Dieser zehnteilige Blogpost schildert eine Lösung für die
Konfiguration von älteren Clients für die Richtlinieneinstellung Ordner nur auf primären Computern umleiten,
die ab Windows 8 verfügbar ist.
Teil 1: Ist-Situation und Anforderung
Teil 2: DNs von Benutzer und Computer in Umgebungsvariablen speichern
Teil 3: Festlegen von Umgebungsvariablen
Teil 4: Festlegen weiterer Umgebungsvariablen
Teil 5: Zielordner für Dokumente" anlegen
Teil 6: Umleitung und Offline-Verfügbarkeit konfigurieren
Teil 8: Umleitung unter bestimmten Bedingungen deaktivieren
Teil 9: Konfiguration für weitere Ordner (1)
Teil 10: Konfiguration für weitere Ordner (2)
Die Zielgruppenadressierung für das Umleitungsziel ermittelt
das Attribut homedirectory des Benutzerkontos.
Die zugehörige Variable %FR_RedirTarget%
erstellen wir zunächst mit dem statischen Wert 0.
Abbildung 5: %FR_RedirTarget%
mit 0 initialisieren
Der zweite Eintrag ändert diesen Wert dann auf den Basisordner.
Das ist erforderlich, da wir bei der Umsetzung der Ordnerumleitung diese
Variable als Umleitungskriterium festlegen wollen – eine Filterung auf Umgebungsvariable existiert mit einem
beliebigen Wert ist aber nicht möglich.
Abbildung 6: homedirectory
in %FR_RedirTarget% speichern
Den Filter können wir leer lassen, da wir die Bindung direkt
an den distinguishedName des Benutzers
durchführen. Damit entlasten wir den Domain Controller bei der Suche. Wenn homedirectory keinen Wert enthält, enthält
die Variable %FR_RedirTarget% den zuvor
festgelegten Wert 0. Damit können wir diese Variable später als Kriterium
verwenden, ob überhaupt umgeleitet werden soll.
Für alle weiteren Variablen wählen wir den Modus Ersetzen und aktivieren Element entfernen, wenn es nicht mehr
angewendet wird. Damit werden diese Variablen jeweils gelöscht,
wenn die Zielgruppenadressierung nicht zutrifft.
Mit einer ähnlichen Abfrage wie beim Basisordner ermitteln
wir, ob es sich um einen primären Computer handelt. Auch hier binden wir direkt
an das Benutzerkonto.
Abbildung 7: Primäre Computer auswerten
Ist der distinguishedName
des Computers in msDS-PrimaryComputer enthalten,
wird die erste Zielgruppenadressierung wahr. Die zweite Zielgruppenadressierung
sorgt dafür, dass %FR_IsPrimaryComputer%
auch dann 1 enthält, wenn msDS-PrimaryComputer
gar keine Einträge enthält. Damit wird die bedingte Umleitung auf primären
Computern generell nur aktiv, wenn auch primäre Computer festgelegt wurden.
Wurde kein primärer Computer festgelegt, wird immer umgeleitet (wenn es einen
Basisordner gibt).
Für die Festlegung, ob nur auf primären Computern umgeleitet
wird, müssen wir die Registrierungswerte der entsprechenden Richtlinie aus der
Computer- und aus der Benutzerkonfiguration prüfen. Die Zielgruppenadressierung
ist hier etwas aufwändiger.
Abbildung 8: Ordnerumleitung nur auf primären Computern?
Wir leiten dann nur auf primären Computern um, wenn entweder
PrimaryComputerEnabledFR in HKLM
gleich 1 ist oder PrimaryComputerEnabledFR
in HKCU gleich 1 und in HKLM nicht gleich 0 ist. Damit erreichen wir „Computer
hat Vorrang vor Benutzer“.
Wegen eines seltsamen Verhaltens bei Elementoptionen – Ist nicht muss
die Abfrage auf HKLM=0 sogar in eine eigene Sammlung, die dann invertiert wird.
Invertieren wir direkt die Registrierungsabfrage, dann macht der Filter daraus
nämlich „ist nicht vorhanden oder hat nicht den Wert 0“ – und das führt nicht
zum gewünschten Ergebnis…
No comments:
Post a Comment