مپ درایو

۱. اتفاقا الان اومدم کامنتم رو ویرایش کنم و بگم که enforce هم کردم ولی بازم مپ درایوش نیومد.

۲. حالا تداخل که نه. بهتره بگم برای بحث نظمش. اینکه تمام گروه‌هایی که براشون پالیسی شیرفولدر اعمال می‌شه توی یه ou باشن، احساس کردم منظم‌تره این‌طوری. ولی بازم می‌گم، اگه این گروه رو ببرم توی همون ou اصلی‌م که users هست، به نظرم تفاوتی ایجاد نمی‌شه بازم.

۳. شاید این لینک به شمام کمک کنه.

با توجه به پست های قبلی شما تصویری که گذاشتین به نظر میاد که ILT را تنظیم کردین!

برای مسیله ای که داشتین و مطابق با آن سناریو خودتون را پیاده سازی کردین و مشکل از آنجا هستش که پالیسی به کاربرانی که دسترسی ندارند، اعمال می شود ولی ضربدر قرمز می خورند، کافی بود پالیسی به OU تمام کاربران لینک شود و داخل کنسول مدیریت پالیسی، پالیسی Map Drive را انتخاب کنید، در تب Scope، قسمت Security Filtering، گروه Authenticated Users را Remove کنید و گرو هایی که ایجاد کردید را در این بخش Add کنید.

1- شما می تونید map رو بر اساس security groups بنویسید ، چرا دارید بر اساس OU مینویسید ؟

2- با gpupdate /force مطمئن شید که سیستم ها policy رو گرفته اند.

3- مدل آدرس گروه هاتون یه مقدار شک برانگیزه. یکیش 

pnp\mika و دیگری pnp\paya\users

اون paya چیه ؟ اگه paya یک ou هستش ، می تونستید به این صورت عضو بگیرید : pnp\paya به نظرم تو عضویت دادن به گروه ها ایراد دارید.

این عکس پالیسی

اینم عکس گروهی که توی اون ou هست و یوزر داخلشه

با اینکه پالیسی‌هارو آپدیت هم کردم، اما مپ درایو براش باز نشده

جناب قلی‌پور ممنون از پاسخ شما.

راستش سناریوی من که مشخصه. پوشه‌ای که باید همه ببینن و استفاده کنن رو داریم.

من مشکلم رو چند باری توی همین تاپیک گفتم. می‌خوام مپ درایو از طریق پالیسی بسازم. یه ou ساختم فقط برای فولدرهای shareشده، توی این ou گروه‌های مختلفی می‌خوام بسازم که هر کدوم یوزرهای مختلفی دارن (طبیعتاً دسترسی به پوشه‌ها بر اساس همین سناریو انجام می‌شه). موقعی که از طریق پالیسی برای این ou مپ درایو ساخته می‌شه، مپ درایو برای یوزر ایجاد نمی‌شه. اما اگه همین یوزر مستقیما توی ou باشه، مپ درایو براش ساخته می‌شه. نمی‌دونم این گروه‌هایی که می‌سازم چه مشکلی دارن واقعا.

جناب مقدم این روش هم جواب نداد و درایو ساخته نشد.

شما خودتون این سناریو رو پیاده کردید؟

این خروجی فایل هست (خود فایل رو نتونستم اینجا بذارم)

1- enforce کنید و مطمئن شید اعمال شده.

2- چه تداخلی ؟ مثلا با wsus یا pass که تو تصویر هست ؟

3-network location ها می دونم که خودکار میان و ایده ای ندارم براشون

با تشکر از پاسخ شما جناب آقامیری.

در مورد شماره‌ی ۱:

توی گروپ‌پالیسی ما فقط می‌تونیم پالیسی رو به یه ou اختصاص بدیم دیگه درسته؟ این سکیوریتی گروپ که فرمودین رو متوجه نشدم راستش که چطوری باهاش مپ رو بنویسم.

