Для подключения общих сетевых папок с файлового сервера пользователям домена в виде сетевых дисков можно использовать групповые политики. Групповые политики позволяют создать гибкие правила автоматического подключения сетевых дисков (папок) в зависимости от групп безопасности, в которых состоит пользователь, его текущего расположения и т.д. В этой статье мы создадим GPO для подключения общей сетевой папки отдела и персональной сетевой папки пользователя в виде отдельных сетевых дисков.
Создать групповую политику AD для подключения сетевых дисков
Предположим, ваша задача автоматически подключать общую сетевый папку всем пользователям отдела менеджеров. Для этого мы создадим в Active Directory новую групп безопасности SPB—managers, в которую нужно добавить всех пользователей отдела. Общие документы отдела хранятся на файловом сервере и доступы по UNC пути
\\server1\share\managers
Наша задача создать GPO для подключения этой общей паки в виде диска.
- Откройте консоль управления доменными GPO — Group Policy Management Console (
gpmc.msc); - Перейдите в раздел Group Policy Objects и создайте новую политику с именем spbMapNetworkDrive. Щелкните по политике и выберите Edit.
- Перейдите в секцию GPO User Configuration -> Preferences -> Windows Settings -> Drive Maps. Создайте новый параметр политики New -> Mapped Drive;
- На вкладке General нужно указать параметры подключения сетевого диска. В поле Action доступны четыре опции:
- Update– изменить настройки существующего сетевого диска или создать его (если не существует). При изменении настроек в Group Policy Preferences, сетевой диск не удаляется, а только обновляются его настройки.
- Create – создать новый сетевой диск.
- Replace – удалить и пересоздать сетевой диск. Если диск отсутствует, создаст новое подключение. Если уже есть, удалит и создаст заново.
- Delete – удалить подключенный сетевой диск.
В большинстве случаев для подключения сетевого диска нужно использовать режим Update. Режим Replace обычно используется, когда вам нужно изменить UNC путь к сетевой папке в настройках диска. - Заполните следующе поля:
- Location: UNC путь к общей сетевой папке каталогу, который нужно подключить;
- Label as: метка диска;
- Reconnect: сделать сетевой диск постоянным (будет переподключаться каждый раз при входе, даже если вы удалите политику. Это аналог параметра /persistent в команде
net use); - Drive Letter – укажите букву диска, которую нужно назначить;
- Connect as: опция не используется, т.к. Microsoft запретила сохранять пароли в Group Policy Preferences.
- Переключитесь на вкладку Common, включите опции “Run in logged on users’s security context” и “Item-level Targeting”. Затем нажмите на кнопку “Targeting”;
- Здесь нужно создать правило, которое будет подключать сетевой диск только пользователям, которые состоят в группе безопасности AD spb-Managers. Выберите New Item -> Security Group -> укажите имя группы;
- Сохраните изменения в GPO.
- Затем перейдите в консоль Group Policy Management и назначьте политику на OU с пользователями. Щелкните правок кнопкой по OU, выберите Link an existing GPO и выберите вашу политику.
- Политика подключения сетевых дисков примениться пользователям в фоновом режиме в течении 90 минут (не обязательно делать принудительное обновление настроек GPO с помощью команды
gpupdate /forceили перезагрузку/логоф). - Откройте на компьютере пользователя праведник File Explorer и проверьте, что появился новый сетевой диск M.
В этой же GPO можно создать дополнительные правила для подключения сетевых дисков другим пользователям в зависимости от групп безопасности, в которые они добавлены.
Подключение персонального сетевого диска через GPO
Часто групповые политики используются для подключение персонального сетевого диска пользователю. На таком сетевом диске пользователь может хранить свои личные документы, которые будут доступ не зависимо от компьютера, за которым он работает.
Создайте для каждого пользователя отдельный каталог, соответствующий его имени в AD (
sAMAccountName
). Для предотвращения доступа пользователей к чужим личным папкам, отключите наследование и оставьте в NTFS разрешениях каждого персонального каталога только System, Administrator и самого пользователя с правами Full Control. Группу Users нужно удалить из NTFS списка доступа.
Создайте еще одно правило подключения сетевого диска в той же самой GPO.
В настройках политики укажите путь к сетевому каталогу с личными папками пользователей в виде
\\server1\share\home\%LogonUser%
. В качестве метки диска я указал
%LogonUser% - Personal
.
Переменная окружения
%LogonUser%
указывает, что нужно в качестве имени каталог подставить имя учетной записи пользователя.
