22
Drucker per GPP (TCPIP) mappen und Sichtbarkeit steuern
Guten Tag,
ich habe ein Problem beim gezielten Mappen von Druckern via GPP in Verbindung mit der TCP/IP-Option.
Bis zuletzt habe ich Drucker über GPP mit der Option "Freigegeben Drucker" gemappt. Pro Gruppe existiert eine GPO und so wurden die Drucker gezielt einer Gruppe zugewiesen.
Da es hierbei hin und wieder zu Problem kommt, würde ich gerne die Option "Freigebene Drucker" durch TCP/IP-Drucker ersetzen.
Hier habe ich jedoch das Problem, dass danach die eingerichteten Drucker von jedem Benutzer auf dem Rechner bzw. Terminalserver gesehen werden. Jetzt habe ich schon versucht, auf dem Druckserver (Windows Server 2012 R2) das Recht "Drucken" nur der einen Gruppe die auch auf dem Drucker drucken darf zu erteilen und der Gruppe "jeder" nicht das recht zu verweigern. Sobald jedoch die Gruppe "jeder" nicht mehr das Recht "drucken" hat, wird der Drucker auch der Gruppe, die Drucken darf" nicht mehr gemappt und erhalte im Eventlog folgenden Fehler:
Das Benutzer "04LaserIT"-Einstellungselement im Gruppenrichtlinienobjekt "TEST {C018CD07-AB6E-44EE-A1BC-CBF74775D7D8}" wurde aufgrund eines Fehlers nicht angewendet. Fehlercode: "0x80070005 Zugriff verweigert" Dieser Fehler wurde unterdrückt..
Als User wird die SID "S-1-5-18" also die Gruppe "Jeder" angemeckert.
Habt ihr noch eine Idee, wie ich das umsetzen könnte?
MFG Andy
ich habe ein Problem beim gezielten Mappen von Druckern via GPP in Verbindung mit der TCP/IP-Option.
Bis zuletzt habe ich Drucker über GPP mit der Option "Freigegeben Drucker" gemappt. Pro Gruppe existiert eine GPO und so wurden die Drucker gezielt einer Gruppe zugewiesen.
Da es hierbei hin und wieder zu Problem kommt, würde ich gerne die Option "Freigebene Drucker" durch TCP/IP-Drucker ersetzen.
Hier habe ich jedoch das Problem, dass danach die eingerichteten Drucker von jedem Benutzer auf dem Rechner bzw. Terminalserver gesehen werden. Jetzt habe ich schon versucht, auf dem Druckserver (Windows Server 2012 R2) das Recht "Drucken" nur der einen Gruppe die auch auf dem Drucker drucken darf zu erteilen und der Gruppe "jeder" nicht das recht zu verweigern. Sobald jedoch die Gruppe "jeder" nicht mehr das Recht "drucken" hat, wird der Drucker auch der Gruppe, die Drucken darf" nicht mehr gemappt und erhalte im Eventlog folgenden Fehler:
Das Benutzer "04LaserIT"-Einstellungselement im Gruppenrichtlinienobjekt "TEST {C018CD07-AB6E-44EE-A1BC-CBF74775D7D8}" wurde aufgrund eines Fehlers nicht angewendet. Fehlercode: "0x80070005 Zugriff verweigert" Dieser Fehler wurde unterdrückt..
Als User wird die SID "S-1-5-18" also die Gruppe "Jeder" angemeckert.
Habt ihr noch eine Idee, wie ich das umsetzen könnte?
MFG Andy
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 419781
Url: https://administrator.de/contentid/419781
Printed on: April 19, 2024 at 14:04 o'clock
22 Comments
Latest comment
Hi,
ich schätze, Du musst dann "Jeder" durch "SYSTEM" ersetzen.
"Jeder" --> entfernen, nicht verweigern
"System" --> Vollzugriff
E.
ich schätze, Du musst dann "Jeder" durch "SYSTEM" ersetzen.
"Jeder" --> entfernen, nicht verweigern
"System" --> Vollzugriff
E.
Moin,
hast Du wirklich "Jeder" "Verweigern" eingetragen? Dann kann das nicht gehen, da das Verweigern eines Rechts vorgeht. Verweigerst Du also "Jeder" ein Recht, dann hat es keiner mehr, da jeder jeder ist und somit keiner mehr das Recht aus einer anderen Gruppe bekommen. Klar soweit?
Liebe Grüße
Erik
hast Du wirklich "Jeder" "Verweigern" eingetragen? Dann kann das nicht gehen, da das Verweigern eines Rechts vorgeht. Verweigerst Du also "Jeder" ein Recht, dann hat es keiner mehr, da jeder jeder ist und somit keiner mehr das Recht aus einer anderen Gruppe bekommen. Klar soweit?
Liebe Grüße
Erik
Hi,
habe es direkt ausprobiert. Vollzugriff gibt es leider bei Druckern nicht, aber habe beim User "System" einfach jeden schalter gesetzt. Trotzdem meckert er die Berechtigung an.
habe es direkt ausprobiert. Vollzugriff gibt es leider bei Druckern nicht, aber habe beim User "System" einfach jeden schalter gesetzt. Trotzdem meckert er die Berechtigung an.
