Windows Server 2012 R2 / Oktober 2016 Update Mapping von DFS Shares per User-Logonskript (VBS/Powershell) geht nicht mehr

Seit dem Oktober 2016 Update können per Logonscript keine DFS Shares mehr gemapped/verbunden werden. Mappings zu „normalen“ Shares funktionieren ohne Probleme. Es betrifft nur DFS Shares, egal auf welcher Windows Version diese veröffentlicht sind (2008/2008R2/2012/2012R2). Das hat auch mit der UAC nichts zu tun.

Interessanterweise konnte der Logonprozess, also während das Logonskript abgearbeitet wird – und das passiert im User-Context, auf den DFS Share zugreifen. Ich schreibe z.B. in eine Logdatei mit, in welchen Gruppen der User beim Anmelden Mitglied ist. Diese Logdatei liegt (in diesem Fall) auf einem DFS Share, der später nicht sichtbar ist…

Folgendes kann eine Lösung sein:

  • In der Registry den folgenden Wert setzen:
    1. HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\ EnableLinkedConnections =1 (hat bei mir nicht wirklich geholfen
  • Den Admin Approval Mode deaktivieren:
    1. GPEdit.msc: User Account Control: Run all administrators in Admin Approval Mode = Disable (hat geholfen)
  • Verwendung von GPP für Laufwerkmappings (wenn das technisch möglich ist, wäre diese Variante zu bevorzugen. Manchmal geht’s aber nicht so einfach und man braucht ein Logonscript)
  • User-Logonskript nicht über „User-Configuration/Windows Settings/Scripts (Logon/Logoff) ausführen, sondern über die Policy „User-Configuration/Administrative Templates/System/Logon/Run These programs at user logon“ (hat geholfen)
    1. Das Logonscript dann wie folgt aufrufen (in „Items to run at logon“ konfigurieren):
    2. wscript.exe „\\Server\share\path to script\logon.vbs“ //B

Damit läuft das Logonscript im Hintergrund und mapped in der User Session die Laufwerke richtig.