После обновления настроек GPO на компьютере пользователя, в его сессии появится отдельный персональный сетевой диск, в котором он может хранить свои документы.
А зачем указывать группу безопасности в «Common» ? На чистом домене работает без !
Вы сами то поняли что написали??? Или может читали невнимательно? Откройте гугл и почитайте про назначения галок. В данном случае было требование подмапить диск только для пользователей из одного отдела, объединенных в одну группу. Этого можно достичь через «Item-level Targeting» (как сделал автор). Или также через Security Filter.
«Однако групповые политики намного гибче, отрабатывают быстрее и обновляются в фоновом режиме (не нужно выполнять перезагрузку или логоф пользователя для подключения сетевых дисков через GPO)»
Сдается мне, что автор вводит в заблуждение читателя. Вы читали про Synchronous/Asynchronous Processing? Такие client-side extension как Software Installation, Folder Redirection, Drive Mappings Preferences работают только синхронно. Если говорить про мапинг дисков для пользователей, то если пользователь залогинен, и при появлении новой политики с мапингом диска — без перелогона он не подмапится. В cmd при обновлении политик вы увидите соответствующее сообщение.
Как всегда спасибо за конструктивное замечание 🙂 ! но тут есть нюанс.
Начиная с Windows 8 CSE Group Policy Preference Drive Maps не требует обязательного синхронного режима. Параметры этой политики могут применяться и в фоновом режиме, асинхронно. Только что проверил: создал новый сетевой диск в политике и он в течении часа появился у пользователя без перелогина .
Да, вы правы. На Windows 10 после gpupdate появился сразу без перелогона, в отличие от Windows 7. Спасибо за полезное наблюдение.
Добрый день!
Можно ли как нибудь подключить сетевой диск до входа пользователя?
Необходимо, чтобы ПК сам включился в 23:00 и потом отработал планировщик в 23:10. В планировщике указан скрипт, который сделает бэкап с сетевого диска на локальный.
Можно ли до входа пользователя подключить сетевой диск?
Либо выполнить подключение диска в скрипте планировщика? Но диск подключается exe файлом, так как логин и пароль от сетевого диска утеряны. Пробовал в скрипте указать подключение диска строкой: C:\Backup1c\base1c.exe. Не помогло.
Обычно для такого используют логон скрипты с командой net use…
Автор, еще раз спасибо за статьи!
У меня RDS сервер и доступ к приложениям идет через web.
Люди как бы качают ярлычек, запускают и работают. Все отлично, но даже после того, как на RDS сервере прописал в реестре нужный ключ — сетевых дисков нету… Случаем не знаешь чем помочь?
Не понял, о каком ключе идет речь.
Если не применяются GPO с сетевыми дисками нужно проверять применя.тся ли они к пользователю. Вам в помощь:
https://winitpro.ru/index.php/2014/08/15/gpresult-diagnostika-primeneniya-gruppovyx-politik/
https://winitpro.ru/index.php/2019/03/18/primenenie-gpo-spravka-admina/
Можно ли подключит политику сопоставления дисков на группу в которой только компьютеры ?
в теории да, используя режим замыкания
На практике нужно проверить
В шоу бизнесе есть такое понятие как «целевая аудитория». Вам бы тоже определиться какая аудитория ваша. Не думаю, что она наполнена сис.админами, работающими с англоязычными серверами. Такие люди как правило сами с усами.
Скажите пожалуйста или дайте ссылку на ресурс, как можно сконфигурировать эту групповую политику через powershell? Я пишу скрипт для полной автоматизации настройки сети и мне необходимо смонтировать сетевые диски для группы пользователей AD.
Настройка GPO через PowerShell довольно ограничена. програмно по сути настриваются только registry gpp.
https://winitpro.ru/index.php/2021/10/18/upravlenie-gpo-v-active-directory-powershell/
Если нужно идти именно по такому пути, наверно вам проще будет разобраться как через реестр монтировать диски при входе (HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run)
попробовал как тут описано, на win7 не появляется ничего
заработало когда выставил в defolt domain policy
Server 2019,клиентские машины в домене на win7. Сработало только с параметром «Создать». Иначе диски не появлялись,но и то работает через раз,на административных учетных записях диски подключаются постоянно. На ограниченных через раз,сейчас есть,а после перезагрузки их уже нет.
