Вы можете использовать групповые политики для гибкого подключения сетевых папок с файловых серверов в виде отдельных сетевых дисков Windows. Исторически для подключения сетевых дисков использовались логон bat скрипты с командой
net use U: \\server1\share
. Однако групповые политики намного гибче, отрабатывают быстрее и обновляются в фоновом режиме (не нужно выполнять перезагрузку или логоф пользователя для подключения сетевых дисков через GPO).
В этой статье мы покажем, как использовать GPO для подключения сетевых дисков в Windows: рассмотрим подключение общей сетевой папки отдела на основе групп безопасности AD и персональных сетевых дисков пользователей на сетевом хранилище.
Создайте в Active Directory новую группу для отдела менеджеров и добавьте в нее учетные записи сотрудников. Можно создать и наполнить группу из графической консоли ADUC или воспользоваться командлетами PowerShell для управления группами AD (входят в модуль AD PowerShell):
New-ADGroup "SPB-managers" -path 'OU=Groups,OU=SPB,dc=test,DC=com' -GroupScope Global -PassThru –Verbose
Add-AdGroupMember -Identity SPB-managers -Members a.novak, r.radojic, a.petrov, n.pavlov
Предположим, у вас есть файловый сервер, на котором хранятся общие сетевые каталоги департаментов. UNC путь к общему рабочему каталогу менеджеров, который нужно подключить всем сотрудникам отдела —
\\server1\share\managers
.
Теперь нужно создать GPO для подключения данного сетевого каталога в виде диска.
- Откройте консоль управления доменными GPO — Group Policy Management Console (
gpmc.msc); - Создайте новую политику и прилинкуйте ее к OU с учетными записями пользователей, перейдите в режим редактирования политики;
- Перейдите в секцию GPO User Configuration -> Preferences -> Windows Settings -> Drive Maps. Создайте новый параметр политики New -> Mapped Drive;
- На вкладке General укажите параметры подключения сетевого диска:
- Action: Update (этот режим используется чаше всего);
- Location: UNC путь к каталогу, который нужно подключить;
- Label as: метка диска;
- Reconnect: сделать сетевой диск постоянным (будет переподключаться каждый раз при входе, даже если вы удалите политику – аналог параметра /persistent в net use);
- Drive Letter – назначить букву диска;
- Connect as: опция сейчас не доступна, т.к. Microsoft запретила сохранять пароли в Group Policy Preferences.
- Переключитесь на вкладку Common, включите опции “Run in logged on users’s security context” и “Item-level Targeting”. Затем нажмите на кнопку “Targeting”;
- Здесь мы укажем, что данная политика должна применяться только к пользователям, которые состоят в группе безопасности AD, созданной ранее. Выберите New Item -> Security Group -> укажите имя группы;
- Сохраните изменения;
- После обновления политик в сессии пользователя подключиться сетевой диск, доступный из File Explorer и других программ.
Создадим еще одно правило политики, которое подключает персональные сетевые каталоги пользователей в виде сетевых дисков. Допустим, у вас есть файловый сервер, на котором хранятся личные папки пользователей (на каждую папку назначены индивидуальные NTFS разрешения, чтобы пользователи не могли получить доступ к чужим данным). Вы хотите, чтобы эти каталоги автоматически подключались в сеанс пользователя в виде сетевых дисков.
Создайте для каждого пользователя отдельный каталог, соответствующий его имени в AD (
sAMAccountName
) и назначьте нужные NTFS права.
Создайте еще одно правило подключения дисков в той же самой GPO.
В настройках политики укажите путь к сетевому каталогу с личными папками пользователей в виде
\\server1\share\home\%LogonUser%
. В качестве метки диска я указал
%LogonUser% - Personal
.
Сохраните изменения и обновите политики на компьютерах пользователей командой:
gpudate /force
Теперь у пользователей должны подключиться новые сетевые диски — персональные каталоги с файлового сервера. Пользователи смогут использовать их для хранения личных данных. Такой сетевой диск будет подключаться на любом компьютере, на который выполнил вход пользователь.
Таким образом в одной GPO вы можете создать множество отдельных параметров с различными условиями подключения сетевых дисков пользователям.
Для выборки различных критериев компьютеров или пользователей при подключении дисков используется функционал таргетинга GPP (в основе лежат wmi фильтры).
А зачем указывать группу безопасности в «Common» ? На чистом домене работает без !
