Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Серверные продукты Microsoft » Windows Server 2008/2008 R2 » 2008 R2 - Проблема с подключением сетевых дисков через GPO

Ответить
Настройки темы
2008 R2 - Проблема с подключением сетевых дисков через GPO

Новый участник


Сообщения: 6
Благодарности: 0

Профиль | Отправить PM | Цитировать


Изменения
Автор: Timofey_p
Дата: 15-08-2018
Описание: Добавил файлы
Изображения
Тип файла: jpg Безимени-1.jpg
(46.1 Kb, 5 просмотров)
Тип файла: jpg Безимени-2.jpg
(70.1 Kb, 5 просмотров)
Тип файла: jpg Безимени-3.jpg
(60.5 Kb, 5 просмотров)
Тип файла: jpg Безимени-4.jpg
(65.2 Kb, 5 просмотров)
Добрый день!
Решил обратиться к специалистам, т.к. блуждание по сети и различные эксперименты не приводят к результатам.

Предыстория
В одной организации был домен основанный на Win2003 (2 сервера: основной и дополнительный, потом дополнительный умер).
Я поднял 2 контроллера домена на Win2008 R2 SP 1, перенёс туда все роли и по-сути погасил Win2003 (выключил, но ещё не вывел из домена и не уничтожил). Перенос ролей прошёл без проблем.
В старом домене была создана политика, которая через скрипт подключала ВСЕМ пользователям 3 сетевых диска при их авторизации. На дисках стояли права на доступ. Соответственно получается, что некоторые диски подключаются, но доступа к ним у пользователей нет и получалась не совсем красивая картина в "Моём компьютере" с отключенными дисками. Собственно так всё и перенеслось на новые сервера.

Что хочу сделать
Решил я эту "не совсем красивую картину" исправить и сделать всё "правильно", при этом сделать удобное управление подключением этих дисков, а именно через группы:
- создать необходимые группы - Диск_S, Диск_K, Диск_L, ...
- если пользователь или группа пользователей находится в одной из вышеперечисленных, то этот диск появляется у пользователя.
Я нашёл один рабочий способ как это сделать, но этот способ кривой и основан на тех же скриптах (если кому-то интересно, опишу).

Как делал
На OSZONE есть замечательная статья с примерами Сопоставления дисков по которой я сделал как мне необходимо.
- Создал новую политику, прописал подключение всех возможных дисков (рис. 1, рис. 2), свойства подключения каждого из них идентичны примеру (рис. 3, рис. 4). В "нацеливании на уровень элемента" прописана соответствующая группа с именем диска.
- В "Управлении групповой политикой" создал подразделение "# Системные" и в нём разместил все 6 групп (рис. 1).
- В некоторые из этих групп добавил пользователей и группы (в частности в "Диск_S" добавил группу "Пользователи домена", а в "Диск_W" добавил несколько пользователей).
Тестовое включение
Перед тем как распространять всё на весь домен, создал несколько тестовых групп и тестовых пользователей, настроил и тестил логинясь на один из терминальных серверов, всё работало идеально.
Реальное включение
Распространил на весь домен, на утро услышал, что обо мне думают.
На рабочих компах стоят WinXP SP 3 и Win7 SP 1.
В чём может быть дело? В чём я ошибся при настройке GPO?
Второе тестовое включение
Когда начал тестировать на одном из реальных компов под тестовыми пользователями, то изменения применяются не сразу: в AD распределяю тестовых пользователей по группам дисков, на тестовом компе перелогиниваюсь и смотрю результат. Иногда диск, которого не должно быть у пользователя так и остаётся под им, а нужный диск не появляется. После перезагрузки компа частично что-то может поменяться: появится нужный диск или удалится не нужный, а иногда ничего не изменяется.
Доступ к сетевым папкам имеется, проверял. При ручном подключении под тестируемым пользователем всё работает. Если перехожу на скрипты, то всё начинает работать.
Буквы подключаемых дисков не пересекаются с локальными.

Постарался описать всё понятно и подробно, но если, что-то опустил, уточняйте.

