Вы можете использовать групповые политики для гибкого подключения сетевых папок с файловых серверов в виде отдельных сетевых дисков Windows. Исторически для подключения сетевых дисков использовались логон bat скрипты с командой
net use U: \\server1\share
. Однако групповые политики намного гибче, отрабатывают быстрее и обновляются в фоновом режиме (не нужно выполнять перезагрузку или логоф пользователя для подключения сетевых дисков через GPO).
В этой статье мы покажем, как использовать GPO для подключения сетевых дисков в Windows: рассмотрим подключение общей сетевой папки отдела на основе групп безопасности AD и персональных сетевых дисков пользователей на сетевом хранилище.
Создайте в Active Directory новую группу для отдела менеджеров и добавьте в нее учетные записи сотрудников. Можно создать и наполнить группу из графической консоли ADUC или воспользоваться командлетами PowerShell для управления группами AD (входят в модуль AD PowerShell):
New-ADGroup "SPB-managers" -path 'OU=Groups,OU=SPB,dc=test,DC=com' -GroupScope Global -PassThru –Verbose
Add-AdGroupMember -Identity SPB-managers -Members a.novak, r.radojic, a.petrov, n.pavlov
Предположим, у вас есть файловый сервер, на котором хранятся общие сетевые каталоги департаментов. UNC путь к общему рабочему каталогу менеджеров, который нужно подключить всем сотрудникам отдела —
\\server1\share\managers
.
Теперь нужно создать GPO для подключения данного сетевого каталога в виде диска.
- Откройте консоль управления доменными GPO — Group Policy Management Console (
gpmc.msc); - Создайте новую политику и прилинкуйте ее к OU с учетными записями пользователей, перейдите в режим редактирования политики;
- Перейдите в секцию GPO User Configuration -> Preferences -> Windows Settings -> Drive Maps. Создайте новый параметр политики New -> Mapped Drive;
- На вкладке General укажите параметры подключения сетевого диска:
- Action: Update (этот режим используется чаше всего);
- Location: UNC путь к каталогу, который нужно подключить;
- Label as: метка диска;
- Reconnect: сделать сетевой диск постоянным (будет переподключаться каждый раз при входе, даже если вы удалите политику – аналог параметра /persistent в net use);
- Drive Letter – назначить букву диска;
- Connect as: опция сейчас не доступна, т.к. Microsoft запретила сохранять пароли в Group Policy Preferences.
- Переключитесь на вкладку Common, включите опции “Run in logged on users’s security context” и “Item-level Targeting”. Затем нажмите на кнопку “Targeting”;
- Здесь мы укажем, что данная политика должна применяться только к пользователям, которые состоят в группе безопасности AD, созданной ранее. Выберите New Item -> Security Group -> укажите имя группы;
- Сохраните изменения;
- После обновления политик в сессии пользователя подключиться сетевой диск, доступный из File Explorer и других программ.
Создадим еще одно правило политики, которое подключает персональные сетевые каталоги пользователей в виде сетевых дисков. Допустим, у вас есть файловый сервер, на котором хранятся личные папки пользователей (на каждую папку назначены индивидуальные NTFS разрешения, чтобы пользователи не могли получить доступ к чужим данным). Вы хотите, чтобы эти каталоги автоматически подключались в сеанс пользователя в виде сетевых дисков.
Создайте для каждого пользователя отдельный каталог, соответствующий его имени в AD (
sAMAccountName
) и назначьте нужные NTFS права.
Создайте еще одно правило подключения дисков в той же самой GPO.
В настройках политики укажите путь к сетевому каталогу с личными папками пользователей в виде
\\server1\share\home\%LogonUser%
. В качестве метки диска я указал
%LogonUser% - Personal
.
Сохраните изменения и обновите политики на компьютерах пользователей командой:
gpudate /force
Теперь у пользователей должны подключиться новые сетевые диски — персональные каталоги с файлового сервера. Пользователи смогут использовать их для хранения личных данных. Такой сетевой диск будет подключаться на любом компьютере, на который выполнил вход пользователь.
Таким образом в одной GPO вы можете создать множество отдельных параметров с различными условиями подключения сетевых дисков пользователям.
Для выборки различных критериев компьютеров или пользователей при подключении дисков используется функционал таргетинга GPP (в основе лежат wmi фильтры).
А зачем указывать группу безопасности в «Common» ? На чистом домене работает без !
Вы сами то поняли что написали??? Или может читали невнимательно? Откройте гугл и почитайте про назначения галок. В данном случае было требование подмапить диск только для пользователей из одного отдела, объединенных в одну группу. Этого можно достичь через «Item-level Targeting» (как сделал автор). Или также через Security Filter.
