sarekhl
Goto Top

"Automatisches Setup von Geräten aktivieren, die mit dem Netzwerk verbunden sind" deaktivieren per GPO

Hallo zusammen,

gibt es eine GPO, die die gleiche Wirkung erzielt, wie das Deaktivieren der Option "Automatisches Setup von Geräten aktivieren, die mit dem Netzwerk verbunden sind" im Netzwerk und Freigabecenter? Ich möchte nicht, dass alle Netzwerkdrucker überall installiert sind - und schon gar nicht mit dem standardmäßigen Namen.

Danke im Voraus,
Sarek \\//_

Content-ID: 602685

Url: https://administrator.de/forum/automatisches-setup-von-geraeten-aktivieren-die-mit-dem-netzwerk-verbunden-sind-deaktivieren-per-gpo-602685.html

Ausgedruckt am: 23.12.2024 um 05:12 Uhr

Possibaer
Possibaer 08.09.2020 um 08:28:26 Uhr
Goto Top
Moinsen,

nachfolgend in Stichpunkten wie wir das machen:

- Windows-Server mit Printserver-Rolle,
- Drucker einbinden und mit gewünschtem Namen freigeben,
- AD-Veröffentlichung des Druckes abschalten,
- Treiber zur Verteilung auf Printserver freigeben,
- Zugriff auf freigegeben Drucker mit User-Sicherheitsgruppen regeln,
- Drucker mittel GPO beim User einbinden,
- Treiberinstallation mittels GPO erlauben.

Das mal im Groben. Außerdem hat diese Methode den Vorteil, dass du Standard-Einstellungen des Druckers bei den Usern einstellen kannst..z.B. Farbdrucker im Standard druckt nur S/W. Farbe muss der User vorher umstellen usw.

Vielleicht erstmal ein bisschen Arbeit um das einzurichten. Spart aber hinterher viel Turnschuh-Administration um Drucker bei den Usern zu entfernen, die sich Drucker eingebunden haben die ganz wo anders stehen.

VG
Dr.Bit
Dr.Bit 08.09.2020 um 08:39:07 Uhr
Goto Top
Zitat von @Possibaer:

Moinsen,

nachfolgend in Stichpunkten wie wir das machen:

- Windows-Server mit Printserver-Rolle,
- Drucker einbinden und mit gewünschtem Namen freigeben,
- AD-Veröffentlichung des Druckes abschalten,
- Treiber zur Verteilung auf Printserver freigeben,
- Zugriff auf freigegeben Drucker mit User-Sicherheitsgruppen regeln,
- Drucker mittel GPO beim User einbinden,
- Treiberinstallation mittels GPO erlauben.

Das mal im Groben. Außerdem hat diese Methode den Vorteil, dass du Standard-Einstellungen des Druckers bei den Usern einstellen kannst..z.B. Farbdrucker im Standard druckt nur S/W. Farbe muss der User vorher umstellen usw.

Vielleicht erstmal ein bisschen Arbeit um das einzurichten. Spart aber hinterher viel Turnschuh-Administration um Drucker bei den Usern zu entfernen, die sich Drucker eingebunden haben die ganz wo anders stehen.

VG
Genau so!

🖖
SarekHL
SarekHL 08.09.2020 um 08:41:37 Uhr
Goto Top
Und was hindert die einzelnen Windows-Clients daran, trotzdem alle im LAN vorhandenen Drucker automatisch zu installieren? Oder habt Ihr die dann in einem anderen (v)LAN, so dass nur der Printserver sie "sehen" kann?
Dr.Bit
Dr.Bit 08.09.2020 um 08:57:57 Uhr
Goto Top
Zitat von @SarekHL:

Und was hindert die einzelnen Windows-Clients daran, trotzdem alle im LAN vorhandenen Drucker automatisch zu installieren? Oder habt Ihr die dann in einem anderen (v)LAN, so dass nur der Printserver sie "sehen" kann?
Ich habe bei mir, in der Default Domain Policy unter Computerkonfiguration->Richtlinien->Administrative Vorlagen->Drucker den Druckerinstallationsassistenten aktiviert und auf 0 gesetzt.

