Проблема с подключением сетевых дисков через GPO
 

Добрый день!
Решил обратиться к специалистам, т.к. блуждание по сети и различные эксперименты не приводят к результатам.

Предыстория
В одной организации был домен основанный на Win2003 (2 сервера: основной и дополнительный, потом дополнительный умер).
Я поднял 2 контроллера домена на Win2008 R2 SP 1, перенёс туда все роли и по-сути погасил Win2003 (выключил, но ещё не вывел из домена и не уничтожил). Перенос ролей прошёл без проблем.
В старом домене была создана политика, которая через скрипт подключала ВСЕМ пользователям 3 сетевых диска при их авторизации. На дисках стояли права на доступ. Соответственно получается, что некоторые диски подключаются, но доступа к ним у пользователей нет и получалась не совсем красивая картина в "Моём компьютере" с отключенными дисками. Собственно так всё и перенеслось на новые сервера.

Что хочу сделать
Решил я эту "не совсем красивую картину" исправить и сделать всё "правильно", при этом сделать удобное управление подключением этих дисков, а именно через группы:
- создать необходимые группы - Диск_S, Диск_K, Диск_L, ...
- если пользователь или группа пользователей находится в одной из вышеперечисленных, то этот диск появляется у пользователя.
Я нашёл один рабочий способ как это сделать, но этот способ кривой и основан на тех же скриптах (если кому-то интересно, опишу).

Как делал
На OSZONE есть замечательная статья с примерами Сопоставления дисков по которой я сделал как мне необходимо.
- Создал новую политику, прописал подключение всех возможных дисков (рис. 1, рис. 2), свойства подключения каждого из них идентичны примеру (рис. 3, рис. 4). В "нацеливании на уровень элемента" прописана соответствующая группа с именем диска.
- В "Управлении групповой политикой" создал подразделение "# Системные" и в нём разместил все 6 групп (рис. 1).
- В некоторые из этих групп добавил пользователей и группы (в частности в "Диск_S" добавил группу "Пользователи домена", а в "Диск_W" добавил несколько пользователей).
Тестовое включение
Перед тем как распространять всё на весь домен, создал несколько тестовых групп и тестовых пользователей, настроил и тестил логинясь на один из терминальных серверов, всё работало идеально.
Реальное включение
Распространил на весь домен, на утро услышал, что обо мне думают.
На рабочих компах стоят WinXP SP 3 и Win7 SP 1.
В чём может быть дело? В чём я ошибся при настройке GPO?
Второе тестовое включение
Когда начал тестировать на одном из реальных компов под тестовыми пользователями, то изменения применяются не сразу: в AD распределяю тестовых пользователей по группам дисков, на тестовом компе перелогиниваюсь и смотрю результат. Иногда диск, которого не должно быть у пользователя так и остаётся под им, а нужный диск не появляется. После перезагрузки компа частично что-то может поменяться: появится нужный диск или удалится не нужный, а иногда ничего не изменяется.
Доступ к сетевым папкам имеется, проверял. При ручном подключении под тестируемым пользователем всё работает. Если перехожу на скрипты, то всё начинает работать.
Буквы подключаемых дисков не пересекаются с локальными.

Постарался описать всё понятно и подробно, но если, что-то опустил, уточняйте.

Проверить, что конкретный пользователь напрямую или через подгруппы входит только в группу которую нужно.
Выложи сюда настройки политики через которую настраиваешь подключение дисков. А так-же к какому OU она прилинкована и кто в этом OU находится.

Не понятно почему исчезли прикреплённые файлы, но на предпросмотре они точно были. Надеюсь сейчас никуда не денутся.

Чтобы не чудить с реальными пользователями сделал тестовый OU с тестовыми группами и пользователями (рис. 1)
Создал сетевую папку \\dc01\test$, в которой находятся папки Disk_J, Disk_K, Disk_L.
Сетевой доступ к папке \\dc01\test$ открыт для групп Disk_J, Disk_K, Disk_L (на чтение) и админа (полный доступ) (рис. 2), разрешения NTFS примерно такие же (рис. 3) + СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ, который не вместился.
Разрешения NTFS на каждую из папок Disk_J, Disk_K, Disk_L стандартные (Админы, система, создатель) и соответствующая группа (Disk_J, Disk_K, Disk_L) с правами на чтение/просмотр/изменение.

