Подключение сетевых дисков в Windows через групповую политику

Вы можете использовать групповые политики для гибкого подключения сетевых папок с файловых серверов в виде отдельных сетевых дисков Windows. Исторически для подключения сетевых дисков использовались логон bat скрипты с командой net use U: \\server1\share . Однако групповые политики намного гибче, отрабатывают быстрее и обновляются в фоновом режиме (не нужно выполнять перезагрузку или логоф пользователя для подключения сетевых дисков через GPO).

В этой статье мы покажем, как использовать GPO для подключения сетевых дисков в Windows: рассмотрим подключение общей сетевой папки отдела на основе групп безопасности AD и персональных сетевых дисков пользователей на сетевом хранилище.

Создайте в Active Directory новую группу для отдела менеджеров и добавьте в нее учетные записи сотрудников. Можно создать и наполнить группу из графической консоли ADUC или воспользоваться командлетами PowerShell для управления группами AD (входят в модуль AD PowerShell):

New-ADGroup «SPB-managers» -path ‘OU=Groups,OU=SPB,dc=test,DC=com’ -GroupScope Global -PassThru –Verbose
Add-AdGroupMember -Identity SPB-managers -Members a.novak, r.radojic, a.petrov, n.pavlov

Предположим, у вас есть файловый сервер, на котором хранятся общие сетевые каталоги департаментов. UNC путь к общему рабочему каталогу менеджеров, который нужно подключить всем сотрудникам отдела — \\server1\share\managers .

Теперь нужно создать GPO для подключения данного сетевого каталога в виде диска.

1. Откройте консоль управления доменными GPO — Group Policy Management Console ( gpmc.msc );
2. Создайте новую политику и прилинкуйте ее к OU с учетными записями пользователей, перейдите в режим редактирования политики;
3. Перейдите в секцию GPO User Configuration ->Preferences ->Windows Settings ->Drive Maps. Создайте новый параметр политики New ->Mapped Drive;
4. На вкладке General укажите параметры подключения сетевого диска:
   • • Action: Update (этот режим используется чаше всего);
     • Location: UNC путь к каталогу, который нужно подключить;
     • Label as: метка диска;
     • Reconnect: сделать сетевой диск постоянным (будет переподключаться каждый раз при входе, даже если вы удалите политику – аналог параметра /persistent в net use);
     • Drive Letter – назначить букву диска;
     • Connect as: опция сейчас не доступна, т.к. Microsoft запретила сохранять пароли в Group Policy Preferences.
5. Переключитесь на вкладку Common, включите опции “Run in logged on users’s security context” и “Item-level Targeting”. Затем нажмите на кнопку “Targeting”;
6. Здесь мы укажем, что данная политика должна применяться только к пользователям, которые состоят в группе безопасности AD, созданной ранее. Выберите New Item ->Security Group -> укажите имя группы;
7. Сохраните изменения;
8. После обновления политик в сессии пользователя подключиться сетевой диск, доступный из File Explorer и других программ.

Создадим еще одно правило политики, которое подключает персональные сетевые каталоги пользователей в виде сетевых дисков. Допустим, у вас есть файловый сервер, на котором хранятся личные папки пользователей (на каждую папку назначены индивидуальные NTFS разрешения, чтобы пользователи не могли получить доступ к чужим данным). Вы хотите, чтобы эти каталоги автоматически подключались в сеанс пользователя в виде сетевых дисков.

Создайте для каждого пользователя отдельный каталог, соответствующий его имени в AD ( sAMAccountName ) и назначьте нужные NTFS права.

Создайте еще одно правило подключения дисков в той же самой GPO.

В настройках политики укажите путь к сетевому каталогу с личными папками пользователей в виде \\server1\share\home\%LogonUser% . В качестве метки диска я указал %LogonUser% — Personal .

Сохраните изменения и обновите политики на компьютерах пользователей командой:

Теперь у пользователей должны подключиться новые сетевые диски — персональные каталоги с файлового сервера. Пользователи смогут использовать их для хранения личных данных. Такой сетевой диск будет подключаться на любом компьютере, на который выполнил вход пользователь.

Таким образом в одной GPO вы можете создать множество отдельных параметров с различными условиями подключения сетевых дисков пользователям.

Для выборки различных критериев компьютеров или пользователей при подключении дисков используется функционал таргетинга GPP (в основе лежат wmi фильтры).

How to Map a Shared Folder to Network Drive Using Group Policy

There are two methods for mapping a shared folder to a network drive (using GUI and group policy). I am focusing on the latter method of using a group policy.

I assume you have already shared a folder with the right permissions. You can check my recent article on setting correct permissions for a shared folder.

Map a Shared Folder to Network Drive

Step 1: Open the group policy management console.

Step 2: Right-click on your domain or any specific user’s OU for which you want to map the network drive.

Step 3: Click «Create a GPO in this domain, and Link it here«.

Step 4: Give a meaningful name to the GPO.

Step 5: Right-click on the newly created GPO and choose Edit.

Step 6: Now, go to the following location:

User Configuration -> Preferences -> Windows Settings -> Drive Maps

Step 7: Right-click on Drive Maps and then click New -> Mapped Drive.

Step 8: On the General tab, choose ‘Create’ from the action drop down.

Step 9: Provide the shared folder location, check the Reconnect checkbox, and give a meaningful label as well as a drive letter.

Step 10: Go to the common tab, and choose Run in logged-on user’s security context option.

Step 11: Open the command prompt and execute the gpupdate command to update the group policies.