Ja manchmal ist man zu schnell beim probieren ;)
Glaube ich habe grad auch einfach nen Brett vorm Kopf.
Wenn ich Jeder aus der Berechtigung des Druckers entferne oder das Recht zum Drucken entferne, kann der Drucker nicht per GPP gemappt werden. Aber wie sollten die Richtigen Berechtigungen sein, dass Gruppe A drucken darf, aber nicht jeder?
Wenn ich Jeder aus der Berechtigung des Druckers entferne oder das Recht zum Drucken entferne, kann der Drucker nicht per GPP gemappt werden. Aber wie sollten die Richtigen Berechtigungen sein, dass Gruppe A drucken darf, aber nicht jeder?
Moin,
mal sonne Frage: Weist Du den Drucker in der Computer- oder in der Benutzerkonfiguration zu?
Liebe Grüße
Erik
mal sonne Frage: Weist Du den Drucker in der Computer- oder in der Benutzerkonfiguration zu?
Liebe Grüße
Erik
Moin,
in der Benutzerkonfiguration. Pro Standort habe ich eine GPO. Dann existieren Gruppen je Standort, die die jeweilige GPO anwenden dürfen.
in der Benutzerkonfiguration. Pro Standort habe ich eine GPO. Dann existieren Gruppen je Standort, die die jeweilige GPO anwenden dürfen.
Zitat von @Andy1987:
in der Benutzerkonfiguration. Pro Standort habe ich eine GPO. Dann existieren Gruppen je Standort, die die jeweilige GPO anwenden dürfen.
TCP/IP-Drucker kann man nicht pro Benutzer installieren. Das geht sauber nur pro Computer. Das ist schon eine Frage der Logik.in der Benutzerkonfiguration. Pro Standort habe ich eine GPO. Dann existieren Gruppen je Standort, die die jeweilige GPO anwenden dürfen.
Hi,
die Einrichtung über die Benutzerkonfiguration funktioniert soweit ohne Probleme. Jedoch sehen dann alle User des Terminalservers alle Drucker und das möchte ich vermeiden.
die Einrichtung über die Benutzerkonfiguration funktioniert soweit ohne Probleme. Jedoch sehen dann alle User des Terminalservers alle Drucker und das möchte ich vermeiden.
Zitat von @Andy1987:
Da es hierbei hin und wieder zu Problem kommt, würde ich gerne die Option "Freigebene Drucker" durch TCP/IP-Drucker ersetzen.
Welche Probleme gab es da eigentlich?Da es hierbei hin und wieder zu Problem kommt, würde ich gerne die Option "Freigebene Drucker" durch TCP/IP-Drucker ersetzen.
Dies ist normalerweise DER Weg, welchen man auf einem TS geht.
Problem ist - Bisher GPP in Verbindung mit "Freigebene Drucker" - Jedoch nicht 100 pro stabil. Daher der Test per "TCP/IP-Drucker"
Jedoch möchte ich vermeiden, dass Standort A an Standort B drucken kann.
Jedoch möchte ich vermeiden, dass Standort A an Standort B drucken kann.
Problem ist, dass Du das Problem nicht beschreibst.
Es sollen nicht alle User alle Drucker auf dem TS sehen können. Wenn ich jedoch auf dem Druckserver die Berichtigung Jeder entferne und nur der Gruppe zuweise, kommt der Fehler aus der Eröffnung.
Und ich bin davon ausgegangen das auf die das Problem mit der Berechtigung abgezielt wird.
- Teilweise sehr lange anmeldezeiten
- Zulange Druckernamen aufgrund des Freigabenamens
- Teilweise wechseln die gewählten Standarddrucker
Gibt einiges, was an der Systematik über Freigabe nicht so schön ist. Daher nun der Versuch per TCP/IP die Drucker in der GPP zu verteilen. Da ist aber das Problem, dass jeder User jeden Drucker sieht. Sonst läuft es um einiges besser.
- Teilweise sehr lange anmeldezeiten
- Zulange Druckernamen aufgrund des Freigabenamens
- Teilweise wechseln die gewählten Standarddrucker
Gibt einiges, was an der Systematik über Freigabe nicht so schön ist. Daher nun der Versuch per TCP/IP die Drucker in der GPP zu verteilen. Da ist aber das Problem, dass jeder User jeden Drucker sieht. Sonst läuft es um einiges besser.
Daher nun der Versuch per TCP/IP die Drucker in der GPP zu verteilen.
Ich würde folgendes versuchen:- diese Drucker per Computer verteilen, nicht per Benutzer
- Berechtigungen für diese Drucker nur für die betreffende Gruppe + "Jeder" darf "Berechtigungen lesen"
ich werde es so morgen früh testen
Guten Morgen,
habe es über die Computerkonfiguration nun versucht. Mit der Standardrechte-Einrichtung des Druckers auf dem Druckserver wurde der Drucker eingerichtet. Sobald ich jedoch der Gruppe "Jeder" den Haken "Drucken" in der Spalte "Erlauben" entfernt habe, kommt wieder mein Rechteproblem wie oben beschrieben. (Gruppe jeder hat das Recht "Berechtigungen lesen").