Отправлено: 11:23, 13-08-2018

 

Аватара для paranoya

Ветеран


Сообщения: 537
Благодарности: 113

Профиль | Отправить PM | Цитировать


Проверить, что конкретный пользователь напрямую или через подгруппы входит только в группу которую нужно.
Выложи сюда настройки политики через которую настраиваешь подключение дисков. А так-же к какому OU она прилинкована и кто в этом OU находится.

-------
Он был расстроенным трупом и потратил две минуты впустую.


Отправлено: 10:14, 14-08-2018 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Ветеран


Сообщения: 3806
Благодарности: 824

Профиль | Отправить PM | Цитировать


Цитата Timofey_p:
и сделать всё "правильно" »
правильно - не мапить диски, а через DFS выстроить логичную структуру и использовать UNC-пути
Это сообщение посчитали полезным следующие участники:

Отправлено: 14:13, 14-08-2018 | #3


Аватара для James Marsh

Ветеран


Сообщения: 1594
Благодарности: 235

Профиль | Отправить PM | Цитировать


Цитата Busla:
правильно - не мапить диски, а через DFS выстроить логичную структуру и использовать UNC-пути »
А есть где-то мануал по типу "для самых маленьких", бо чую скоро нам порядок со своим хозяйством наводить....

-------
Благими намірами вистелений шлях у пекло


Отправлено: 21:26, 14-08-2018 | #4


Новый участник


Сообщения: 6
Благодарности: 0

Профиль | Отправить PM | Цитировать


Изображения
Тип файла: jpg рис_1.jpg
(55.9 Kb, 13 просмотров)
Тип файла: jpg рис_2.jpg
(51.3 Kb, 10 просмотров)
Тип файла: jpg рис_3.jpg
(62.5 Kb, 9 просмотров)
Тип файла: jpg рис_4.jpg
(60.4 Kb, 9 просмотров)
Тип файла: jpg рис_5.jpg
(50.1 Kb, 10 просмотров)

Цитата paranoya:
Проверить, что конкретный пользователь напрямую или через подгруппы входит только в группу которую нужно.
Выложи сюда настройки политики через которую настраиваешь подключение дисков. А так-же к какому OU она прилинкована и кто в этом OU находится. »
Не понятно почему исчезли прикреплённые файлы, но на предпросмотре они точно были. Надеюсь сейчас никуда не денутся.

Чтобы не чудить с реальными пользователями сделал тестовый OU с тестовыми группами и пользователями (рис. 1)
Создал сетевую папку \\dc01\test$, в которой находятся папки Disk_J, Disk_K, Disk_L.
Сетевой доступ к папке \\dc01\test$ открыт для групп Disk_J, Disk_K, Disk_L (на чтение) и админа (полный доступ) (рис. 2), разрешения NTFS примерно такие же (рис. 3) + СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ, который не вместился.
Разрешения NTFS на каждую из папок Disk_J, Disk_K, Disk_L стандартные (Админы, система, создатель) и соответствующая группа (Disk_J, Disk_K, Disk_L) с правами на чтение/просмотр/изменение.

В группе Disk_J - пользователи t1, t2.
В группе Disk_K - пользователь t3.
В группе Disk_L - Пользователи домена, т.е. должен подключиться у каждого тестового пользователя.
Тестовые пользователи находятся в группах перечисленных выше и в группе Пользователи домена.

В политике описаны только "Сопоставления дисков". 1-й строкой идёт удаление всех дисков начиная с диска I (отключение всех старых оставшихся дисков), последующие 3 правила подключают 3 перечисленных выше диска с настройками (рис. 4,5) в которых в "нацеливании" прописаны соответствующие группы.

Политика работает, но не сразу. После изменения сопоставления пользователей и групп, приходится перелогиниваться или перезагружаться. Но как всегда в тесте работает более-менее стабильно.
В логах тестового компа нашёл записи (своими словами):
1) политика не применена, т.к. отсутствует подключение к домену и будет применена при подключении.
2) через минутку идут сообщения об успешном подключении к домену и применении политики.
Компы получают IP по DHCP, с роутера, может это является причиной такой работы политики? ДНС-ы в роутере прописаны "правильные", т.е. указывающие на 2 внутренних контроллера домена, более никаких ДНС-ов не раздаётся, внешние прописаны на этих 2-х контроллерах в настройках ДНС-сервера.

