117471
Apr 05, 2016
3756
5
0
Grundsätzliche Gedanken - Netzlaufwerke auf Terminalserver
Ich installiere gerade meinen ersten Terminalserver.
Der Terminalserver (2012r2) hängt zusammen mit einem SBS2011 in einer Domäne. Die Benutzer melden sich mit den Zugangsdaten (z.B. DOMAENE\benutzer) auf dem Terminalserver an. Die Arbeitsplatzrechner sind keine Domänenmitglieder. In der Domäne steht ein Filer, dessen Freigaben sollen für alle Benutzer gleichartig als Laufwerksbuchstaben verbunden werden.
Folgende Überlegungen stelle ich gerade an:
a) Mit jedem Benutzer einmal auf dem Terminalserver anmelden und jedes Laufwerk "von Hand" mit der Option "bei Anmeldung wieder herstellen" verbinden.
Das erscheint mir recht aufwändig und ich weiß nicht genau, ob das wirklich zuverlässig ist.
b) Anmeldescript.
Ich könnte eine Batch-Datei programmieren, die das Vorhandensein eines Laufwerksbuchstabens überprüft und das "persistent" verbindet, falls es mal fehlen sollte. Ziemlich "oldscoool", oder?
c) In den Eigenschaften der AD-Benutzer im Profil unter "Basisordner" die Laufwerke zuordnen.
Das erscheint mir ebenfalls relativ aufwändig, da ich alle Benutzer im AD anfassen muss; und: Geht das auch für mehrere Laufwerke?
In dem Fall stellt sich auch die Frage, wie sich das verhält, wenn ich im SBS einen Benutzer auf Basis eines bestehenden Benutzerkontos erstelle: Werden die Eigenschaften des "eigentlich darunterliegenden AD-Benutzers" ebenfalls mitkopiert?
d) Auf dem Terminalserver in der Registry frickeln: https://www.schreinert.com/lokalen-windows-ordner-als-laufwerk-permanent ...
Nicht wirklich (oder?)
e) Gruppenrichtlinien.
"Eigentlich" traue ich mich an die Gruppenrichtlinien vom SBS noch nicht so richtig ran.
Auch stellt sich dann die Frage, an was für einem WMI-Filter ich das festklemme (am liebsten am AD-Computerobjekt des Terminalservers - geht das überhaupt?).
Eine weitere Frage, die sich in allen Fällen stellt ist, wie eventuell vorhandene Dienste vom Terminalserver mit den Freigaben umgehen. Es kann durchaus mal passieren, dass auf dem Terminalserver eine Software intalliert wird, die einen Dienst mitbringt (der dann u.U. die Netzwerklaufwerke benötigt).
Von der Fluktuation her würde ich mal sagen: "20 Benutzer. Jedes Jahr kommen zwei Benutzer dazu, zwei werden deaktiviert..."
Ich bin durchaus bereit, mich da tiefgehend einzuarbeiten. Allerdings erscheint die Betrachtung aller Möglichkeiten mit sämtlichen Vor- und Nachteilen in Anbetracht meiner Zeitplanung etwas aufwändig (dafür würde ich jetzt mal 6 Monate kalkulieren), so dass ich für einen kleinen Schubs in die richtige Richtung dankbar wäre
Der Terminalserver (2012r2) hängt zusammen mit einem SBS2011 in einer Domäne. Die Benutzer melden sich mit den Zugangsdaten (z.B. DOMAENE\benutzer) auf dem Terminalserver an. Die Arbeitsplatzrechner sind keine Domänenmitglieder. In der Domäne steht ein Filer, dessen Freigaben sollen für alle Benutzer gleichartig als Laufwerksbuchstaben verbunden werden.
Folgende Überlegungen stelle ich gerade an:
a) Mit jedem Benutzer einmal auf dem Terminalserver anmelden und jedes Laufwerk "von Hand" mit der Option "bei Anmeldung wieder herstellen" verbinden.
Das erscheint mir recht aufwändig und ich weiß nicht genau, ob das wirklich zuverlässig ist.
b) Anmeldescript.