«Однако групповые политики намного гибче, отрабатывают быстрее и обновляются в фоновом режиме (не нужно выполнять перезагрузку или логоф пользователя для подключения сетевых дисков через GPO)»
Сдается мне, что автор вводит в заблуждение читателя. Вы читали про Synchronous/Asynchronous Processing? Такие client-side extension как Software Installation, Folder Redirection, Drive Mappings Preferences работают только синхронно. Если говорить про мапинг дисков для пользователей, то если пользователь залогинен, и при появлении новой политики с мапингом диска — без перелогона он не подмапится. В cmd при обновлении политик вы увидите соответствующее сообщение.
Как всегда спасибо за конструктивное замечание 🙂 ! но тут есть нюанс.
Начиная с Windows 8 CSE Group Policy Preference Drive Maps не требует обязательного синхронного режима. Параметры этой политики могут применяться и в фоновом режиме, асинхронно. Только что проверил: создал новый сетевой диск в политике и он в течении часа появился у пользователя без перелогина .
Да, вы правы. На Windows 10 после gpupdate появился сразу без перелогона, в отличие от Windows 7. Спасибо за полезное наблюдение.
Добрый день!
Можно ли как нибудь подключить сетевой диск до входа пользователя?
Необходимо, чтобы ПК сам включился в 23:00 и потом отработал планировщик в 23:10. В планировщике указан скрипт, который сделает бэкап с сетевого диска на локальный.
Можно ли до входа пользователя подключить сетевой диск?
Либо выполнить подключение диска в скрипте планировщика? Но диск подключается exe файлом, так как логин и пароль от сетевого диска утеряны. Пробовал в скрипте указать подключение диска строкой: C:\Backup1c\base1c.exe. Не помогло.
Обычно для такого используют логон скрипты с командой net use…
Автор, еще раз спасибо за статьи!
У меня RDS сервер и доступ к приложениям идет через web.
Люди как бы качают ярлычек, запускают и работают. Все отлично, но даже после того, как на RDS сервере прописал в реестре нужный ключ — сетевых дисков нету… Случаем не знаешь чем помочь?
Не понял, о каком ключе идет речь.
Если не применяются GPO с сетевыми дисками нужно проверять применя.тся ли они к пользователю. Вам в помощь:
https://winitpro.ru/index.php/2014/08/15/gpresult-diagnostika-primeneniya-gruppovyx-politik/
https://winitpro.ru/index.php/2019/03/18/primenenie-gpo-spravka-admina/
Можно ли подключит политику сопоставления дисков на группу в которой только компьютеры ?
в теории да, используя режим замыкания
На практике нужно проверить
В шоу бизнесе есть такое понятие как «целевая аудитория». Вам бы тоже определиться какая аудитория ваша. Не думаю, что она наполнена сис.админами, работающими с англоязычными серверами. Такие люди как правило сами с усами.
Скажите пожалуйста или дайте ссылку на ресурс, как можно сконфигурировать эту групповую политику через powershell? Я пишу скрипт для полной автоматизации настройки сети и мне необходимо смонтировать сетевые диски для группы пользователей AD.
Настройка GPO через PowerShell довольно ограничена. програмно по сути настриваются только registry gpp.
https://winitpro.ru/index.php/2021/10/18/upravlenie-gpo-v-active-directory-powershell/
Если нужно идти именно по такому пути, наверно вам проще будет разобраться как через реестр монтировать диски при входе (HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run)
попробовал как тут описано, на win7 не появляется ничего
заработало когда выставил в defolt domain policy
Server 2019,клиентские машины в домене на win7. Сработало только с параметром «Создать». Иначе диски не появлялись,но и то работает через раз,на административных учетных записях диски подключаются постоянно. На ограниченных через раз,сейчас есть,а после перезагрузки их уже нет.
А как подключить каждому пользователю свой персональный диск
Например в формате \\имяфайлсервера\Personal\ИмяФамилияСотрудника
используя переменную %username% выводится логин пользователя, а я хочу именно выводимое имя…
Ваш сценарий через GPO не реализвать. Просто нет такой переменной в переменных окружения GPP. Если очень надо, придется смотреть в сторону логон скриптов для подключения сетевых дисков при входе пользователя.
Чем плох username?
тем что выводимое имя отображает полные инициалы, а логины у меня в формате первая буква имени и фамилия; например Popov Andrei- выводимое имя; логин apopov
Соответственно персональный диск будет отображаться как \\имяфайлсервера\Personal\apopov
А хотелось бы с полными инициалами
поэтому я и ищу переменную выводимого имени а не логина
Ребят, может кто нибудь сталкивался с такой проблемой что диски мапятся, но через промежуток времени при автоматичком обновлении политик, диски отключаются и повторно подключаются?