Последний раз редактировалось Timofey_p, 15-08-2018 в 08:31. Причина: Дополнил


Отправлено: 08:11, 15-08-2018 | #5


Новый участник


Сообщения: 6
Благодарности: 0

Профиль | Отправить PM | Цитировать


Цитата Busla:
правильно - не мапить диски, а через DFS выстроить логичную структуру и использовать UNC-пути »
Можно поподробнее?
Хоть кажется, что это не применимо к нам... бюджет очень ограничен, выкручиваемся как можем... Госпредприятие...

Отправлено: 08:44, 15-08-2018 | #6


Аватара для paranoya

Ветеран


Сообщения: 537
Благодарности: 113

Профиль | Отправить PM | Цитировать


Цитата Timofey_p:
В логах тестового компа нашёл записи (своими словами):
1) политика не применена, т.к. отсутствует подключение к домену и будет применена при подключении.
2) через минутку идут сообщения об успешном подключении к домену и применении политики.
Компы получают IP по DHCP, с роутера, может это является причиной такой работы политики? ДНС-ы в роутере прописаны "правильные", т.е. указывающие на 2 внутренних контроллера домена, более никаких ДНС-ов не раздаётся, внешние прописаны на этих 2-х контроллерах в настройках ДНС-сервера. »
Сделай на тестовом компьютере статический IP-адрес и проверь появление этих сообщений. Если сообщения будут появляться, то стоит подумать об обновлении драйверов сетевой карты и тестирования локальной сети.

Вообще, как заметили выше тебе стоит смотреть в сторону DFS, это встроенная в сервер возможность объединить файловые ресурсы в одном месте, что удобно для юзеров.
На прежней работе я это решал так:
Все документы всех подразделений лежат на отдельном рейд-диске в одной корневой папке.
Эта папка сделана как DFS-root и расшарена.
Всем юзерам подключается только одна буква тем же способом, что делаешь и ты.
Каждый юзер видит только папку своего подразделения и имеет доступ только к ней.

-------
Он был расстроенным трупом и потратил две минуты впустую.


Отправлено: 10:12, 16-08-2018 | #7


ИО Капитана Очевидности


Contributor


Сообщения: 5382
Благодарности: 1105

Профиль | Отправить PM | Цитировать


Цитата Timofey_p:
Хоть кажется, что это не применимо к нам... бюджет очень ограничен, выкручиваемся как можем... Госпредприятие... »
Очень даже применимо
Никакого "бюджета" для этого не потребуется.

1. Рисуете (можно на бумаге) дерево каталогов, каким оно должно быть по вашему мнению
2. Открываете на сервере в "администрировании" оснастку DFS
3. Создаёте корневой каталог \\ДОМЕН\DFS. Указываете сетевую папку на сервере (самом КД), где будет храниться этот корень. Если есть несколько серверов (контроллеров домена), то укажите их все, чтобы система сохраняла работоспособность при отключении одного.
4. Создаёте в этом каталоге дерево DFS по первому этапу
5. Создаёте на файловых серверах сетевые папки (с долларом на конце для скрытности) и цепляете их к веткам дерева DFS
Если есть два и более серверов, можно к одной ветке подключить сетевые папки с разных серверов - в этом случае будет работать резервирование. Серверы будут делать репликацию (автоматическую синхронизацию) изменяемых файлов.
Единственное - нельзя делать резервирование папок с многопользовательскими базами данных (1С и т.д.). Потому что в этом случае разные пользователи будут работать с разными экземплярами баз данных на разных серверах, и никакая репликация тут уже не поможет.