В группе Disk_J - пользователи t1, t2.
В группе Disk_K - пользователь t3.
В группе Disk_L - Пользователи домена, т.е. должен подключиться у каждого тестового пользователя.
Тестовые пользователи находятся в группах перечисленных выше и в группе Пользователи домена.

В политике описаны только "Сопоставления дисков". 1-й строкой идёт удаление всех дисков начиная с диска I (отключение всех старых оставшихся дисков), последующие 3 правила подключают 3 перечисленных выше диска с настройками (рис. 4,5) в которых в "нацеливании" прописаны соответствующие группы.

Политика работает, но не сразу. После изменения сопоставления пользователей и групп, приходится перелогиниваться или перезагружаться. Но как всегда в тесте работает более-менее стабильно.
В логах тестового компа нашёл записи (своими словами):
1) политика не применена, т.к. отсутствует подключение к домену и будет применена при подключении.
2) через минутку идут сообщения об успешном подключении к домену и применении политики.
Компы получают IP по DHCP, с роутера, может это является причиной такой работы политики? ДНС-ы в роутере прописаны "правильные", т.е. указывающие на 2 внутренних контроллера домена, более никаких ДНС-ов не раздаётся, внешние прописаны на этих 2-х контроллерах в настройках ДНС-сервера.

Можно поподробнее?
Хоть кажется, что это не применимо к нам... бюджет очень ограничен, выкручиваемся как можем... Госпредприятие...

Сделай на тестовом компьютере статический IP-адрес и проверь появление этих сообщений. Если сообщения будут появляться, то стоит подумать об обновлении драйверов сетевой карты и тестирования локальной сети.

Вообще, как заметили выше тебе стоит смотреть в сторону DFS, это встроенная в сервер возможность объединить файловые ресурсы в одном месте, что удобно для юзеров.
На прежней работе я это решал так:
Все документы всех подразделений лежат на отдельном рейд-диске в одной корневой папке.
Эта папка сделана как DFS-root и расшарена.
Всем юзерам подключается только одна буква тем же способом, что делаешь и ты.
Каждый юзер видит только папку своего подразделения и имеет доступ только к ней.

Очень даже применимо
Никакого "бюджета" для этого не потребуется.

1. Рисуете (можно на бумаге) дерево каталогов, каким оно должно быть по вашему мнению
2. Открываете на сервере в "администрировании" оснастку DFS
3. Создаёте корневой каталог \\ДОМЕН\DFS. Указываете сетевую папку на сервере (самом КД), где будет храниться этот корень. Если есть несколько серверов (контроллеров домена), то укажите их все, чтобы система сохраняла работоспособность при отключении одного.
4. Создаёте в этом каталоге дерево DFS по первому этапу
5. Создаёте на файловых серверах сетевые папки (с долларом на конце для скрытности) и цепляете их к веткам дерева DFS
Если есть два и более серверов, можно к одной ветке подключить сетевые папки с разных серверов - в этом случае будет работать резервирование. Серверы будут делать репликацию (автоматическую синхронизацию) изменяемых файлов.
Единственное - нельзя делать резервирование папок с многопользовательскими базами данных (1С и т.д.). Потому что в этом случае разные пользователи будут работать с разными экземплярами баз данных на разных серверах, и никакая репликация тут уже не поможет.

Плохая идея - лучше сделать несколько разных сетевых папок и подключить их к разным ветвям дерева DFS.
Всем юзерам на рабочий стол закидываются ярлычки на \\ДОМЕН\DFS\....\НужнаяПапка
Сетевые диски нужны только для поддержки старых программ, которые не умеют работать с сетевыми папками

Ну... у нас таки с местом и проблемы...