Ich könnte eine Batch-Datei programmieren, die das Vorhandensein eines Laufwerksbuchstabens überprüft und das "persistent" verbindet, falls es mal fehlen sollte. Ziemlich "oldscoool", oder?
c) In den Eigenschaften der AD-Benutzer im Profil unter "Basisordner" die Laufwerke zuordnen.
Das erscheint mir ebenfalls relativ aufwändig, da ich alle Benutzer im AD anfassen muss; und: Geht das auch für mehrere Laufwerke?
In dem Fall stellt sich auch die Frage, wie sich das verhält, wenn ich im SBS einen Benutzer auf Basis eines bestehenden Benutzerkontos erstelle: Werden die Eigenschaften des "eigentlich darunterliegenden AD-Benutzers" ebenfalls mitkopiert?
d) Auf dem Terminalserver in der Registry frickeln: https://www.schreinert.com/lokalen-windows-ordner-als-laufwerk-permanent ...
Nicht wirklich (oder?)
e) Gruppenrichtlinien.
"Eigentlich" traue ich mich an die Gruppenrichtlinien vom SBS noch nicht so richtig ran.
Auch stellt sich dann die Frage, an was für einem WMI-Filter ich das festklemme (am liebsten am AD-Computerobjekt des Terminalservers - geht das überhaupt?).
Eine weitere Frage, die sich in allen Fällen stellt ist, wie eventuell vorhandene Dienste vom Terminalserver mit den Freigaben umgehen. Es kann durchaus mal passieren, dass auf dem Terminalserver eine Software intalliert wird, die einen Dienst mitbringt (der dann u.U. die Netzwerklaufwerke benötigt).
Von der Fluktuation her würde ich mal sagen: "20 Benutzer. Jedes Jahr kommen zwei Benutzer dazu, zwei werden deaktiviert..."
Ich bin durchaus bereit, mich da tiefgehend einzuarbeiten. Allerdings erscheint die Betrachtung aller Möglichkeiten mit sämtlichen Vor- und Nachteilen in Anbetracht meiner Zeitplanung etwas aufwändig (dafür würde ich jetzt mal 6 Monate kalkulieren), so dass ich für einen kleinen Schubs in die richtige Richtung dankbar wäre
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 300942
Url: https://administrator.de/contentid/300942
Printed on: April 18, 2024 at 13:04 o'clock
5 Comments
Latest comment
Moin,
eine Gruppenrichtlinie ist der richtige Ort, um sowas zu konfigurieren!
eine Gruppenrichtlinie ist der richtige Ort, um sowas zu konfigurieren!
Kann ich die denn "so ohne Weiteres" gegen das Computerobjekt vom Terminalserver filtern und macht das Sinn?
Greift die auch, wenn Benutzer nicht angemeldet sind? (Sprich - Server wurde neu gestartet, es laufen nur ein paar Dienste...)
Greift die auch, wenn Benutzer nicht angemeldet sind? (Sprich - Server wurde neu gestartet, es laufen nur ein paar Dienste...)
Moin,
Gruß,
Dani
Auch stellt sich dann die Frage, an was für einem WMI-Filter ich das festklemme (am liebsten am AD-Computerobjekt des Terminalservers - geht das überhaupt?).
Für den RDS-Host einen GPO erstellen, welche die Option Loopback-Modus nutzt. Diese nur für das Computerobjekt des betroffenen Computerkontos anwenden. Danach als 2. Richtlinie die existierende Gruppenrichtlinie für die Netzlaufwerke auf die selbe OU anwenden. Somit wird bei jeder Anmeldung eines Benutzers angewendet. Wir haben pro Farm alle Computerobjekte in einer OU liegen und wenden darauf dezierte Richtlinien an.Eine weitere Frage, die sich in allen Fällen stellt ist, wie eventuell vorhandene Dienste vom Terminalserver mit den Freigaben umgehen. Es kann durchaus mal passieren, dass auf dem Terminalserver eine Software intalliert wird, die einen Dienst mitbringt (der dann u.U. die Netzwerklaufwerke benötigt).