Цитата paranoya:
Все документы всех подразделений лежат на отдельном рейд-диске в одной корневой папке.
Эта папка сделана как DFS-root и расшарена. »
Плохая идея - лучше сделать несколько разных сетевых папок и подключить их к разным ветвям дерева DFS.
Цитата paranoya:
Всем юзерам подключается только одна буква тем же способом, что делаешь и ты. »
Всем юзерам на рабочий стол закидываются ярлычки на \\ДОМЕН\DFS\....\НужнаяПапка
Сетевые диски нужны только для поддержки старых программ, которые не умеют работать с сетевыми папками

-------
Самое совершенное оружие, которым забиты арсеналы богатых и процветающих наций, может легко уничтожить необразованного, больного, бедного и голодного. Но оно не может уничтожить невежество, болезнь, нищету и голод. (Фидель Кастро)

Почему всех осужденных за измену Родине при Сталине реабилитировали при Горбачёве по отсутствию состава преступления? Потому что при Горбачёве измену Родине перестали считать преступлением.


Отправлено: 03:00, 17-08-2018 | #8


Новый участник


Сообщения: 6
Благодарности: 0

Профиль | Отправить PM | Цитировать


Цитата El Scorpio:
Очень даже применимо
Никакого "бюджета" для этого не потребуется. »
Ну... у нас таки с местом и проблемы...

Как я понял DFS отличается от сетевых папок тем, что настроили, указали общий корень и можно настроить репликацию/перемещение между серверами, а с сетевой папкой - сменил сервер, поменяй путь к папке.
Есть плюс, гляну в этом направлении. Но есть минус: ярлыки на рабочем столе. придётся ещё научить пользователей не создавать ничего на рабочем столе. Думаю, что в данном случае лучше примапить сетевые диски в "Мой компьютер".

Смех смехом, но хочу понять что не так, что у меня не получается элементарные действия осуществить: или сопоставление дисков слабое место в политике, или у меня сеть гонит (неправильно настроена), или обновление политик на рабочих компах не срабатывает сразу?

Цитата paranoya:
Сделай на тестовом компьютере статический IP-адрес и проверь появление этих сообщений. Если сообщения будут появляться, то стоит подумать об обновлении драйверов сетевой карты и тестирования локальной сети. »
Всё верно. Глаз замылился и не подумал об этом.
Основной причиной почему не сделал этого раньше - то что все сидят на DHCP. Не хотелось бы переходить на статику.

После установки статики применение политики на тестовом стало намного стабильнее.
Может ли исправить ситуацию поднятие DHCP-сервера на контроллере домена? (сейчас так и сделаю, с ситуацией надо разбираться)
Спасибо за подсказку.

Последний раз редактировалось Timofey_p, 17-08-2018 в 05:34.


Отправлено: 05:19, 17-08-2018 | #9


Аватара для paranoya

Ветеран


Сообщения: 537
Благодарности: 113

Профиль | Отправить PM | Цитировать


Цитата El Scorpio:
лучше сделать несколько разных сетевых папок и подключить их к разным ветвям дерева DFS. »
Какой смысл в разных сетевых папках? И зачем плодить разные ветви, когда нужна одна под документы отделов?

Цитата El Scorpio:
Всем юзерам на рабочий стол закидываются ярлычки на \\ДОМЕН\DFS\....\НужнаяПапка »
И людям удобно постоянно делать двойной клик мышкой, чтобы найти нужную папку, вместо одного нажатия на кнопку раскрытия в дереве папок?

-------
Он был расстроенным трупом и потратил две минуты впустую.


Последний раз редактировалось paranoya, 17-08-2018 в 09:45.


Отправлено: 09:34, 17-08-2018 | #10



Компьютерный форум OSzone.net » Серверные продукты Microsoft » Windows Server 2008/2008 R2 » 2008 R2 - Проблема с подключением сетевых дисков через GPO

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
2008 R2 - Подключение сетевых дисков через групповые политики Ruldik Windows Server 2008/2008 R2 7 07-10-2012 16:33
Route/Bridge - Проблема с подключением через мост ettaine Сетевые технологии 0 22-03-2010 15:35
Подключение сетевых дисков через .vbs XPurple Microsoft Windows NT/2000/2003 10 18-09-2006 06:57
Проблема с подключением дисков и принтереов удаленных клиентов через терминальный до tre Microsoft Windows NT/2000/2003 25 20-01-2005 10:24
Проблема с подключением сетевых дисков Shyrik Сетевые технологии 7 14-02-2003 13:20




 
Переход