А как подключить каждому пользователю свой персональный диск
Например в формате \\имяфайлсервера\Personal\ИмяФамилияСотрудника
используя переменную %username% выводится логин пользователя, а я хочу именно выводимое имя…
Ваш сценарий через GPO не реализвать. Просто нет такой переменной в переменных окружения GPP. Если очень надо, придется смотреть в сторону логон скриптов для подключения сетевых дисков при входе пользователя.
Чем плох username?
тем что выводимое имя отображает полные инициалы, а логины у меня в формате первая буква имени и фамилия; например Popov Andrei- выводимое имя; логин apopov
Соответственно персональный диск будет отображаться как \\имяфайлсервера\Personal\apopov
А хотелось бы с полными инициалами
поэтому я и ищу переменную выводимого имени а не логина
Ребят, может кто нибудь сталкивался с такой проблемой что диски мапятся, но через промежуток времени при автоматичком обновлении политик, диски отключаются и повторно подключаются?
проверь не стоит ли замыкании политик ,фаервол, банально какой ип стоит на файловом сервере(статика или dhcp)
Фаерволл проверяли и выключали, айпи статика.
Настройте вот эту политику Сomputer Configuration/Administrative Templates/System/Group Policy/Configure Drive Maps preference extension policy processing. Включит ее, и установите все три галки. Вторая галка отключит применение мапинга дисков в фоновом режиме. Диски будут мапиться только при логоне пользователя.
Run in logged on users’s security context-за что вообще отвечает эта опция?
По умолчанию GPP отрабатывает в контексте безопасности SYSTEM . ПРи включении опции Run in logged-on user’s security context, GPP отрабатывает с правами текущего пользователя. Это нужно для получения доступа от имени пользователя, а не компьютера
Столкнулся со следующей проблемой:
Сетевой диск подключил через групповые политики. У всех пользователей в домене он появился, но!
Вордовские файлы открываются в защищённом режиме и каждый раз нужно жать на кнопку «Разрешить редактирование». Подскажите, пожалуйста, что нужно сделать. Может как-то надо в политиках добавлять сетевой диск в доверенные источники или что-то в этом роде?
В ворде есть вкладка «защищенный просмотр» там можете снять галку. Или добавить ваш диск в надежные расположения. Эта вкладка находится по пути «параметры-центр управления безопасностью» и в его настройках есть оба пункта,которые указал выше.
Спасибо за подсказку, но я не совсем это хотел узнать. Дело в том что в домене параллельно есть старый сетевой диск. Физически он располагается на сервере с Windows Server 2003, подключается не через групповые политики, а через js-скрипт (функцией MapNetworkDrive). Так вот на старом сетевом диске документы открываются также как на локальном, безо всяких защищённых режимов и ничего править в настройках Ворда не нужно. В чём тут дело? Это что какие-то заморочки в плане безопасности в Windows Server 2019, или всё-таки можно настроить сопоставление дисков через групповые политики так чтобы не нужно было лезть в Ворд на каждой машине в домене?
Вы подключаете сетевые диски по IP адресу или короткому имени? Попробуйте исопльзовать FQDN имя файлового сервера при подключении сетевой папки.
Также в admx шаблонах GPO для Office есть опция:»Do not open files in unsafe locations in Protected View»
User Configuration -> Administrative Templates -> Microsoft Word 2016 -> Excel Options -> Security -> Trust Center -> Protected View
Но в общем0то не рекомендуется отключить эту защиту.
Похоже что вы меня не поняли, потому что ответ на мой вопрос находится в вашей статье на этом же
сайте:
https://winitpro.ru/index.php/2015/03/06/otklyuchaem-preduprezhdenie-sistemy-bezopasnosti-v-windows-7/
в разделе «Предупреждение безопасности при запуске приложений из сетевого каталога» (если вы,
конечно, один человек, а не коллектив авторов).
Проблему решил через групповые политики:
Computer Configuration -> Administrative Templates -> Windows Components -> Internet Explorer -> Internet Control Panel -> Security Page (Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Internet Explorer -> Панель управления браузером -> Вкладка безопасность)
где включил политику «Сайты Интрасети: все сайты, не перечисленные в других зонах Intranet Sites: Include all local (intranet) sites not listed in other zones»
+ включил и прописал адреса в: «Site to Zone Assignment List (Список назначений зоны для веб-сайтов)»
адреса прописал во всех возможных вариантах: через IP, через имена, с правыми слешами, с левыми
слешами, с «file:» впереди. Прописал адрес сетевого диска в отдельности и всей локальной сети с
помощью звёздочки.