Solange der Dienst mit einem Active-Directorybenutzer gestartet wird, sind die Chancen groß das es funktioniert. Allerdings solltest du abwägen ob durch einen Netzwerkblackout und somit kurzzeitiger Verbindungsabbruch evtl. Daten beschädigt oder sogar verloren gehen können.Gruß,
Dani
Zitat von @117471:
Eine weitere Frage, die sich in allen Fällen stellt ist, wie eventuell vorhandene Dienste vom Terminalserver mit den Freigaben umgehen. Es kann durchaus mal passieren, dass auf dem Terminalserver eine Software intalliert wird, die einen Dienst mitbringt (der dann u.U. die Netzwerklaufwerke benötigt).
Eine weitere Frage, die sich in allen Fällen stellt ist, wie eventuell vorhandene Dienste vom Terminalserver mit den Freigaben umgehen. Es kann durchaus mal passieren, dass auf dem Terminalserver eine Software intalliert wird, die einen Dienst mitbringt (der dann u.U. die Netzwerklaufwerke benötigt).
Greift die auch, wenn Benutzer nicht angemeldet sind? (Sprich - Server wurde neu gestartet, es laufen nur ein paar Dienste...)
Du solltest wenn möglich unbedingt UNC-Pfade verwenden! Das Laufwerksmapping ist gerade bei Diensten nicht unbedingt die stabilste Lösung.
Danke für eure bisherige Unterstützung.
Ich habe das jetzt über Gruppenrichtlinien realisiert; habe die Adressierung des Servers jedoch nicht über eine OU gemacht. Der SBS2011 hat ja "eigene, interne" OUs und ich möchte dessen Struktur weitestgehend unverändert lassen.
Ich habe das Objekt unter "Gruppenrichtlinienobjekte" erstellt, innerhalb des Objektes unter "Gemeinsme Optionen" die "Zielgruppenadressierung auf Elementebene" eingeschaltet und dort den Terminalserver angegeben.
Danach habe ich das gewonnene Objekt in der Gesamtstruktur direkt unterhalb meiner Domäne verknüpft.
Kann man das so lassen?
Also, funktionieren tut es - allerdings ist der SBS ja bekanntlich eine Zicke und "lernen" tue ich lieber anhand von bekannten Prozessen. Das ist meine erste Gruppenrichtlinie.
Die Softwarelieferanten bekommen von mir übrigens die Vorgabe, ihre Programme und Dienste auf den UNC-Pfad einzunorden. Genau so, wie die Anwender die Vorgabe bekommen, ihr ganzes Geraffel zu künftig über den Terminalserver und eben gerade nicht lokal zu fahren. Mal gucken, wie lange das funktioniert
Ich habe das jetzt über Gruppenrichtlinien realisiert; habe die Adressierung des Servers jedoch nicht über eine OU gemacht. Der SBS2011 hat ja "eigene, interne" OUs und ich möchte dessen Struktur weitestgehend unverändert lassen.
Ich habe das Objekt unter "Gruppenrichtlinienobjekte" erstellt, innerhalb des Objektes unter "Gemeinsme Optionen" die "Zielgruppenadressierung auf Elementebene" eingeschaltet und dort den Terminalserver angegeben.
Danach habe ich das gewonnene Objekt in der Gesamtstruktur direkt unterhalb meiner Domäne verknüpft.
Kann man das so lassen?
Also, funktionieren tut es - allerdings ist der SBS ja bekanntlich eine Zicke und "lernen" tue ich lieber anhand von bekannten Prozessen. Das ist meine erste Gruppenrichtlinie.
Die Softwarelieferanten bekommen von mir übrigens die Vorgabe, ihre Programme und Dienste auf den UNC-Pfad einzunorden. Genau so, wie die Anwender die Vorgabe bekommen, ihr ganzes Geraffel zu künftig über den Terminalserver und eben gerade nicht lokal zu fahren. Mal gucken, wie lange das funktioniert