۲. دستور آپدیت پالیسی رو که حتما می‌زنم. ولی مشکلم همونیه که عرض کردم. اگه یوزر توی ou باشه، پالیسی رو به راحتی می‌گیره. اما اگه یوزر توی یه گروه باشه و اون گروهه عضو ou باشه، انگار پالیسی روش اعمال نمی‌شه (منم حس می‌کنم مشکل از همین بحث گروه هست)

۳. راستش من چون قبلی‌ها جواب نداد، پاک‌شون کردم. اما الان وضعیتم به صورت شکل زیر هست

یعنی یه ou هست که داخلش یه گروهه، داخل گروه یه یوزر هست. من می‌خوام ببینم آیا می‌تونم برای مپ درایو بسازم یا نه. الان این کاری که کردم جاییش ایرادی داره؟ اون paya که می‌فرمایید چیه، همون ou اصلی هست که یوزرها داخلشن (که البته داخلش ouیی هست به نام users)

خب صحبتم همینه دیگه

ولی حالا اگه همین یوزر از گروه بیرون باشه و مستقیما توی ou باشه، مپ درایو براش ساخته می شه

والا من سعی کردم خیلی کامل توضیح بدم جناب باغی. اما دوباره سناریو رو می‌گم خدمتتون

ببینید فکر کنید من ۱۰۰ تا یوزر دارم. ۵۰ تاشون باید فولدر 1 رو ببینن

که از این ۵۰ تا، می‌خوام ۲۵ تا دسترسی خواندن داشته باشن، ۲۵ تا دسترسی نوشتن.

۵۰ تای بعدی فولدر ۲ رو ببینن که از این ۵۰ تا هم، می‌خوام ۲۵ تا دسترسی خواندن داشته باشن، ۲۵ تا دسترسی نوشتن.

خب مورد اول اینه که نمی‌شه فولدر share درست کرد و رفت نشست و دونه دونه پشت سیستما از طریق run با \\ براشون مپ درایو درست کرد

من می‌خوام این کار رو از طریق گروپ پالیسی انجام بدم.

خب بهترین کار اینه که ۴ تا گروه طبق همین سناریویی که گفتم بسازم. به دو گروه دسترسی به پوشه اول، به دو گروه بعدی دسترسی به پوشه دوم. هرکدوم هم خواندن و نوشتن‌شون براشون تعیین می‌شه.

اگه می‌خواید بدونید چرا می‌خوام این کارو بکنم، خب به این دلیل که اگه یه وقت کسی بخواد اضافه بشه، یا کم بشه،‌ به راحتی از طریق سرور بتونم این حذف و اضافه‌هارو انجام بدم.

حالا مشکل اینه که وقتی گروه‌ها رو به ou اضافه می‌کنم و پالیسی برای اون ou ست می‌کنم، مپ درایو ساخته نمی‌شه.

اما اگه همون یوزرهارو مستقیما توی ou بذارم، پالیسی روشون اعمال می‌شه.

خب به دو دلیل من نمی‌خوام یوزر توی ou اد کنم.

اول اینکه مدیریتش سخت می‌شه. اگر عضو گروه‌ها باشن یوزرها خیلی راحت‌تره.

دوم هم اینکه اصلا یک یوزر که نمی‌تونه توی چند ou باشه.

من تمام ۱۰۰ یوزرم الان توی یه ou هستن که کلی پالیسی روشون نشسته.

حالا به خاطر این قضیه‌ی مپ درایو که نمی‌تونم جابه‌جاشون کنم توی یه ou دیگه.

امیدوارم توضیحاتم واضح بوده باشه.

1- الان اصلا براش map نمیشه ؟ یا map میشه ولی دسترسی نمیده ؟

2- policy در حالت enforce هست ؟

3- شما که آخرش دارید policy رو برای یک گروه مینویسید ، دیگه چه فایده ای داره که این گروه زیر یک OU رفته ؟

راستش به نظر میرسه شما یک جایی توی این گروه تو گروه و ou تو ou که ساخته اید دارید اشتباهی می کنید.