Вы сами то поняли что написали??? Или может читали невнимательно? Откройте гугл и почитайте про назначения галок. В данном случае было требование подмапить диск только для пользователей из одного отдела, объединенных в одну группу. Этого можно достичь через «Item-level Targeting» (как сделал автор). Или также через Security Filter.
«Однако групповые политики намного гибче, отрабатывают быстрее и обновляются в фоновом режиме (не нужно выполнять перезагрузку или логоф пользователя для подключения сетевых дисков через GPO)»
Сдается мне, что автор вводит в заблуждение читателя. Вы читали про Synchronous/Asynchronous Processing? Такие client-side extension как Software Installation, Folder Redirection, Drive Mappings Preferences работают только синхронно. Если говорить про мапинг дисков для пользователей, то если пользователь залогинен, и при появлении новой политики с мапингом диска — без перелогона он не подмапится. В cmd при обновлении политик вы увидите соответствующее сообщение.
Как всегда спасибо за конструктивное замечание 🙂 ! но тут есть нюанс.
Начиная с Windows 8 CSE Group Policy Preference Drive Maps не требует обязательного синхронного режима. Параметры этой политики могут применяться и в фоновом режиме, асинхронно. Только что проверил: создал новый сетевой диск в политике и он в течении часа появился у пользователя без перелогина .
Да, вы правы. На Windows 10 после gpupdate появился сразу без перелогона, в отличие от Windows 7. Спасибо за полезное наблюдение.
Добрый день!
Можно ли как нибудь подключить сетевой диск до входа пользователя?
Необходимо, чтобы ПК сам включился в 23:00 и потом отработал планировщик в 23:10. В планировщике указан скрипт, который сделает бэкап с сетевого диска на локальный.
Можно ли до входа пользователя подключить сетевой диск?
Либо выполнить подключение диска в скрипте планировщика? Но диск подключается exe файлом, так как логин и пароль от сетевого диска утеряны. Пробовал в скрипте указать подключение диска строкой: C:\Backup1c\base1c.exe. Не помогло.
Обычно для такого используют логон скрипты с командой net use…
Автор, еще раз спасибо за статьи!
У меня RDS сервер и доступ к приложениям идет через web.
Люди как бы качают ярлычек, запускают и работают. Все отлично, но даже после того, как на RDS сервере прописал в реестре нужный ключ — сетевых дисков нету… Случаем не знаешь чем помочь?
Не понял, о каком ключе идет речь.
Если не применяются GPO с сетевыми дисками нужно проверять применя.тся ли они к пользователю. Вам в помощь:
https://winitpro.ru/index.php/2014/08/15/gpresult-diagnostika-primeneniya-gruppovyx-politik/
https://winitpro.ru/index.php/2019/03/18/primenenie-gpo-spravka-admina/
Можно ли подключит политику сопоставления дисков на группу в которой только компьютеры ?
в теории да, используя режим замыкания
На практике нужно проверить
В шоу бизнесе есть такое понятие как «целевая аудитория». Вам бы тоже определиться какая аудитория ваша. Не думаю, что она наполнена сис.админами, работающими с англоязычными серверами. Такие люди как правило сами с усами.
Скажите пожалуйста или дайте ссылку на ресурс, как можно сконфигурировать эту групповую политику через powershell? Я пишу скрипт для полной автоматизации настройки сети и мне необходимо смонтировать сетевые диски для группы пользователей AD.
Настройка GPO через PowerShell довольно ограничена. програмно по сути настриваются только registry gpp.
https://winitpro.ru/index.php/2021/10/18/upravlenie-gpo-v-active-directory-powershell/
Если нужно идти именно по такому пути, наверно вам проще будет разобраться как через реестр монтировать диски при входе (HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run)
попробовал как тут описано, на win7 не появляется ничего
заработало когда выставил в defolt domain policy
Server 2019,клиентские машины в домене на win7. Сработало только с параметром «Создать». Иначе диски не появлялись,но и то работает через раз,на административных учетных записях диски подключаются постоянно. На ограниченных через раз,сейчас есть,а после перезагрузки их уже нет.
А как подключить каждому пользователю свой персональный диск
Например в формате \\имяфайлсервера\Personal\ИмяФамилияСотрудника
используя переменную %username% выводится логин пользователя, а я хочу именно выводимое имя…
Ваш сценарий через GPO не реализвать. Просто нет такой переменной в переменных окружения GPP. Если очень надо, придется смотреть в сторону логон скриптов для подключения сетевых дисков при входе пользователя.
Чем плох username?