Somit leider keine Besserung.
habe es über die Computerkonfiguration nun versucht. Mit der Standardrechte-Einrichtung des Druckers auf dem Druckserver wurde der Drucker eingerichtet. Sobald ich jedoch der Gruppe "Jeder" den Haken "Drucken" in der Spalte "Erlauben" entfernt habe, kommt wieder mein Rechteproblem wie oben beschrieben. (Gruppe jeder hat das Recht "Berechtigungen lesen").
Somit leider keine Besserung.
Moin,
habe heute noch weiter rumgetestet und musste feststellen, dass auf dem Printserver gesetzte Berechtigungen nicht mit beim Verteilen übergeben werden.
Wenn ich auf dem über die GPP (TCPIP) angelegten Drucker auf dem Terminalserver die Berechtigungen per Hand anpasse, funktioniert es danach wie gewünscht. Dem User "Jeder" nehme ich das recht zum Drucken und der gewünschten Gruppe erteile ich es. So kann nur die Gruppe Drucken und kein anderer User sieht den Drucker.
Nun kommt allerdings das nächste Problem hierbei: Wir setzen eine Terminalserver-Farm ein und ich möchte nach Möglichkeit diese Berechtigungen nun auch zentral verwalten und auf allen Servern dadurch gleich halten. Kennt ihr hierfür eine Möglichkeit?
habe heute noch weiter rumgetestet und musste feststellen, dass auf dem Printserver gesetzte Berechtigungen nicht mit beim Verteilen übergeben werden.
Wenn ich auf dem über die GPP (TCPIP) angelegten Drucker auf dem Terminalserver die Berechtigungen per Hand anpasse, funktioniert es danach wie gewünscht. Dem User "Jeder" nehme ich das recht zum Drucken und der gewünschten Gruppe erteile ich es. So kann nur die Gruppe Drucken und kein anderer User sieht den Drucker.
Nun kommt allerdings das nächste Problem hierbei: Wir setzen eine Terminalserver-Farm ein und ich möchte nach Möglichkeit diese Berechtigungen nun auch zentral verwalten und auf allen Servern dadurch gleich halten. Kennt ihr hierfür eine Möglichkeit?
Zitat von @Andy1987:
habe heute noch weiter rumgetestet und musste feststellen, dass auf dem Printserver gesetzte Berechtigungen nicht mit beim Verteilen übergeben werden.
Muss auch nicht, denn dass ist ja nur für Drucken über Printserver relevant und nicht für lokale TCP/IP-Drucker. Wenn Du über die Warteschlange des Printservers druckst (verbundener Netzwerkdrucker), dann greifen diese dort eingestellten Berechtigungen sehr wohl.habe heute noch weiter rumgetestet und musste feststellen, dass auf dem Printserver gesetzte Berechtigungen nicht mit beim Verteilen übergeben werden.
Der freigegebene Drucker, welchen Du in der GPP für einen neuen TCP/IP-Drucker angeben musst, wird nur für die Installation der Treiber benötigt und verwendet.
Wenn ich auf dem über die GPP (TCPIP) angelegten Drucker auf dem Terminalserver die Berechtigungen per Hand anpasse, funktioniert es danach wie gewünscht. Dem User "Jeder" nehme ich das recht zum Drucken und der gewünschten Gruppe erteile ich es. So kann nur die Gruppe Drucken und kein anderer User sieht den Drucker.
Wie machst Du es denn eigentlich sonst?Ich glaube jetzt klingelts bei mir.
Für die Warteschlange am Printserver, welche nur für die Treiberinstallation benötigt wird, darfst Du "Jeder" nicht entfernen, weil dann der Treiber nicht mehr vom Computer gelesen werden kann. Wenn Du dort "Jeder" entfernst, dann musst Du stattdessen "Domänencomputer" hinzufügen.
Und am Client (dem Terminalserver) kannst Du die Rechte für den dort installierten Drucker dann mit einen Script setzen, z.B. via SetACL.
Managing Printer, Service, WMI and Share Permissions with SetACL.exe
Hi, ja so könnte ich es versuchen abzubilden. Werde mal weiter rumtesten 
So mein Fazit hierzu.
Habe es nun so gelöst, dass die Drucker auf Benutzerebene als TCP/IP-Drucker verteilt werden.
Die Berechtigungen werden mit SetACL sauber gesetzt (Gruppenmitgliedschaften).
Somit danke für die Hilfe.
Habe es nun so gelöst, dass die Drucker auf Benutzerebene als TCP/IP-Drucker verteilt werden.
Die Berechtigungen werden mit SetACL sauber gesetzt (Gruppenmitgliedschaften).
Somit danke für die Hilfe.