проверь не стоит ли замыкании политик ,фаервол, банально какой ип стоит на файловом сервере(статика или dhcp)
Фаерволл проверяли и выключали, айпи статика.
Настройте вот эту политику Сomputer Configuration/Administrative Templates/System/Group Policy/Configure Drive Maps preference extension policy processing. Включит ее, и установите все три галки. Вторая галка отключит применение мапинга дисков в фоновом режиме. Диски будут мапиться только при логоне пользователя.
Run in logged on users’s security context-за что вообще отвечает эта опция?
По умолчанию GPP отрабатывает в контексте безопасности SYSTEM . ПРи включении опции Run in logged-on user’s security context, GPP отрабатывает с правами текущего пользователя. Это нужно для получения доступа от имени пользователя, а не компьютера
Столкнулся со следующей проблемой:
Сетевой диск подключил через групповые политики. У всех пользователей в домене он появился, но!
Вордовские файлы открываются в защищённом режиме и каждый раз нужно жать на кнопку «Разрешить редактирование». Подскажите, пожалуйста, что нужно сделать. Может как-то надо в политиках добавлять сетевой диск в доверенные источники или что-то в этом роде?
В ворде есть вкладка «защищенный просмотр» там можете снять галку. Или добавить ваш диск в надежные расположения. Эта вкладка находится по пути «параметры-центр управления безопасностью» и в его настройках есть оба пункта,которые указал выше.
Спасибо за подсказку, но я не совсем это хотел узнать. Дело в том что в домене параллельно есть старый сетевой диск. Физически он располагается на сервере с Windows Server 2003, подключается не через групповые политики, а через js-скрипт (функцией MapNetworkDrive). Так вот на старом сетевом диске документы открываются также как на локальном, безо всяких защищённых режимов и ничего править в настройках Ворда не нужно. В чём тут дело? Это что какие-то заморочки в плане безопасности в Windows Server 2019, или всё-таки можно настроить сопоставление дисков через групповые политики так чтобы не нужно было лезть в Ворд на каждой машине в домене?
Вы подключаете сетевые диски по IP адресу или короткому имени? Попробуйте исопльзовать FQDN имя файлового сервера при подключении сетевой папки.
Также в admx шаблонах GPO для Office есть опция:»Do not open files in unsafe locations in Protected View»
User Configuration -> Administrative Templates -> Microsoft Word 2016 -> Excel Options -> Security -> Trust Center -> Protected View
Но в общем0то не рекомендуется отключить эту защиту.
Похоже что вы меня не поняли, потому что ответ на мой вопрос находится в вашей статье на этом же
сайте:
https://winitpro.ru/index.php/2015/03/06/otklyuchaem-preduprezhdenie-sistemy-bezopasnosti-v-windows-7/
в разделе «Предупреждение безопасности при запуске приложений из сетевого каталога» (если вы,
конечно, один человек, а не коллектив авторов).
Проблему решил через групповые политики:
Computer Configuration -> Administrative Templates -> Windows Components -> Internet Explorer -> Internet Control Panel -> Security Page (Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Internet Explorer -> Панель управления браузером -> Вкладка безопасность)
где включил политику «Сайты Интрасети: все сайты, не перечисленные в других зонах Intranet Sites: Include all local (intranet) sites not listed in other zones»
+ включил и прописал адреса в: «Site to Zone Assignment List (Список назначений зоны для веб-сайтов)»
адреса прописал во всех возможных вариантах: через IP, через имена, с правыми слешами, с левыми
слешами, с «file:» впереди. Прописал адрес сетевого диска в отдельности и всей локальной сети с
помощью звёздочки.
Судя по-всему проблема возникла из-за перехода с SMB 1.0 на SMB более высокой версии, для которой и
требуются эти пляски с бубном.
Мне кажется, что эту информацию следует включить в текст статьи, раз уж без этой настройки полученный сетевой диск распознаётся Windows как находящийся за пределами локальной сети и раз уж решение
вызванной отсутствием этих настроек проблемы неочевидно даже для автора.
Вы не могли бы подсказать как через GPO можно было бы сопоставить данные, но чтобы можно было вводить учетные данные пользователя из другого домена, раз теперь эта опция неактивна?
Придетс использовать логон скрипты. В самом простом случае что то типа
net use \\server\share /user:
Если каждый пользователь должен подключать сетевой диск под персональный учетной записью, можно запростить учетку и подключить диск с помощью PowerShell:
$cred = Get-Credential -CredentialNew-PSDrive -Name "S" -Root "\\Server01\Scripts" -Persist -PSProvider "FileSystem" -Credential $cred
на Win11 не подключает автоматически сетевой диск.