Судя по-всему проблема возникла из-за перехода с SMB 1.0 на SMB более высокой версии, для которой и
требуются эти пляски с бубном.
Мне кажется, что эту информацию следует включить в текст статьи, раз уж без этой настройки полученный сетевой диск распознаётся Windows как находящийся за пределами локальной сети и раз уж решение
вызванной отсутствием этих настроек проблемы неочевидно даже для автора.
Вы не могли бы подсказать как через GPO можно было бы сопоставить данные, но чтобы можно было вводить учетные данные пользователя из другого домена, раз теперь эта опция неактивна?
Придетс использовать логон скрипты. В самом простом случае что то типа
net use \\server\share /user:
Если каждый пользователь должен подключать сетевой диск под персональный учетной записью, можно запростить учетку и подключить диск с помощью PowerShell:
$cred = Get-Credential -CredentialNew-PSDrive -Name "S" -Root "\\Server01\Scripts" -Persist -PSProvider "FileSystem" -Credential $cred
на Win11 не подключает автоматически сетевой диск.
сеть без домена, соединение по Wifi — не очень стабильное в том плане, что покрытие где то на 70% в среднем.
если руками зайти в подключение сетевого диска, и выбрать, то всё работает и подключает; ставим галку — автоматически входить, перегружаем — нет диска.
сделал как в Win10 — через *.bat с задержкой в 10 секунд, на случай, если WiFi цепляет долго (такое иногда бывает) — не работатет.
приходится каждый раз подключать руками. причём пароль не спрашивает — просто «подключить сетевой» — выбрали путь из списка и ок.
в чем может быть причина? и как-то можно еще сделать, чтобы автоматом цепляло?
Команду нужно запускать под пользователем. Если запускаете с правами админа (или от system), вы не увидите сетевой диск
Посмотрите про параметр реестра EnableLinkedConnections
https://winitpro.ru/index.php/2015/03/11/nework-disk-access-from-elevated-programs/
Если не поможет, посмотрите статью
https://winitpro.ru/index.php/2018/11/27/ne-podklyuchayutsya-setevye-diski-v-windows/
Добрый день, хотел узнать можно ли как то указать параметры Drive Map (Сопоставление дисков) через PowerShell.
К примеру создать новую политику (через New-ADGroup) и в нее передать параметры подключения диска (Название, Букву диска, Сетевой путь).
Знаю как подключить диск через PowerShell с использованием (New-PSDrive). Но хотелось бы чтобы диски Групп/Подразделений мапились через GPO.
Поэтому ищу варианты как сделать процесс максимально проще. На PowerShell много завязано. И хотелось бы один раз в одном единственном скрипте ввести название Группы/Подразделения, и все остальное создалось согласно правилам описанным в др.скриптах которые завязаны на передаче переменной (название Группы/Подразделения).
P.S.
Знаю что в политике GPO можно через PowerShell Добавлять/Изменять/Удалять «Ключи реестра», но пока не нашел примеров или описания как где в реестре хранится информация о подключенных сетевых дисках.
На просторах находил файл https://www.microsoft.com/en-us/download/details.aspx?id=56946, в нем хранится ключи реестра которые изменяются при редактировании GPO. Но к сожалению там нет данных по Drive Map (Сопоставление дисков)
Почему то политика не работает если привязать к OU users, только если привязать к OU computers, с чем может быть связано?
Этот параметр из раздела User Configuration, поэтому к целевым пользователям он как-раз таки и должен применяться. Делайте gpresult, смотрите назначена ли политика на пользователя — если да, смотрите логи GPP почему она не применяется.
Возможно, что это RDS. У меня тоже не работает политика на RDS, если назначить её пользователям. Только после добавления её к OU с RDS начинает отрабатывать.
Да RDS, чтобы политика заработала на RDS и на рабочих станциях пришлось применять политику к Computers и Users
Здравствуйте.
А как можно убрать Reconnect если он был установлен, но теперь не нужен? Создать политику с параметром Replace и без Reconnect?
Снять галку Reconnect и проверить, что Action -> Replace. Это должно переопределить настройки.
Хорошая статья, мне только не хватило инфы про подключение диска еще и в rdp-сессии, когда заходишь и он там тоже цепляется политикой
Политика монтирования дисков будет работать и в RDP/RDS сессии. Отличий нет.
Добрый день.
А возможно сделать так, чтобы сетевой диск, подключался не как сетевой диск, а автоматом попадал в «панель быстрого доступа»?
