[2003 AD] Computers op verschillende lokaties andere shares

Heb hier het volgende: 5 lokaties waar mensen op een AD inloggen. Hier krijgen ze toegang tot DFS waar een aantal mappings in staan. Nu heb ik met AccesBased Enumeration ervoor gezorgd dat ze alleen zien waar ze recht toe hebben. Elke DFS folder is gekoppeld aan 1 groep. En die groep heeft dan rechten op de bijbehoorende map in DFS. Dit werkt opzich prima.

Maar nu het volgende: Er zijn 5 public shares (voor elke lokatie 1 uiteraard). Maar iedereen is lid van de 5 public shares groepen (dit is gedaan om ervoor te zorgen dat waar je ook maar inlogd de public van die lokatie krijgt). Maar hierdoor ziet iedereen de 5 shares en dat willen ze niet. Ze willen dus dat als ik op lokatie 1 inlog alleen de public van lokatie 1 krijg.

Nu staan alle workstations in van elke lokatie in een apparte OU. Dus die zijn al netjes gescheiden. Hoe kan ik er nu voor zorgen ze de goede share krijgen?

Ik dacht eraan om 5 groepen aan te maken (voor elke lokatie 1) en die dan koppelen met de OU waar de Computer objecten in staan. Ik kan helaas met AD geen "Computer Group Object" aanmaken (of ik heb het niet kunnen vinden).

Dus als ik op lokatie 1 inlog wil ik de share public1 krijgen in DFS. Of als het kan wil ik een group aan een OU koppelen.

Als ik onduidelijk ben hoor ik het graag. Ik zelf bekrijp het nog net

/Edit kan ik via de GPO van de OU bij Restricted Groups dan de groep van de desbetreffende lokatie zetten?

[ Voor 5% gewijzigd door Roman op 29-01-2008 10:32 ]

Hoe kan ik daarmee een group aan een OU hangen? Of beter gezegd hoe kan ik daarmee een OU lid maken van een bepaalde group?

En ik heb maar 1 mapping. Die naar de DFS.

[ Voor 15% gewijzigd door Roman op 29-01-2008 13:19 ]

Losse shares gebruik ik nu ook. Dat kan ik dan regelen met KIX tijdens aanloggen. Dit werkt prima.

Maar het moet in de DFS. Das juist het probleem.

/Edit Met loopback kan ik het user gedeelte van een GPO bij een computer krijgen. Maar zie geen mogelijkheid om via loopback een OU lid te maken van een "Group Object". Als ik dat voor elkaar heb dan kan ik via ABE verder.

[ Voor 42% gewijzigd door Roman op 29-01-2008 13:30 ]

Hier draait alleen standaard server. Ik heb 1 DFS gemaakt en heb met ABE en groups de shares die ze niet gebruiken onzichtbaar gemaakt. Dit werkt opzich prima. Is iemand lid van een group dan ziet hij de share in DFS.

Het probleem is dus eigenlijk alleen dat als een Computer Object in een bepaalde OU staat, dan moet hij die ene share in DFS zien en de andere 2 niet. Dus dacht ik idd aan 5 Groupen aan te maken en die te koppelen aan die OU's.

Of zeg ik nou iets wat de AD niet ondersteund?

Volgens de persoon hier wel. (geeft teveel verwarring) alsof de implementatie van DFS niet al verwarring genoeg is.

Enigste oplossing die ik zo zie is 5 groups aanmaken en dan handmatig de personen toevoegen die op die lokatie zitten. Maar dan heb je een probleem als een persoon van lokatie (tijdelijk) wisseld. Daarom dacht ik het op PC niveau te regelen, het liefst natuurlijk op de OU's waar de PC's instaan.

/edit: oh wacht. Kan ook een computer object aan een group koppelen. ff testen.

/edit 2: Heb nu de groupen erinstaan. Moet alleen nog even op de sync wachten

[ Voor 16% gewijzigd door Roman op 29-01-2008 14:22 ]

Zo alle wijzigingen zijn rond. Ik heb nu een group aan alle computer objecten gehangen. Echter zie ik mijn map nog niet. Als ik de group aan een user hang dan zie ik het wel.

Ik zit dus op een computer op lokatie 2 maar zie mijn map 2 nog niet. Dit is dus ingewikkelder als ik dacht. Ik heb mezelf dan lid gemaakt van lokatie 1 en dan zie ik dus vroolijk de share van lokatie 1.

Zou het kunnen dat als ik een computer object ergens rechten geef dat de persoon die op die computer werkt dan die rechten niet heeft (of heb ik hiervoor loopback nodig, maar als ik het goed begrijp heeft loopback alleen maar invloed op het GPO en niet op rechten e.d.).

Maar past de loopback functie in het GPO ook de rechten toe op de persoon die inlogd of past het alleen het User gedeeltde van de GPO toe? Dat is wat mij nog niet helemaal duidelijk is.

Sla ik het goed begrijp past loopback alleen maar het user gedeeltje van de GPO toe.

De shares werken goed als ik ze direct map met een loginscript. Maar ik ben van plan om ze in een DFS omgevind te plaatzten.

[ Voor 37% gewijzigd door Roman op 29-01-2008 16:10 ]