тем что выводимое имя отображает полные инициалы, а логины у меня в формате первая буква имени и фамилия; например Popov Andrei- выводимое имя; логин apopov
Соответственно персональный диск будет отображаться как \\имяфайлсервера\Personal\apopov
А хотелось бы с полными инициалами
поэтому я и ищу переменную выводимого имени а не логина
Ребят, может кто нибудь сталкивался с такой проблемой что диски мапятся, но через промежуток времени при автоматичком обновлении политик, диски отключаются и повторно подключаются?
проверь не стоит ли замыкании политик ,фаервол, банально какой ип стоит на файловом сервере(статика или dhcp)
Фаерволл проверяли и выключали, айпи статика.
Настройте вот эту политику Сomputer Configuration/Administrative Templates/System/Group Policy/Configure Drive Maps preference extension policy processing. Включит ее, и установите все три галки. Вторая галка отключит применение мапинга дисков в фоновом режиме. Диски будут мапиться только при логоне пользователя.
Run in logged on users’s security context-за что вообще отвечает эта опция?
По умолчанию GPP отрабатывает в контексте безопасности SYSTEM . ПРи включении опции Run in logged-on user’s security context, GPP отрабатывает с правами текущего пользователя. Это нужно для получения доступа от имени пользователя, а не компьютера
Столкнулся со следующей проблемой:
Сетевой диск подключил через групповые политики. У всех пользователей в домене он появился, но!
Вордовские файлы открываются в защищённом режиме и каждый раз нужно жать на кнопку «Разрешить редактирование». Подскажите, пожалуйста, что нужно сделать. Может как-то надо в политиках добавлять сетевой диск в доверенные источники или что-то в этом роде?
В ворде есть вкладка «защищенный просмотр» там можете снять галку. Или добавить ваш диск в надежные расположения. Эта вкладка находится по пути «параметры-центр управления безопасностью» и в его настройках есть оба пункта,которые указал выше.
Спасибо за подсказку, но я не совсем это хотел узнать. Дело в том что в домене параллельно есть старый сетевой диск. Физически он располагается на сервере с Windows Server 2003, подключается не через групповые политики, а через js-скрипт (функцией MapNetworkDrive). Так вот на старом сетевом диске документы открываются также как на локальном, безо всяких защищённых режимов и ничего править в настройках Ворда не нужно. В чём тут дело? Это что какие-то заморочки в плане безопасности в Windows Server 2019, или всё-таки можно настроить сопоставление дисков через групповые политики так чтобы не нужно было лезть в Ворд на каждой машине в домене?
Вы подключаете сетевые диски по IP адресу или короткому имени? Попробуйте исопльзовать FQDN имя файлового сервера при подключении сетевой папки.
Также в admx шаблонах GPO для Office есть опция:»Do not open files in unsafe locations in Protected View»
User Configuration -> Administrative Templates -> Microsoft Word 2016 -> Excel Options -> Security -> Trust Center -> Protected View
Но в общем0то не рекомендуется отключить эту защиту.
Похоже что вы меня не поняли, потому что ответ на мой вопрос находится в вашей статье на этом же
сайте:
https://winitpro.ru/index.php/2015/03/06/otklyuchaem-preduprezhdenie-sistemy-bezopasnosti-v-windows-7/
в разделе «Предупреждение безопасности при запуске приложений из сетевого каталога» (если вы,
конечно, один человек, а не коллектив авторов).
Проблему решил через групповые политики:
Computer Configuration -> Administrative Templates -> Windows Components -> Internet Explorer -> Internet Control Panel -> Security Page (Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Internet Explorer -> Панель управления браузером -> Вкладка безопасность)
где включил политику «Сайты Интрасети: все сайты, не перечисленные в других зонах Intranet Sites: Include all local (intranet) sites not listed in other zones»
+ включил и прописал адреса в: «Site to Zone Assignment List (Список назначений зоны для веб-сайтов)»
адреса прописал во всех возможных вариантах: через IP, через имена, с правыми слешами, с левыми
слешами, с «file:» впереди. Прописал адрес сетевого диска в отдельности и всей локальной сети с
помощью звёздочки.
Судя по-всему проблема возникла из-за перехода с SMB 1.0 на SMB более высокой версии, для которой и
требуются эти пляски с бубном.
Мне кажется, что эту информацию следует включить в текст статьи, раз уж без этой настройки полученный сетевой диск распознаётся Windows как находящийся за пределами локальной сети и раз уж решение
вызванной отсутствием этих настроек проблемы неочевидно даже для автора.