Вы можете использовать групповые политики для гибкого подключения сетевых папок с файловых серверов в виде отдельных сетевых дисков Windows. Исторически для подключения сетевых дисков использовались логон bat скрипты с командой net use U: \\server1\share. Однако групповые политики намного гибче, отрабатывают быстрее и обновляются в фоновом режиме (не нужно выполнять перезагрузку или логоф пользователя для подключения сетевых дисков через GPO).
В этой статье мы покажем, как использовать GPO для подключения сетевых дисков в Windows: рассмотрим подключение общей сетевой папки отдела на основе групп безопасности AD и персональных сетевых дисков пользователей на сетевом хранилище.
Создайте в Active Directory новую группу для отдела менеджеров и добавьте в нее учетные записи сотрудников. Можно создать и наполнить группу из графической консоли ADUC или воспользоваться командлетами PowerShell для управления группами AD (входят в модуль AD PowerShell):
New-ADGroup "SPB-managers" -path 'OU=Groups,OU=SPB,dc=test,DC=com' -GroupScope Global -PassThru –Verbose
Add-AdGroupMember -Identity SPB-managers -Members a.novak, r.radojic, a.petrov, n.pavlov
Предположим, у вас есть файловый сервер, на котором хранятся общие сетевые каталоги департаментов. UNC путь к общему рабочему каталогу менеджеров, который нужно подключить всем сотрудникам отдела — \\server1\share\managers.
Теперь нужно создать GPO для подключения данного сетевого каталога в виде диска.
- Откройте консоль управления доменными GPO — Group Policy Management Console (
gpmc.msc); - Создайте новую политику и прилинкуйте ее к OU с учетными записями пользователей, перейдите в режим редактирования политики;
- Перейдите в секцию GPO User Configuration -> Preferences -> Windows Settings -> Drive Maps. Создайте новый параметр политики New -> Mapped Drive;
- На вкладке General укажите параметры подключения сетевого диска:
- Action: Update (этот режим используется чаше всего);
- Location: UNC путь к каталогу, который нужно подключить;
- Label as: метка диска;
- Reconnect: сделать сетевой диск постоянным (будет переподключаться каждый раз при входе, даже если вы удалите политику – аналог параметра /persistent в net use);
- Drive Letter – назначить букву диска;
- Connect as: опция сейчас не доступна, т.к. Microsoft запретила сохранять пароли в Group Policy Preferences.
- Переключитесь на вкладку Common, включите опции “Run in logged on users’s security context” и “Item-level Targeting”. Затем нажмите на кнопку “Targeting”;
- Здесь мы укажем, что данная политика должна применяться только к пользователям, которые состоят в группе безопасности AD, созданной ранее. Выберите New Item -> Security Group -> укажите имя группы;
- Сохраните изменения;
- После обновления политик в сессии пользователя подключиться сетевой диск, доступный из File Explorer и других программ.
Создадим еще одно правило политики, которое подключает персональные сетевые каталоги пользователей в виде сетевых дисков. Допустим, у вас есть файловый сервер, на котором хранятся личные папки пользователей (на каждую папку назначены индивидуальные NTFS разрешения, чтобы пользователи не могли получить доступ к чужим данным). Вы хотите, чтобы эти каталоги автоматически подключались в сеанс пользователя в виде сетевых дисков.
Создайте для каждого пользователя отдельный каталог, соответствующий его имени в AD (sAMAccountName) и назначьте нужные NTFS права.
Создайте еще одно правило подключения дисков в той же самой GPO.
В настройках политики укажите путь к сетевому каталогу с личными папками пользователей в виде \\server1\share\home\%LogonUser%. В качестве метки диска я указал %LogonUser% - Personal.
Сохраните изменения и обновите политики на компьютерах пользователей командой:
gpudate /force
Теперь у пользователей должны подключиться новые сетевые диски — персональные каталоги с файлового сервера. Пользователи смогут использовать их для хранения личных данных. Такой сетевой диск будет подключаться на любом компьютере, на который выполнил вход пользователь.
Таким образом в одной GPO вы можете создать множество отдельных параметров с различными условиями подключения сетевых дисков пользователям.
Для выборки различных критериев компьютеров или пользователей при подключении дисков используется функционал таргетинга GPP (в основе лежат wmi фильтры).
А зачем указывать группу безопасности в «Common» ? На чистом домене работает без !
Вы сами то поняли что написали??? Или может читали невнимательно? Откройте гугл и почитайте про назначения галок. В данном случае было требование подмапить диск только для пользователей из одного отдела, объединенных в одну группу. Этого можно достичь через «Item-level Targeting» (как сделал автор). Или также через Security Filter.
«Однако групповые политики намного гибче, отрабатывают быстрее и обновляются в фоновом режиме (не нужно выполнять перезагрузку или логоф пользователя для подключения сетевых дисков через GPO)»
Сдается мне, что автор вводит в заблуждение читателя. Вы читали про Synchronous/Asynchronous Processing? Такие client-side extension как Software Installation, Folder Redirection, Drive Mappings Preferences работают только синхронно. Если говорить про мапинг дисков для пользователей, то если пользователь залогинен, и при появлении новой политики с мапингом диска — без перелогона он не подмапится. В cmd при обновлении политик вы увидите соответствующее сообщение.
Как всегда спасибо за конструктивное замечание 🙂 ! но тут есть нюанс.
Начиная с Windows 8 CSE Group Policy Preference Drive Maps не требует обязательного синхронного режима. Параметры этой политики могут применяться и в фоновом режиме, асинхронно. Только что проверил: создал новый сетевой диск в политике и он в течении часа появился у пользователя без перелогина .
Да, вы правы. На Windows 10 после gpupdate появился сразу без перелогона, в отличие от Windows 7. Спасибо за полезное наблюдение.