14.09.2023

2692

Benutzer GPO - Druckerzuweisung mit Sicherheitsgruppe geht nicht

Ich habe eine GPO für die Druckerzuweisung auf die Benutzer. Die Drucker werden mittels Zielgruppenadressierung auf Sicherheitsgruppen gelegt und so gelöscht oder erstellt.

Aber irgendwie funktioniert das mehr schlecht als recht.

Ich habe neue Label Drucker eingefügt und die Sicherheitsgruppe erstellt. Der Benutzer ist in der Sicherheitsgruppe. Wenn ich in der Filterung anstelle der Sicherheitsgruppe einen Benutzer einfüge funktioniert die GPO ohne probleme.
Also scheint eher ein Problem durch die Sicherheitsgruppe zu sein.
Ich komme jedoch gerade nicht auf die Idee wo ich den Fehler suchen könnte.

Hat jemand eine Idee wo ich den Fehler suchen könnte?

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 93513441586

Url: https://administrator.de/contentid/93513441586

Ausgedruckt am: 21.11.2024 um 22:11 Uhr

20 Kommentare

Neuester Kommentar

soweit ich weis kannst du drucker nur per machine zuordnen, nicht per user. Irrtum vorbehalten.

Wenn Du eine Gruppe neu erstellst und den Nutzer reinpackst, ist er erst bei der nächsten Anmeldung in dieser Gruppe.

Danke für deine Rückmeldung. Das wäre mir aber ganz neu. Es ist ja auch eine User GPO die dafür existiert und teilweise ja auch funktioniert

Zitat von @DerWoWusste:

Wenn Du eine Gruppe neu erstellst und den Nutzer reinpackst, ist er erst bei der nächsten Anmeldung in dieser Gruppe.

Danke. Das wurde berücksichtigt. Sogar schon 24 Stunden gewartet und sicher 5 Neustarts und gpupdate /force hinter mir (und anderen

)

Edit: Ich habe testweise auch schon eine neue Sicherheitsgruppe angelegt

Und ein als Nutzer ausgeführtes

whoami /groups | findstr /i gruppenname

findet die Gruppe?

Ja die Gruppe wird aufgelistet und zeigt auch die selbe SID an welche in der GPO ebenfalls beim Filter angezeigt wird

Hi,
erstelle mal im Kontext des angemeldeten Benutzers einen Report.

gpresult /H "%temp%\gpresult.html" /F

Dann schau Dir die erzeugte HTML an. Dort werden auch die Gruppen aufgelistet, in welchen der Benutzer zum Zeitpunkt der Erstellung des RSOP Mitglied war. Wird dort die betreffende Gruppe aufgelistet?

E.

kann ein AD user einen drucker zugewiesen bekommen der auf dem client noch nicht installiert ist?

Hast Du da mehrere Domänen in einer Gesamtstruktur?
Falls ja: In welchen Domänen befinden sich Gruppe und Computer? Und falls das verschiedene sind: Welches Scope hat die Gruppe?

Zitat von @user217:
kann ein AD user einen drucker zugewiesen bekommen der auf dem client noch nicht installiert ist?

TO schreibt doch, das es funktioniert, wenn statt einer Gruppe ein Benutzer eingetragen wird.

Zitat von @emeriks:

Dann schau Dir die erzeugte HTML an. Dort werden auch die Gruppen aufgelistet, in wlechen der Benutzer zum Zeitpunkt der Erstellung des RSOP Mitglied war. Wird dort die betreffende Gruppe aufgelistet?

Ja. Auch dort ist die Gruppe zu sehen

EDIT

Hast Du da mehrere Domänen in einer Gesamtstruktur?

Nein es ist nur eine
Struktur ungefähr so:
company
- benutzer (Hier ist die GPO drin)
- gruppen
--printer

Welches Scope hat die Gruppe?

Global / Sicherheit

kann ein AD user einen drucker zugewiesen bekommen der auf dem client noch nicht installiert ist?

Er schreibt doch schon, dass es funktioniert, wenn der Nutzer direkt angegeben wird.
Abgesehen davon: wenn der Druckertreiber schon auf dem PC existiert (z.B. in Windows eingebaut), dann geht das, sonst nur mit Adminrechten oder nach Modifikationen.

Wenn ich in der Filterung anstelle der Sicherheitsgruppe einen Benutzer einfüge funktioniert die GPO ohne probleme.

Wie soll man das jetzt verstehen? Reden wir von ITL oder Sicherheitsfilterung?
Bei ITL kann man ja keinen Benutzer auswählen, wenn man auf "Mitglied in" prüft.

Aktuell habe ich unter Benutzerkonfiguration --> Einstellungen --> Systemsteuerungseinstellungen --> Drucker die ganze Konfiguration
Ich habe als Aktion Erstellen, habe den Freigabepfad und unter Gemeinsame Optionen die "Zielgruppenadressierung auf Elementebene" aktiviert.
Wenn ich in der Adressierung "Benutzer ist Mitglied der Sicherheitsgruppe" die Gruppe einfüge, will es meist nicht funktionieren (Windows Server 2016 und Windows 10)
Wenn ich als Element anstelle der Sicherheitsgruppe den Benutzer prüfe funktioniert es.

Sind da mehrere DC und falls ja, ist die Replikation fehlerfrei?

Es sind 2 DC's, und die Replikation ist gem " dcdiag /test:replications" fehlerfrei.

Zitat von @DerWoWusste:

kann ein AD user einen drucker zugewiesen bekommen der auf dem client noch nicht installiert ist?

richtig, er schreibt das es sporadisch funktioniert. Es wäre ja möglich das auf manchen der treiber läuft und auf manchen nicht. Darauf wollte ich eigentlich hinaus.

Ich habe nun zum zweiten mal eine neue Sicherheitsgruppe erstellt. Nun geht es. Ich weiss nicht was es war.

Das mit dem Treiber ist aber tatsächlich noch ein Problem. Hat da noch jemand eine Idee? Das Eventlog:

Das Benutzer "PRINTER010"-Einstellungselement im Gruppenrichtlinienobjekt "Printer - Label {...}" wurde aufgrund eines Fehlers nicht angewendet. Fehlercode: "0x80070bcb Der angegebene Druckertreiber wurde nicht im System gefunden und muss heruntergeladen werden." Dieser Fehler wurde unterdrückt..

Point to Print auf dem Benutzer (von früher) und dem Computer ist angewendet.
Hab zu dem Fehler schon einiges gelesen aber eine passende Lösung scheint mir noch zu fehlen

Zu den Treibern gabs grad einen Thread: Netzwerkdrucker benötigt einmalig Adminrechte

Das mit der Gruppe hatte ich auch schon mal. Manchmal hst es 1-2 Tage gedauert, bis die Gruppe übernommen wurde. (Neustart, gpupdate...) 2 mal hab ich die Gruppe auch gelöscht und neu erstellt. Dann gings.