🖖
SarekHL
SarekHL 08.09.2020 aktualisiert um 09:15:46 Uhr
Goto Top
Zitat von @Dr.Bit:

Ich habe bei mir, in der Default Domain Policy unter Computerkonfiguration->Richtlinien->Administrative Vorlagen->Drucker den Druckerinstallationsassistenten aktiviert und auf 0 gesetzt.

Ja ok, in Verbindung mit der von Possibaer skizzierten Gesamtlösung wäre das ein denkbarer Weg. Das kann ich nur leider aus verschiedenen Gründen nicht überall umsetzen. Ich suche daher immer noch die Standalone-Lösung, um
  • entweder nur die Funktion "Automatisches Setup von Geräten aktivieren, die mit dem Netzwerk verbunden sind"
  • oder notfalls die ganze Netzwerkerkennung
per GPO oder GPP zu deaktivieren. Manuell will ich den Druckerinstallationsassistenten ja nutzen können.
Dr.Bit
Dr.Bit 08.09.2020 um 09:55:14 Uhr
Goto Top
Vielleicht so? Und dann eine Batch die Registry ändern lassen?

Unter:

HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced

erstellt man einen neuen Eintrag mit dem Namen "NoNetcrawling" als Datentyp REG_DWORD und setzt den Wert auf 1.

(0 aktiviert das Netcrawling wieder).

🖖
NordicMike
NordicMike 08.09.2020 um 09:56:38 Uhr
Goto Top
Warum willst du den Druckerinstallationsassistenten nutzen? Evtl, damit die firmen-Laptopuser zu Hause ihren Tintenstrahler installieren können?

Ich habe per GPO ins Startmenü einen Link gesetzt mit dem Namen "Alle Drucker in der Firma". Dieser Link zeigt auf den Druckserver. Wenn der User dieses anklickt, sieht er alle freigegebenen Drucker. Mit einem Doppelklick auf den Drucker seiner Wahl hat er ihn auch schon automatisch installiert.

Wenn die Firma eine gewisse Größe erreicht hat und nicht jeder User jeden Drucker sehen soll, kommen dann schon andere Lösungen.
SarekHL
SarekHL 08.09.2020 um 10:02:27 Uhr
Goto Top
Zitat von @Dr.Bit:

Unter:
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced
erstellt man einen neuen Eintrag mit dem Namen "NoNetcrawling" als Datentyp REG_DWORD und setzt den Wert auf 1.

Wenn das noch geht, ist es super. In der WinFAQ habe ich diese Einstellung gefunden, aber als relevantes Betriebssystem war nur Windows ME angegeben - und eigentlich sind die WinFAQ-Macher ziemlich genau.


Und dann eine Batch die Registry ändern lassen?

Da braucht es kene Batch, dafür gibt es GPP face-smile
Dilbert-MD
Dilbert-MD 08.09.2020 um 10:04:06 Uhr
Goto Top
Hallo,

ich habe gefunden:
- Systemsteuerung
- System
- Erweiterte Einstellungen
- Hardware Kartei
- Geräteinstallationseinstellungen
- zu Installierende Software selber auswählen

Ich vermute mal, ein Windows 10 Pro wurde auf die neue Windowsversion gehoben und nach dem Ende des Updates geht Windows nach dem nächsten oder übernächsten Neustart auf die Suche nach verbundenen Geräten und installiert u.U. einen eigenen Treiber für einen Netzwerkdrucker, der aber schon mit dem Herstellertreiber installiert ist o.s.ä.