ولی در مورد ساخت Map برای گروه به سادگی می تونید در targetinng بگید چه گروهی رو لازم دارید.

تو تصویر زیر می بینید روی این سرور من حتی share های مختلف رو به عنوان درایو S به گروه های مختلف داده ام.

جناب آقامیری

من که ou تو ou رو فقط یه جا دارم

اونم همون ou یوزرها هست که داخلش فقط یه ou یوزر دارم که همه‌ی یوزرها داخلشن و فقط دو سه تا یوزر بیرون از اون ou هستن.

گروه هم اصلا ندارم که بخواد گروه تو گروه بشه.

من فقط برای همین بحث شیرفولدرها، اقدام به ساخت گروه کردم. که توی مثال آخری که عکسشو گذاشتم، خیلی ساده یه ou ساختم، داخلش یه گروهه و داخل گروه یه یوزر. من کجای این موضوع اشتباه کردم که الان پالیسی روی گروه اعمال نمی‌شه،‌ اما اگه روی یوزر مستقیما توی ou باشه، پالسی بهش اعمال می‌شه. من همین قضیه ذهنمو درگیر کرده که چرا اینجوری می‌شه.

خب خدا رو شکر که بالاخره اعمال شد، تا جایی که خاطرم هست با حذف کاربر از گروه، پالیسی Map Drive نباید اعمال بشه! احتمالا به خاطر تغییرات پی در پی که دادین Cache Credntial  شده و پالیسی هم آثارش باقی مانده، قبل از حذف کاربر تیک Reconnect خورده بود؟ تیک Reconnect را بردارید، یک پالیسی Map Drive ازنوع Delete بنویسید داخل همان پالیسی قبلی در کنار پالیسی ایجاد Map Drive و شرایط ILT را هم بگذارید کاربر عضو گروه مورد نظر نیست.

سلام آقای کمالی

این سناریو شما را خیر، اما به یکی از دوستان کمک کردم که مشابه این موضوع را پیاده سازی کند و بدون مشکلی راه افتاد. یک نکته را اول خدمت شما عرض کنم، در هیچ قسمت از زبان شیرین فارسی داخل شبکه استفاده نکنید لطفا. نکته بعدی حتی در حالت تست، نامگذاری دقیق و درست انجام بدید تا زمانی که قرار شد مرور کنید یا مشکل را پبدا کنید، بفهمید چی به چیه یا کی به کیه.

با توجه به تصویر هایی که گذاشتین:

1. اگر ILT استفاده می کنید، دیگر نیازی به تنظیم Security Filtering در تب Scope برای آن پالیسی نیست، (یعنی به جای گروه test، گروه Authenticated Users را قرار دهید.)

2. در تنظیمات Map Drive، نیازی به تیک Recconect نیست. Label بذارید خوبه (مثلا: FileServer)، دو قسمت (Hide/Show) را بذارید روی حالت No Changes، درایو لتری که انتخاب کردید مطمین باشید تکراری نیست، Action را به نظرم روی Update بذارید (البته اینجا فرقی نمیکنه Create باشد یا Update).

3. به نظرم گروهی که ساختید را داخل یک OU دیگه بذارید، منطقا داخل کانتینر Users باشه یا یک OU نباید مسئله ای داشته باشد. 

4. قبل از اعمال پالیسی از روی کلاینت مورد نظر با یوزری که Map Drive باید بهش اعمال شود، یکبار با

UNC Path (\\Server Name or IP\Sharefolder)

امتحان کنید که وصل می شوید، دسترسی ها درست است. (قبلا گفتم دسترسی ها را در حالت تست به صورت کلی بدهید.)

سلام جناب مقدم. ممنون از وقتی که گذاشتید.

پس من اشتباه برداشت کرده بودم که هر دو جا گروه رو معرفی کردم بهش.

الان توی بخش اسکوپ که برگردوندم به حالت اولیه، مپ درایو ساخته شد.