Вот тут пример PowerShell скрипта для добавления UNC путей в панель quick access:
https://winitpro.ru/index.php/2023/08/29/nastroyka-panely-bystrogo-dostupa-window/
Где в журнале событий искать логи подключения сетевых дисков через GPO?
Добрый день!
А как можно реализовать автоматическое создание папки для пользователя с нужными правами, чтобы не делать это вручную?
Монтируйте сетевую папку через путь с переменной окружения.
Например: \\fs01\users\%username%
Подскажите почему сопоставляемый диск появляется не у всех.Перезагрузка была, gpupdate сделал.
Проверяете применилась ли политика к пользователю (gpresult), смотрите логи Group Poiycy, может быть там есть явные ошибки drives mapping.
доброго дня!
А если нужно переподключить уже существующий сетевой диск у пользователя, но с другим путем?
В общем путь надо просто поменять, то как лучше поступить?
Сделать GPP с параметром Replace вместо Update
спасибо!
вопрос не совсем по теме…
А как правильно делать: Указывать группу безопасности в Item level targeting (как у вас в статье ) или указывать ее сразу в «Фильтрах безопасности» политики?
Можно оба варианта. Item level targeting — гибче, а security filters — более хардово и надежно.
Добрый день!
Политика применена к группе Пользователей и фильтр безопасности Прошедшие проверку, т.е. условно на всех компьютерах домена применяется.
Хотелось бы получить вариативность, чтобы диски не подключались на некоторых компьютерах.
Есть ли способ ограничить применение политики по определенным компьютерам?
В GPP Itemlevel targeting можно сделать дополнительное условие «
и не«, где исключить компьюютеры по именам (или чеерз отдельную группу).Спасибо то, что нужно было!
Добрый день!
Столкнулся при создании групповой политики для маппинга диска, что при нацеливании на конкретную группу невозможно выбрать «Пользователь в группе» (бледно серым выделено). А вот «Компьютер в группе» автоматически выбран и изменить это не возможно. В фильтрах безопасности применяется «Прошедшие проверку». При этом ранее можно при нацеливании выбрать группу как для пользователя так и для компьютера. Подскажите, пожалуйста, с чем это может быть связано? и как это исправить. Спасибо
https://qna.habr.com/q/1367170
Продублирую тут:
как утверждается в Patch Megathread - обновы KB5041578 (Windows Server 2019) и KB5041160 (Windows Server 2022) ломают работу Item-level targeting (неактивен User in group)...При этом для 2019 якобы было сломано еще в июльских обновлениях...Но - проблема затрагивает только GUI, через PowerShell все работает как надо
Проблема такая. Создал политику, ввёл путь к сетевому диску по внешнему ip адресу, но сетевой диск всё равно не создаётся, путь по примеру ftp//…
На компе пользователя залогинился к ftp, то есть без ввода данных заходит, но при этом сетевой диск не создаётся. Не подскажете что может быть?
FTP это не сетевой диск. SMB и FTP разные протоколы.
Была стороння утилита t FtpUse, которая позволяет мапить ftp папки в диски.
Вводные данные: Есть подключение к 1С через RemoteApp, как прописать в политиках, что бы подключался сетевой диск?
Сетевой диск должен быть доступен где?
Если в 1C — то нужно делать политику на его подключение на RDS сервере
Если диск подключается на клиентсом компьютере — политику для этого компьютера
И нужно понимать, что 1с в remoteapp не будет видеть диск, подключенный на компьютере, и наоборот. Так как это по сути разные сущности.
А как сделать, чтобы если пользователь уже не принадлежит к группе, на которую установлено нацеливание — то сетевой диск у него удалялся? Сейчас он остается видимым, просто на него невозможно зайти.
Нужно чтобы изначально в настройках параметра GPP была включена опция Remove this item when no longer applied. Сейчас наверно придется удалять диск либо скриптом, либо новой опцией GPP ap drive для пользователей Not in group с действием Delete.
Да, все получилось. И через дополнительное сопоставление с действием «Удалить» выше по очереди. И через добавление изначально опции «Удалить этот элемент, когда он более не применяется». Раньше я так пробовола сделать, но ничего не удалялось, потому что эта опция была включена уже позже, а не перед использованием.
Вариант с опцией «Remove this item when no longer applied» — мне кажется более изящным, так как не нужно городить дополнительные сопоставления для каждого диска с удалением.
Спасибо!