kodach
Goto Top

Benutzer GPO - Druckerzuweisung mit Sicherheitsgruppe geht nicht

Ich habe eine GPO für die Druckerzuweisung auf die Benutzer. Die Drucker werden mittels Zielgruppenadressierung auf Sicherheitsgruppen gelegt und so gelöscht oder erstellt.

Aber irgendwie funktioniert das mehr schlecht als recht.

Ich habe neue Label Drucker eingefügt und die Sicherheitsgruppe erstellt. Der Benutzer ist in der Sicherheitsgruppe. Wenn ich in der Filterung anstelle der Sicherheitsgruppe einen Benutzer einfüge funktioniert die GPO ohne probleme.
Also scheint eher ein Problem durch die Sicherheitsgruppe zu sein.
Ich komme jedoch gerade nicht auf die Idee wo ich den Fehler suchen könnte.

Hat jemand eine Idee wo ich den Fehler suchen könnte?

Content-ID: 93513441586

Url: https://administrator.de/forum/benutzer-gpo-druckerzuweisung-mit-sicherheitsgruppe-geht-nicht-93513441586.html

Ausgedruckt am: 22.12.2024 um 17:12 Uhr

user217
user217 14.09.2023 um 11:34:18 Uhr
Goto Top
soweit ich weis kannst du drucker nur per machine zuordnen, nicht per user. Irrtum vorbehalten.
DerWoWusste
DerWoWusste 14.09.2023 um 11:37:50 Uhr
Goto Top
Wenn Du eine Gruppe neu erstellst und den Nutzer reinpackst, ist er erst bei der nächsten Anmeldung in dieser Gruppe.
KodaCH
KodaCH 14.09.2023 um 11:38:16 Uhr
Goto Top
Danke für deine Rückmeldung. Das wäre mir aber ganz neu. Es ist ja auch eine User GPO die dafür existiert und teilweise ja auch funktioniert
KodaCH
KodaCH 14.09.2023 aktualisiert um 11:41:38 Uhr
Goto Top
Zitat von @DerWoWusste:

Wenn Du eine Gruppe neu erstellst und den Nutzer reinpackst, ist er erst bei der nächsten Anmeldung in dieser Gruppe.

Danke. Das wurde berücksichtigt. Sogar schon 24 Stunden gewartet und sicher 5 Neustarts und gpupdate /force hinter mir (und anderen face-smile)

Edit: Ich habe testweise auch schon eine neue Sicherheitsgruppe angelegt
DerWoWusste
DerWoWusste 14.09.2023 um 11:42:40 Uhr
Goto Top
Und ein als Nutzer ausgeführtes
whoami /groups | findstr /i gruppenname
findet die Gruppe?
KodaCH
KodaCH 14.09.2023 um 11:44:49 Uhr
Goto Top
Ja die Gruppe wird aufgelistet und zeigt auch die selbe SID an welche in der GPO ebenfalls beim Filter angezeigt wird
emeriks
emeriks 14.09.2023 um 11:52:00 Uhr
Goto Top
Hi,
erstelle mal im Kontext des angemeldeten Benutzers einen Report.
gpresult /H "%temp%\gpresult.html" /F  
Dann schau Dir die erzeugte HTML an. Dort werden auch die Gruppen aufgelistet, in welchen der Benutzer zum Zeitpunkt der Erstellung des RSOP Mitglied war. Wird dort die betreffende Gruppe aufgelistet?

E.
user217
user217 14.09.2023 um 11:53:22 Uhr
Goto Top
kann ein AD user einen drucker zugewiesen bekommen der auf dem client noch nicht installiert ist?
emeriks
emeriks 14.09.2023 um 11:54:25 Uhr
Goto Top
Hast Du da mehrere Domänen in einer Gesamtstruktur?
Falls ja: In welchen Domänen befinden sich Gruppe und Computer? Und falls das verschiedene sind: Welches Scope hat die Gruppe?
emeriks
emeriks 14.09.2023 um 11:55:47 Uhr
Goto Top
Zitat von @user217:
kann ein AD user einen drucker zugewiesen bekommen der auf dem client noch nicht installiert ist?
TO schreibt doch, das es funktioniert, wenn statt einer Gruppe ein Benutzer eingetragen wird.
KodaCH
KodaCH 14.09.2023 aktualisiert um 11:57:53 Uhr
Goto Top
Zitat von @emeriks:

Dann schau Dir die erzeugte HTML an. Dort werden auch die Gruppen aufgelistet, in wlechen der Benutzer zum Zeitpunkt der Erstellung des RSOP Mitglied war. Wird dort die betreffende Gruppe aufgelistet?