حالا مشکلی که به وجود اومده اینه که شما تصور کنین من این سناریو برای این چیدم که اگه مثلا یه روز سه تا یوزر قرار اون مپ درایو رو داشته باشن، به جای اینکه تک تک توی سیستماشون مپ درایو بسازم، ادشون کنم توی اون گروه مربوطه و یه پالیسی آپدیت کنم و براشون مپ ساخته بشه. اما اگر مثلا بخوام ۴ نفر دیگه اون مپ درایو رو نداشته باشن، صرفا با حذف‌کردن‌شون از اون گروه، مپ درایو از توی سیستم‌شون پاک نمی‌شه و همچنان مپ درایو براشون می‌مونه. به نظرتون این مورد رو چطور می‌شه مرتفع کرد؟ چون فکر کنم دیگه الان سناریوم رو کاملا متوجه شدین که چطوری هست.

۲. اون مورد ری‌کانکت رو می‌فرمایید چرا نباید گذاشت تیک‌ش رو؟

اون دو قسمت رو هم روی no change گذاشتم. این‌طوری هم گویا مشکلی نداره و مپ‌درایو رو می‌سازه.

۳. گروه رو من توی همون کانتینر users گذاشته بودم.

۴. همیشه در طول این مدتی که مشکل رو داشتم، همیشه unc اوکی بوده و کاربر دسترسی داشته به فولدر.

۱. اصلا مپ نمی‌شه. (یه سوال هم همینجا در مورد اون موارد اضافی توی Network Location داشتم. ممکنه راهنمایی بفرمایید اونا چی هستن و چطور می‌شه حذفشون کرد؟)

۲. نه پالیسی رو Enfroce نکردم

۳. خب به هر حال این گروه باید توی یک ou باشه دیگه. اگه توی ou اصلیم باشه، پالیسی‌های با پالیسی‌های دیگه ممکنه تداخل پیدا کنه (می‌دونم که می‌شه مدیریتش کرد. اما خب گفتم یه ou جداگانه برای شیرفولدرها داشته باشم)
ولی در هر صورت فرقی نمی‌کنه. من اگه این گروه رو ببرم توی ou اصلی، خب اون‌جا هم باز پالیسی رو باید به ou متصل کنم دیگه. می‌شه همین وضعیت فعلی. درست نمی‌گم؟

شما ببینید، دو تا یوزر توی یک ou دارم (یعنی گروه رو توی این ou نذاشتم)

گروه رو توی همون users اصلی ساختم و فقط یوزر «لپتاپ ۲» رو گذاشتم توی گروه (برای اینکه ببینم برای اون یوزر دیگه هم مپ درایو ساخته می‌شه یا نه. صرفا جهت کنترل)

پالیسی رو تعریف کردم و در قسمت اسکوپ هم فقط همین گروه نسبت دادمش

و در بخش ILT هم به همین ترتیب

هم روی سرور و هم روی یوزر آپدیت کردم پالیسی رو و حتی ریست کردم سیستم یوزر رو

بازم مپ درایو ساخته نشد

اینم پرمیشن‌های فولدر که نشون می‌ده گروه تست دسترسی داره بهش (هرچند که این قضیه توی مپ درایو شدن یا نشدن تاثیری نداره)

عجب حکایتی شده این ماجرای مپ درایو

من الان برای اینکه تست کنم واقعا چه مواردی لازمن که فقط همون‌هارو اعمال کنم، خب اول بخش اسکوپ رو مثل اولش کردم، که خب دیدم مپ درایو ساخته شد و انگار اصلا نباید چون ILT رو ست می‌کنیم اسکوپ رو تغییر بدیم. الان به صورت اتفاقی بخش ILT رو هم من تیکش رو کلا برداشتم، اما بازم مپ درایو داره واسه اون یوزر ساخته می‌شه :| عجیب نیست؟

عکس policy تون رو هم بزارید.