Gruß
SarekHL
SarekHL 08.09.2020 um 10:08:29 Uhr
Goto Top
Zitat von @Dilbert-MD:

ich habe gefunden:

Super, aber wie man es manuell macht, war nicht die Frage ...
SarekHL
SarekHL 08.09.2020 um 10:24:26 Uhr
Goto Top
Zitat von @SarekHL:

Zitat von @Dr.Bit:

Unter:
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced
erstellt man einen neuen Eintrag mit dem Namen "NoNetcrawling" als Datentyp REG_DWORD und setzt den Wert auf 1.

Wenn das noch geht, ist es super. In der WinFAQ habe ich diese Einstellung gefunden, aber als relevantes Betriebssystem war nur Windows ME angegeben - und eigentlich sind die WinFAQ-Macher ziemlich genau.

Leider wirkt es sich unter Windows 10 tatsächlich nicht aus. Ich habe den Wert gesetzt, den Rechner neu gestartet und sehe im Netzwerk- und Freigabecenter trotzdem noch eine aktive Netzwerkerkennung face-sad
Dr.Bit
Dr.Bit 08.09.2020 um 10:45:36 Uhr
Goto Top
Ich habe es bei mir eben auch noch einmal ausprobiert und es geht tatsächlich nicht. Bei mir steht das Profil aber auch auf Privat. Warum auch immer, daß werde ich dann gleich nochmal erforschen. Wenn ich das richtig gesehen habe, gibt es, im Domänenprofil, diesen Eintrag gar nicht. Hast Du vielleicht auch das falsche Profil?

🖖
145916
145916 08.09.2020 aktualisiert um 11:00:07 Uhr
Goto Top
Zitat von @SarekHL:
Leider wirkt es sich unter Windows 10 tatsächlich nicht aus. Ich habe den Wert gesetzt, den Rechner neu gestartet und sehe im Netzwerk- und Freigabecenter trotzdem noch eine aktive Netzwerkerkennung face-sad

Firewall entsprechend konfiguriert pushen dann wird das auch ausgeschaltet

screenshot
SarekHL
SarekHL 08.09.2020 um 11:07:15 Uhr
Goto Top
Ich weiß zu wenig über ICMP-Ausnahmen. Was geht denn noch alles nicht, wenn man die blockiert?
145916
145916 08.09.2020 aktualisiert um 11:14:56 Uhr
Goto Top
  • ICMP-Protokoll = Ping auf den Zielcomputer geht nicht / Wird nicht mehr in der Netzwerkumgebung angezeigt.

Schaltet genau die "Netzwerkerkennung" ab, so wie du wolltest.
SarekHL
SarekHL 08.09.2020 um 11:21:23 Uhr
Goto Top
Zitat von @145916:

  • ICMP-Protokoll = Ping auf den Zielcomputer geht nicht / Wird nicht mehr in der Netzwerkumgebung angezeigt.

Ich weiß, dass ICMP das "Ping-Protokoll" ist, daher bin ich so skeptisch. Ich möchte den Rechner (zu diagnostischen Zwecken) ja trotzdem pingen können und auch von dem Rechner aus andere Rechner pingen können. Ich will nur nicht, dass die selbständig irgendwelche Geräte installieren, die sie zufällig gerade finden.
colinardo
Lösung colinardo 08.09.2020 aktualisiert um 11:37:44 Uhr
Goto Top
Servus Sarek,
verteile folgenden Registry Key per GPP, dieser setzt genau deine genannte Einstellung für Privat markierte Netze (nur dort gibt es die Option).

DWORD 0 == DEAKTIVIERT
DWORD 1 == AKTIVIERT

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\NcdAutoSetup\Private]
"AutoSetup"=dword:00000000  

screenshot


Grüße Uwe

p.s. nur als Tipp für die Zukunft:
Mit Process Monitor erhältst du solche Keys ziemlich einfach. In dem du im ProcessMonitor den Filter auf Category = Write setzt und zusätzlich auf die PID der Anwendung filterst indem du das Fadekreuz auf das Fenster ziehst in dem du die Einstellung setzt während ProcessMonitor im Aufzeichnungsmodus ist.
SarekHL
SarekHL 08.09.2020 um 11:46:54 Uhr
Goto Top
Hm, danke auf jeden Fall für den Tipp mit der PID-Filterung im ProcessMonitor ;)