Как я понял DFS отличается от сетевых папок тем, что настроили, указали общий корень и можно настроить репликацию/перемещение между серверами, а с сетевой папкой - сменил сервер, поменяй путь к папке.
Есть плюс, гляну в этом направлении. Но есть минус: ярлыки на рабочем столе. :laugh: придётся ещё научить пользователей не создавать ничего на рабочем столе. Думаю, что в данном случае лучше примапить сетевые диски в "Мой компьютер".

Смех смехом, но хочу понять что не так, что у меня не получается элементарные действия осуществить: или сопоставление дисков слабое место в политике, или у меня сеть гонит (неправильно настроена), или обновление политик на рабочих компах не срабатывает сразу?

Всё верно. Глаз замылился и не подумал об этом.
Основной причиной почему не сделал этого раньше - то что все сидят на DHCP. Не хотелось бы переходить на статику.

После установки статики применение политики на тестовом стало намного стабильнее.
Может ли исправить ситуацию поднятие DHCP-сервера на контроллере домена? (сейчас так и сделаю, с ситуацией надо разбираться)
Спасибо за подсказку.

Какой смысл в разных сетевых папках? И зачем плодить разные ветви, когда нужна одна под документы отделов?

И людям удобно постоянно делать двойной клик мышкой, чтобы найти нужную папку, вместо одного нажатия на кнопку раскрытия в дереве папок?

У вас документы всех отделов лежат в одной папке вперемешку или всё же разнесены по разным папкам?
А если в разных, то какая для пользователя разница, как это будет организовано "под капотом"

1. Cетевые папки разных отделов могут находиться на разных дисковых разделах сервера и даже на разных серверах.
2. Использование разных сетевых папок позволяет комбинировать ограничения доступа SMB и NTFS, использование одной папки - только NTFS.

Людям удобно один раз сделать двойной клик мышкой, чтобы сразу открыть нужную папку.

Каждый отдел в своей папке. И для пользователя неважно как оно организовано "под капотом", а вот админу "под капотье" важно. ;)

Перед тем как сделать двойной клик на ярлыке, открывающем папку, нужно сначала найти этот ярлык. Да и ярлык не все программы показывают в своём списке. Это разговор о том, кому что удобнее - бросать ярлыки в надежде, что программа его поймёт или делать букву диска в надежде, что не попадётся программы, которая примапленные диски не показывает. :)

У каждого предприятия своя специфика. У кого-то "1 папка - 1 отдел" (или наоборот), а у кого-то разные отделы работают с разными общими ресурсами, которые пересекаются друг с другом в различных вариациях для обмена друг с другом документами.
Можно, конечно, настроить видимость сетевых папок на основе прав доступа, но у нас привыкли друг другу сообщать "Возьми на диске ЭС в папке ....".

Вообще с ситуацией я так и не разобрался..
Поднял DHCP на контроллере домена, но ситуация сильно не изменилась:
- Перемонтирование дисков меняется со 2 и более раз перелогинивания, а то и после перезагрузки тестового компа.
- Из логов рабочей станции исчезли ошибки связанные с невозможностью подключиться к контроллеру домена. Просто после удачной попытки применения политики появляется сообщение.

Вот способ, который работает хорошо, но на скриптах (неправильный способ):

Вот этот способ почему-то работает с первого раза. Может потому что после его настройки я давал ему "настояться" ночью и на утро обновление политик проходило ровно?..
А "сопоставление дисков" не успевало обработаться, реплицироваться и т.п.?

Обычно делается временная папка, в которой заводят папки для отделов, куда кинуть файл может любой, а забрать только сотрудник отдела в чью папку этот файл кинули. Либо делается одна общая папка, что менее безопасно в плане доступа к информации ненужных людей. При этом в обоих случаях до всех доводится, что папка каждый N дней очищается.

По твоей-же проблеме, сделай проще: перестань удалять все ресурсы и сделай сопоставление (в виде "заменить") только для одного диска без применения правил фильтрации (нацеливании).

PS. Управление файловыми ресурсами дело весьма сложное и требует продуманного подхода таким образом, чтобы не было несанкционированного доступа, чтобы было удобно пользователям и чтобы было удобно админу всё это админить.