یعنی اینجوری فکر کنین که داره به تمام یوزرهای توی اون ou این مپ درایو رو اختصاص می‌ده انگار

خب تصور کنین اگه به ou اصلی‌م که تمام یوزرهام توش بودن این پالیسی رو تست می‌کردم، الان کلی یوزر درگیر این قضیه می‌شدن

دستور زیر رو توی سیستم بزنید و ببینید دقیقا چه policy هایی داره به سیستم اعمال میشه.

gpresult /h C:\gpo.html

ممکنه خطای دسترسی به درایو C بده  ، یه آدرس خروجی بدید که دسترسی داشته باشه.

گروه رو اگه از این ou در بیارم، خب کجا باید بذارمش؟ باید توی یه ou باشه دیگه به هر حال.

منظورتون از «و policy رو توی GPO اصلی بنویسید.» اینه که پالیسی دیفالتی که روی دومین ست شده رو تغییر بدم و مپ درایو بسازم؟

ممنون که اینقدر وقت گذاشتید جناب مقدم.

راستش من دلیل اصلی که باعث می‌شد تا یه ou بسازم و گروه‌هامو داخل اون بذارم، این بود که وقتی افراد مستقیماً توی یه ou باشن و پالیسی مپ‌درایو براشون ساخته باشه، هرچند که شما در زمان shareکردن پوشه، دسترسی رو فقط به افراد خاصی دادید، اما مپ‌درایو برای تمام اعضای اون ou ساخته می‌شه (فقط نکته اینکه روی درایو ضربدر زده و نمی‌شه واردش شد). از این جهت می‌خواستم یه ou جداگانه داشته باشم که خیالم راحت باشه.

از طرفی اون بحث Item-level targeting رو انجام نداده بودم. شاید با اون دیگه حتی درایوش هم ساخته نشه.

باید چک کنم. ممنون از وقتی که گذاشتید.

فقط یک policy به نام proxy داره اعمال میشه.

سلام

پالیسی Map Drive تا جایی که خاطرم هست به کاربر اعمال می شد. در تنظیمات Item-Level Targeting با توجه به شرایط بسیاری که داره مشخص می کنیم یک پالیسی به گروه ها یا کامپیوتر و غیره به صورت منحصر به فرد اعمال شود. در مورد سناریو شما:

اول دسترسی ها را کلی امتحان کنید اگر همه چیز درست پیش رفت دسترسی های جزیی خود را سپس اعمال کنید، یعنی:

1. دسترسی کاربران به پوشه ها به صورت فول یا Read و Write باشد داخل تب Security و دسترسی داخل تب Sharing برای Everyone نیز فول یا Read و Write باشد.

1. داخل OU دیگری مثلا به نام (All-Groups) گروهی ایجاد کنید (مثلا به نام Group-A) و تعدادی از کاربران را عضو آن کنید.

2. پالیسی Map Drive را ایجاد کنید و آنرا به OU ای که تمام کاربران داخل آن قرار دارند، لینک کنید. اگر اشتباه متوجه نشده باشم، ساختار اکتیو شما هم به این شکل است که تمام کاربران داخل یک OU هستند.

3. به کنسول Group Policy برگردید و داخل تنظیمات پالیسی Map Drive به قسمت Item-level targeting رفته و (Group-A) را اینجا معرفی کنید.

حالا با یکی از اعضای (Group-A) به سیستمی لاگین کنید و مشاهده خواهید کرد که پالیسی به آن کاربر اعمال می شود ولی با کاربری که عضو این گروه نیست به سیستم لاگین کنید، با اینکه پالیسی مورد نظر به OUای لینک شده است که تمام کاربران داخل آن هستند اما Map Drive به کاربری که عضو (Group-A) نمی باشد، اعمال نخواهد شد.

دلیل این اتفاق رو واقعا نمی فهمم ، ولی group رو از زیر این ou دربیارید و policy رو توی GPO اصلی بنویسید. این مشکل حل میشه.