Map drive with group policy

Долгая обработка GPP на этапе “Applying Group Policy Drive Maps policy” на клиентах RODC Windows Server 2008 R2

На этапе внедрения RODC на базе Windows Server 2008 R2 была замечена проблема связанная с увеличением времени входа в систему на клиентских ПК. Проблема была выявлена на всех площадках где для авторизации в домене и применения групповых политик клиенты использовали RODC. После ввода учетных данных процесс входа в систему на несколько минут «замерзал» на этапе «Applying Group Policy Drive Maps policy». Разумеется, подозрение сразу пало на обработку Group Policy Preferences (GPP) в части обработки подключения сетевых дисков, так как в одной из групповых политик, применяемых в части User Configuration у меня было n-ное количество таких подключаемых дисков через механизмы GPP с использованием для каждого подключения нацеливания (Item-level targeting)

Для подключения разных дисков использовались три вида нацеливания: по членству пользователя в доменной группе, по NetBios имени компьютера и по вхождению пользователя в определенный OU в домене.
Для того чтобы выяснить то, обработка какого именно подключения являлась корнем проблемы пришлось прибегнуть к включению трейсов для обработки параметров GPP. Для этого пришлось в групповой политике применяемой к испытуемому клиентскому компьютеру в разделе Computer Configuration активировать и настроить параметр Policies > Administrative Templates > System > Group Policy >Logging and tracing > Drive Maps Policy Processing.

По умолчанию ведение трейсов выключено и параметры для определения размещения лог файлов ссылаются на каталог %COMMONAPPDATA%GroupPolicyPreferenceTrace.

Как ни странно, я не обнаружил в своих испытуемых системах Windows 7/Windows Server 2008 R2 переменной окружения %COMMONAPPDATA% и поэтому изменил путь для хранения логов с использованием существующей переменной окружения — %programDATA%. В данном случае меня интересовал параметр User trace и его значение получилось у меня таким: %programDATA%GroupPolicyPreferenceTraceUser.log

Уровень логирования пришлось использовать максимальный, чтобы получить весь доступный объем информации о происходящем в процессе обработки GPP. И на всякий случай увеличено было значение максимального размера лог-файла.

После того как новая политика, включающая логирование применения GPP была применена на клиенте с помощью команды gpupdate, был сделано logoff/logon чтобы спровацировать обработку GPP в части подключения сетевых дисков пользователю. Теперь на испытуемом клиентском компьютере в указанном каталоге (C:ProgramDataGroupPolicyPreferenceTrace) был обнаружен файл трассировки User.log

После изучения лога стало понятно, что обработка GPP всех сетевых дисков проходила «на одном дыхании» и заметный провал во времени обработки (более 1 минуты) происходил именно на одном определенном диске — “H:”

Оказалось что это единственный сетевой диск, в котором для нацеливания использовался признак вхождения пользователя в определенный OU в домене. Было принято решение для пробы изменить нацеливание для данного сетевого диска по признаку членства пользователя в доменной группе… Каково же было моё удивление когда время входа в систему сократилось в разы 🙂 Даже покажу лог обработки после внесённых изменений, чтобы не быть голословным

Причем повторюсь, — проблема наблюдалась только на клиентах, которые сидели в сайте с RODC, на клиентах же имеющих в сайте полноценные DC такой «бяки» замечено не было.
Исходя из этой истории, напрашивается вывод о том, что к применению Item-Level targeting нужно подходить с аккуратностью и предварительной обкаткой разных вариантов, тем более GPP предоставляет нам хороший выбор таких вариантов.

How to map a Drive using Group Policy Preferences on Windows 10

Mapping network drives using Group Policy preferences is flexible, provides easy control over who receives the drive mappings, and has easy-to-use user interfaces, all of which are in stark contrast with the complexities associated with scripts. In this post, we will show you how to map a Drive using Group Policy Preferences on Windows 10.

Group Policy preferences are a set of extensions that increase the functionality of Group Policy Objects (GPOs). Administrators can use them to deploy and manage applications on client computers with configurations targeted to specific users. The Drive Maps policy in Group Policy preferences allows an administrator to manage drive letter mappings to network shares.

Map a Network Drive using Group Policy Preferences

To map a Network Drive using Group Policy Preferences, do the following:

• Open Group Policy Management.
• Right-click the domain or the required subfolder to create a new GPO, or select an already existing one.
• Right-click and select Edit to open the Group Policy Management Editor.
• Go to User Configuration >Preferences >Windows Settings >Drive Maps.
• Right-click and select New >Mapped Drive.

Under the General tab, configure the following parameters accordingly:

Action: Select Create or Update.

Location: Specify the full file path, e.g. \\TWC-dc1\c.

Reconnect: Enable this to auto-connect the drive.

Label as: Pick a suitable name for the shared drive, e.g. SharedDrive.

Drive Letter: Select a suitable letter for the drive.

Connect as: Enter a username and password if you want users to connect with certain credentials other than their own Windows login credentials.

Hide/Show this drive: Select whether you want to hide the folder or make it visible on the network.

Hide/Show all drives: Select whether, by default, all the shared drives/folders are hidden or visible.

Click Apply > OK when done with setting the parameters.

For the settings to take effect, open a Command Prompt on the computer receiving the drive mapping, and type the command below and hit Enter.

Once the Group Policy settings have taken effect on the desired users/computers, the mapped drives should automatically appear under Network Location(s) in File Explorer.

Now when the users’ logon the drives will be effortlessly mapped.