сеть без домена, соединение по Wifi — не очень стабильное в том плане, что покрытие где то на 70% в среднем.
если руками зайти в подключение сетевого диска, и выбрать, то всё работает и подключает; ставим галку — автоматически входить, перегружаем — нет диска.
сделал как в Win10 — через *.bat с задержкой в 10 секунд, на случай, если WiFi цепляет долго (такое иногда бывает) — не работатет.
приходится каждый раз подключать руками. причём пароль не спрашивает — просто «подключить сетевой» — выбрали путь из списка и ок.
в чем может быть причина? и как-то можно еще сделать, чтобы автоматом цепляло?
Команду нужно запускать под пользователем. Если запускаете с правами админа (или от system), вы не увидите сетевой диск
Посмотрите про параметр реестра EnableLinkedConnections
https://winitpro.ru/index.php/2015/03/11/nework-disk-access-from-elevated-programs/
Если не поможет, посмотрите статью
https://winitpro.ru/index.php/2018/11/27/ne-podklyuchayutsya-setevye-diski-v-windows/
Добрый день, хотел узнать можно ли как то указать параметры Drive Map (Сопоставление дисков) через PowerShell.
К примеру создать новую политику (через New-ADGroup) и в нее передать параметры подключения диска (Название, Букву диска, Сетевой путь).
Знаю как подключить диск через PowerShell с использованием (New-PSDrive). Но хотелось бы чтобы диски Групп/Подразделений мапились через GPO.
Поэтому ищу варианты как сделать процесс максимально проще. На PowerShell много завязано. И хотелось бы один раз в одном единственном скрипте ввести название Группы/Подразделения, и все остальное создалось согласно правилам описанным в др.скриптах которые завязаны на передаче переменной (название Группы/Подразделения).
P.S.
Знаю что в политике GPO можно через PowerShell Добавлять/Изменять/Удалять «Ключи реестра», но пока не нашел примеров или описания как где в реестре хранится информация о подключенных сетевых дисках.
На просторах находил файл https://www.microsoft.com/en-us/download/details.aspx?id=56946, в нем хранится ключи реестра которые изменяются при редактировании GPO. Но к сожалению там нет данных по Drive Map (Сопоставление дисков)
Почему то политика не работает если привязать к OU users, только если привязать к OU computers, с чем может быть связано?
Этот параметр из раздела User Configuration, поэтому к целевым пользователям он как-раз таки и должен применяться. Делайте gpresult, смотрите назначена ли политика на пользователя — если да, смотрите логи GPP почему она не применяется.
Возможно, что это RDS. У меня тоже не работает политика на RDS, если назначить её пользователям. Только после добавления её к OU с RDS начинает отрабатывать.
Да RDS, чтобы политика заработала на RDS и на рабочих станциях пришлось применять политику к Computers и Users
Здравствуйте.
А как можно убрать Reconnect если он был установлен, но теперь не нужен? Создать политику с параметром Replace и без Reconnect?
Снять галку Reconnect и проверить, что Action -> Replace. Это должно переопределить настройки.
Хорошая статья, мне только не хватило инфы про подключение диска еще и в rdp-сессии, когда заходишь и он там тоже цепляется политикой
Политика монтирования дисков будет работать и в RDP/RDS сессии. Отличий нет.
Добрый день.
А возможно сделать так, чтобы сетевой диск, подключался не как сетевой диск, а автоматом попадал в «панель быстрого доступа»?
Вот тут пример PowerShell скрипта для добавления UNC путей в панель quick access:
https://winitpro.ru/index.php/2023/08/29/nastroyka-panely-bystrogo-dostupa-window/
Где в журнале событий искать логи подключения сетевых дисков через GPO?
Добрый день!
А как можно реализовать автоматическое создание папки для пользователя с нужными правами, чтобы не делать это вручную?
Монтируйте сетевую папку через путь с переменной окружения.
Например: \\fs01\users\%username%
Подскажите почему сопоставляемый диск появляется не у всех.Перезагрузка была, gpupdate сделал.
Проверяете применилась ли политика к пользователю (gpresult), смотрите логи Group Poiycy, может быть там есть явные ошибки drives mapping.
доброго дня!
А если нужно переподключить уже существующий сетевой диск у пользователя, но с другим путем?
В общем путь надо просто поменять, то как лучше поступить?
Сделать GPP с параметром Replace вместо Update
спасибо!
вопрос не совсем по теме…
А как правильно делать: Указывать группу безопасности в Item level targeting (как у вас в статье ) или указывать ее сразу в «Фильтрах безопасности» политики?
Можно оба варианта. Item level targeting — гибче, а security filters — более хардово и надежно.