Подключение сетевых дисков в Windows через групповую политику

Вы можете использовать групповые политики для гибкого подключения сетевых папок с файловых серверов в виде отдельных сетевых дисков Windows. Исторически для подключения сетевых дисков использовались логон bat скрипты с командой net use U: \\server1\share. Однако групповые политики намного гибче, отрабатывают быстрее и обновляются в фоновом режиме (не нужно выполнять перезагрузку или логоф пользователя для подключения сетевых дисков через GPO).

В этой статье мы покажем, как использовать GPO для подключения сетевых дисков в Windows: рассмотрим подключение общей сетевой папки отдела на основе групп безопасности AD и персональных сетевых дисков пользователей на сетевом хранилище.

Поддержка подключения сетевых дисков в GPO появилась в Windows Server 2008.

Создайте в Active Directory новую группу для отдела менеджеров и добавьте в нее учетные записи сотрудников. Можно создать и наполнить группу из графической консоли ADUC или воспользоваться командлетами PowerShell для управления группами AD (входят в модуль AD PowerShell):

New-ADGroup "SPB-managers" -path 'OU=Groups,OU=SPB,dc=test,DC=com' -GroupScope Global -PassThru –Verbose
Add-AdGroupMember -Identity SPB-managers -Members a.novak, r.radojic, a.petrov, n.pavlov

Для создание автоматически наполняющихся групп AD можно использовать скрипт из статьи Динамические группы в Active Directory.

Предположим, у вас есть файловый сервер, на котором хранятся общие сетевые каталоги департаментов. UNC путь к общему рабочему каталогу менеджеров, который нужно подключить всем сотрудникам отдела — \\server1\share\managers.

Теперь нужно создать GPO для подключения данного сетевого каталога в виде диска.

  1. Откройте консоль управления доменными GPO — Group Policy Management Console (gpmc.msc);
  2. Создайте новую политику и прилинкуйте ее к OU с учетными записями пользователей, перейдите в режим редактирования политики; создать gpo для подключения сетевых дисков
  3. Перейдите в секцию GPO User Configuration -> Preferences -> Windows Settings -> Drive Maps. Создайте новый параметр политики New -> Mapped Drive; gpo для подключения диска
  4. На вкладке General укажите параметры подключения сетевого диска:
      • Action: Update (этот режим используется чаше всего);
      • Location: UNC путь к каталогу, который нужно подключить;
      • Label as: метка диска;
      • Reconnect: сделать сетевой диск постоянным (будет переподключаться каждый раз при входе, даже если вы удалите политику – аналог параметра /persistent в net use);
      • Drive Letter – назначить букву диска;
      • Connect as: опция сейчас не доступна, т.к. Microsoft запретила сохранять пароли в Group Policy Preferences. настройки подключения сетевого диска политикой
  5. Переключитесь на вкладку Common, включите опции “Run in logged on users’s security context” и “Item-level Targeting”. Затем нажмите на кнопку “Targeting”;
  6. Здесь мы укажем, что данная политика должна применяться только к пользователям, которые состоят в группе безопасности AD, созданной ранее. Выберите New Item -> Security Group -> укажите имя группы; gpo - таргетинг на пользователей, состоящих в определенной группе AD
  7. Сохраните изменения;
  8. После обновления политик в сессии пользователя подключиться сетевой диск, доступный из File Explorer и других программ. сетевой диск подключенные через политику в сессии пользователя
Если подключенные сетевые диски не доступны из программ, запущенных с правами администратора, нужно использовать специальный параметр реестра EnableLinkedConnections (его можно распространить через GPO).

Создадим еще одно правило политики, которое подключает персональные сетевые каталоги пользователей в виде сетевых дисков. Допустим, у вас есть файловый сервер, на котором хранятся личные папки пользователей (на каждую папку назначены индивидуальные NTFS разрешения, чтобы пользователи не могли получить доступ к чужим данным). Вы хотите, чтобы эти каталоги автоматически подключались в сеанс пользователя в виде сетевых дисков.

Создайте для каждого пользователя отдельный каталог, соответствующий его имени в AD (sAMAccountName) и назначьте нужные NTFS права.

серер с личными каталогами пользователей

Создайте еще одно правило подключения дисков в той же самой GPO.

новое условия подключение сетевого диска

В настройках политики укажите путь к сетевому каталогу с личными папками пользователей в виде \\server1\share\home\%LogonUser%. В качестве метки диска я указал %LogonUser% - Personal.

подключение сетевого диска политикой по logonusername

Полный список переменных окружения, которые можно использовать в GPP можно вывести, нажав клавишу F3.

Сохраните изменения и обновите политики на компьютерах пользователей командой:

gpudate /force

Теперь у пользователей должны подключиться новые сетевые диски — персональные каталоги с файлового сервера. Пользователи смогут использовать их для хранения личных данных. Такой сетевой диск будет подключаться на любом компьютере, на который выполнил вход пользователь.

подключение персонального сетевого диска с личными данными через gpo

В Windows 10 1809 была проблема с подключением сетевых дисков, для исправления нужно установить специальный патч.

Таким образом в одной GPO вы можете создать множество отдельных параметров с различными условиями подключения сетевых дисков пользователям.

групповые политики для подключения сетевых дисков в windows

Для выборки различных критериев компьютеров или пользователей при подключении дисков используется функционал таргетинга GPP (в основе лежат wmi фильтры).


Предыдущая статья Следующая статья


Комментариев: 5 Оставить комментарий

Оставить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Я не робот( Обязательно отметьте)