Nur zum Verständnis: Domänennetzwerke sind in dem Sinne auch "Privat", oder? Im Netzwerk- und Freigabecenter wird jedenfalls nur zwischen a) Privat, b) Gast oder Öffentlich und c) Alle unterschieden.
colinardo
colinardo 08.09.2020 aktualisiert um 11:55:27 Uhr
Goto Top
Zitat von @SarekHL:
Nur zum Verständnis: Domänennetzwerke sind in dem Sinne auch "Privat", oder?
Nein! Domänen haben separate Einstellungen, werden besonders behandelt. Ein AutoSetup von Geräten wird in Domänennetzwerken nicht durchgeführt deswegen gibt es dort so eine Einstellung auch nicht.

screenshot
Dr.Bit
Dr.Bit 08.09.2020 aktualisiert um 12:08:17 Uhr
Goto Top
Zitat von @SarekHL:

Hm, danke auf jeden Fall für den Tipp mit der PID-Filterung im ProcessMonitor ;)

Nur zum Verständnis: Domänennetzwerke sind in dem Sinne auch "Privat", oder? Im Netzwerk- und Freigabecenter wird jedenfalls nur zwischen a) Privat, b) Gast oder Öffentlich und c) Alle unterschieden.

Hört sich so an, als wenn der Rechner gar nicht in einer Domäne wäre? Ansonsten kannst Du auch das Domänenprofil aussuchen bzw. es wird automatisch gesetzt, wenn Du DHCP verwendest. Das war nämlich bei mir der Fehler. Feste IP -> Privat, DHCP -> Domäne, zurück auf feste IP -> immer noch Domäne? Muß ich nicht verstehen?

🖖
colinardo
colinardo 08.09.2020 aktualisiert um 12:20:32 Uhr
Goto Top
Zitat von @Dr.Bit:
Das war nämlich bei mir der Fehler. Feste IP -> Privat, DHCP -> Domäne, zurück auf feste IP -> immer noch Domäne? Muß ich nicht verstehen?
Das lässt sich einfach erklären. Wenn du nämlich deine IP fest einstellst vergessen viele oft den Domain Suffix ebenfalls in den Adapter Optionen einzutragen, und genau den wertet der NLASVC bei der Domain-Erkennung zusätzlich aus. Via DHCP wird dieser ja automatisch mit in den Optionen übergeben (wenn der DHCP ordentlich konfiguriert wurde).

https://www.msxfaq.de/netzwerk/grundlagen/network_location_awareness.htm
Ein Schlüssel ist dabei die Information, wo der Client vorher die Gruppenrichtlinien bezogen hat. Der Client vergleicht die aktuelle Antwort mit einer früher erhaltenen Information zur DNS-Domäne und das ist quasi der "Schlüssel". Damit kommt natürlich auch wieder die DHCP-Option zum Domänennamen ins Spiel, die einer Netzwerkkarte eine DNS-Domäne zuweisen kann. Das spiegelt sich auch in der Registrierung wieder.
Grüße Uwe
SarekHL
SarekHL 08.09.2020 aktualisiert um 12:36:30 Uhr
Goto Top
Zitat von @colinardo:

Ein AutoSetup von Geräten wird in Domänennetzwerken nicht durchgeführt deswegen gibt es dort so eine Einstellung auch nicht.

Stimmt ... sorry, habe gerade auf einem Rechner geschaut, der nicht in der Domäne ist, da kann das dann auch nicht zu sehen sein face-sad

Im Domänennetzwerk sind es dann eher die Netzwerkdrucker, die immer ungefragt installiert werden, aber das ist ein anderes Thema ...

Allerdings: Wenn das für Domänennetzwerke nicht funktioniert bzw. gar nicht nötig ist, bringt natürlich auch eine Verteilung per GPP nichts face-sad