehl gpupdate ein bereits ausgeführtes Skript nicht erneut starten. Daher muss sich der Benutzer ab- und wieder anmelden, damit die Änderungen wirksam werden.

Schließlich können bei neueren Windows-Versionen einige Probleme auf Sicherheitsbeschränkungen oder die Weiterentwicklung der verwendeten Technologien zurückzuführen sein. Da die VBS-Sprache schrittweise ersetzt wird, empfiehlt es sich, Lösungen auf Basis von Gruppenrichtlinienobjekten (GPOs) oder PowerShell zu bevorzugen, um eine bessere langfristige Kompatibilität zu gewährleisten.

Für eine detailliertere Analyse können Sie die erweiterte Protokollierung in den Gruppenrichtlinien aktivieren oder Tools wie gpresult /h verwenden, um einen ausführlichen HTML-Bericht zu generieren. Dies bietet einen vollständigen Überblick über die angewendeten Einstellungen und erleichtert die Diagnose in komplexen Umgebungen.

Abschluss

Die Zuordnung von Netzlaufwerken ist eine unerlässliche Konfiguration in einer Active Directory-Umgebung. Obwohl verschiedene Methoden existieren, ist die Verwendung von Gruppenrichtlinien nach wie vor die einfachste, zuverlässigste und wartungsfreundlichste Lösung.

Anmeldeskripte können zwar in bestimmten Kontexten noch verwendet werden, werden aber zunehmend durch modernere Lösungen ersetzt, insbesondere solche, die auf PowerShell oder Gruppenrichtlinien basieren.

Für eine saubere und skalierbare Infrastruktur empfiehlt es sich, Gruppenrichtlinienobjekte (GPOs) mit Targeting auf Basis von Sicherheitsgruppen zu bevorzugen.

FAQs

Warum wird mein Netzlaufwerk nicht eingebunden?

In den meisten Fällen liegt das Problem an einer nicht korrekt angewendeten Gruppenrichtlinie, einem Benutzer, der nicht der richtigen Gruppe angehört, oder einem Berechtigungsproblem für die Freigabe. Es ist außerdem wichtig zu überprüfen, ob der UNC-Pfad korrekt ist.

Kann die Zuordnung angewendet werden, ohne den Computer neu zu starten?

Die Anwendung von Gruppenrichtlinienobjekten (GPOs) kann mit dem Befehl gpupdate /force erzwungen werden, die Anmeldeskripte werden dadurch jedoch nicht neu gestartet. In diesem Fall ist eine Benutzeranmeldung erforderlich.

Welche Methode ist vorzuziehen: Gruppenrichtlinie oder Skript?

Gruppenrichtlinienobjekte (GPOs) sind vorzuziehen, da sie zuverlässiger, einfacher zu warten und besser in Windows integriert sind. Skripte sollten nur in speziellen Fällen verwendet werden.

Können mehrere Netzlaufwerke eingebunden werden?

Ja, es ist möglich, mehrere Zuordnungen im selben Gruppenrichtlinienobjekt (GPO) oder in einem Skript zu erstellen, um Benutzern mehrere Netzwerkzugriffe zu ermöglichen.

Ersetzt die Gruppenrichtlinienausrichtung die NTFS-Berechtigungen?

Nein, die Gruppenrichtlinienausrichtung steuert lediglich die Anzeige und Zuordnung des Laufwerks. NTFS-Berechtigungen bleiben für die Sicherung des Datenzugriffs unerlässlich.

GPO-Gruppenrichtlinie
Active DirectoryDomainGruppenrichtlinienobjektNetzlaufwerkScriptsvbs
Soutenir
LinkedInReddit

📚 Articles similaires

Romain Drouche
Romain Drouche
Systemarchitekt | MCSE: Kerninfrastruktur
IT-Infrastrukturexperte mit über 15 Jahren Berufserfahrung. Aktuell tätig als Projektmanager für Systeme und Netzwerke sowie als Experte für Informationssystemsicherheit (ISS), nutze ich mein Fachwissen, um die Zuverlässigkeit und Sicherheit technologischer Umgebungen zu gewährleisten.

Schreibe einen Kommentar