Ja. Auch dort ist die Gruppe zu sehen

EDIT

Hast Du da mehrere Domänen in einer Gesamtstruktur?
Nein es ist nur eine
Struktur ungefähr so:
company
- benutzer (Hier ist die GPO drin)
- gruppen
--printer

Welches Scope hat die Gruppe?
Global / Sicherheit
DerWoWusste
DerWoWusste 14.09.2023 aktualisiert um 11:56:49 Uhr
Goto Top
kann ein AD user einen drucker zugewiesen bekommen der auf dem client noch nicht installiert ist?
Er schreibt doch schon, dass es funktioniert, wenn der Nutzer direkt angegeben wird.
Abgesehen davon: wenn der Druckertreiber schon auf dem PC existiert (z.B. in Windows eingebaut), dann geht das, sonst nur mit Adminrechten oder nach Modifikationen.
emeriks
emeriks 14.09.2023 um 11:57:15 Uhr
Goto Top
Wenn ich in der Filterung anstelle der Sicherheitsgruppe einen Benutzer einfüge funktioniert die GPO ohne probleme.
Wie soll man das jetzt verstehen? Reden wir von ITL oder Sicherheitsfilterung?
Bei ITL kann man ja keinen Benutzer auswählen, wenn man auf "Mitglied in" prüft.
KodaCH
KodaCH 14.09.2023 um 12:00:33 Uhr
Goto Top
Aktuell habe ich unter Benutzerkonfiguration --> Einstellungen --> Systemsteuerungseinstellungen --> Drucker die ganze Konfiguration
Ich habe als Aktion Erstellen, habe den Freigabepfad und unter Gemeinsame Optionen die "Zielgruppenadressierung auf Elementebene" aktiviert.
Wenn ich in der Adressierung "Benutzer ist Mitglied der Sicherheitsgruppe" die Gruppe einfüge, will es meist nicht funktionieren (Windows Server 2016 und Windows 10)
Wenn ich als Element anstelle der Sicherheitsgruppe den Benutzer prüfe funktioniert es.
emeriks
emeriks 14.09.2023 um 12:02:12 Uhr
Goto Top
Sind da mehrere DC und falls ja, ist die Replikation fehlerfrei?
KodaCH
KodaCH 14.09.2023 um 12:03:47 Uhr
Goto Top
Es sind 2 DC's, und die Replikation ist gem " dcdiag /test:replications" fehlerfrei.
user217
user217 14.09.2023 um 12:32:26 Uhr
Goto Top
Zitat von @DerWoWusste:

kann ein AD user einen drucker zugewiesen bekommen der auf dem client noch nicht installiert ist?
Er schreibt doch schon, dass es funktioniert, wenn der Nutzer direkt angegeben wird.
Abgesehen davon: wenn der Druckertreiber schon auf dem PC existiert (z.B. in Windows eingebaut), dann geht das, sonst nur mit Adminrechten oder nach Modifikationen.

richtig, er schreibt das es sporadisch funktioniert. Es wäre ja möglich das auf manchen der treiber läuft und auf manchen nicht. Darauf wollte ich eigentlich hinaus.
KodaCH
KodaCH 14.09.2023 um 13:14:14 Uhr
Goto Top
Ich habe nun zum zweiten mal eine neue Sicherheitsgruppe erstellt. Nun geht es. Ich weiss nicht was es war.

Das mit dem Treiber ist aber tatsächlich noch ein Problem. Hat da noch jemand eine Idee? Das Eventlog:

Das Benutzer "PRINTER010"-Einstellungselement im Gruppenrichtlinienobjekt "Printer - Label {...}" wurde aufgrund eines Fehlers nicht angewendet. Fehlercode: "0x80070bcb Der angegebene Druckertreiber wurde nicht im System gefunden und muss heruntergeladen werden." Dieser Fehler wurde unterdrückt..

Point to Print auf dem Benutzer (von früher) und dem Computer ist angewendet.
Hab zu dem Fehler schon einiges gelesen aber eine passende Lösung scheint mir noch zu fehlen
Dirmhirn
Dirmhirn 14.09.2023 um 13:56:25 Uhr
Goto Top
Zu den Treibern gabs grad einen Thread: Netzwerkdrucker benötigt einmalig Adminrechte

Das mit der Gruppe hatte ich auch schon mal. Manchmal hst es 1-2 Tage gedauert, bis die Gruppe übernommen wurde. (Neustart, gpupdate...) 2 mal hab ich die Gruppe auch gelöscht und neu erstellt. Dann gings.
KodaCH
KodaCH 14.09.2023 um 14:49:32 Uhr
Goto Top
Danke. Das schaue ich mir an