Drucker GPO auf Computer verteilen - Problem bei Vertrauensstellung
Hallo,
ich habe folgendes Problem:
- ich habe einen Domänenencontroller Server2008R2 mit der DomäneA
- dort wurde ein Benutzer BenutzerA angelegt (Berechtigung: Domänen-Benutzer)
- es ist ein ClientA (Windows7Prof) erfolgreich in die DomäneA aufgenommen worden
- es ist nun einen Vertrauensstellung von der DomäneA auf die DomäneB eingerichtet worden(Bidirektional)
- es ist nun möglich mich am ClientA mit Benutzern der DomäneA sowie Benutzern der DomäneB (DomäneB\xxx )anzumelden
- Frage1: wird dieser Zusatz der DomäneB\ nicht mit angegeben funktioniert es auch nicht (ist es möglich dies irgendwie zu umgehen eventuell mit einer bestimmten Einstellung etc?)
- Die komplette AD des Domänencontroller DomäneA wird auf einen anderen Domänencontroller (Server 2012R2) DomäneReplik repliziert
- Auf DomäneReplik ist eine Druckerverwaltung installiert die die Drucker per Gruppenrichtlinie auf den ClientA direkt auf den Computer (nicht Benutzer) ausbringt
- Frage2: Melde ich mich nun an ClientA mit BenutzerA an der DomäneA an bekomme ich den Drucker per GPO, melde ich mich an ClientA mit Benutzer aus DomäneB\Benutzer taucht der per GPO vergeben Drucker nicht auf
- Der Drucker wird aber auf den Computer ausgebracht und nicht auf den Benutzer als theoretisch müsste dies ja funktionieren und ich muss keine weiteren Berechtigungen der Benutzer auf der DomäneB vergeben bzw die GPO auf Benutzer der DomäneB zulassen.
Diese vorhandene Aufstellung/Verteilung der Domänencontroller habe ich nicht gemacht. Also für mich gibt es nur die Möglichkeit dort Umstellungen durchzuführen um den Drucker für alle verfügbar zu machen. Zusätzlich habe ich mir sämtliche Anleitungen durchgelesen oder nach dem Problem recherchiert, jeder hat dort aber andere Konfigurationen vorgenommen so das ich dadurch keine Lösung finden konnte. Eventuell fällt hier jemandem direkt der Fehler auf und kann mir damit helfen.
Vielen Dank im Vorraus
ich habe folgendes Problem:
- ich habe einen Domänenencontroller Server2008R2 mit der DomäneA
- dort wurde ein Benutzer BenutzerA angelegt (Berechtigung: Domänen-Benutzer)
- es ist ein ClientA (Windows7Prof) erfolgreich in die DomäneA aufgenommen worden
- es ist nun einen Vertrauensstellung von der DomäneA auf die DomäneB eingerichtet worden(Bidirektional)
- es ist nun möglich mich am ClientA mit Benutzern der DomäneA sowie Benutzern der DomäneB (DomäneB\xxx )anzumelden
- Frage1: wird dieser Zusatz der DomäneB\ nicht mit angegeben funktioniert es auch nicht (ist es möglich dies irgendwie zu umgehen eventuell mit einer bestimmten Einstellung etc?)
- Die komplette AD des Domänencontroller DomäneA wird auf einen anderen Domänencontroller (Server 2012R2) DomäneReplik repliziert
- Auf DomäneReplik ist eine Druckerverwaltung installiert die die Drucker per Gruppenrichtlinie auf den ClientA direkt auf den Computer (nicht Benutzer) ausbringt
- Frage2: Melde ich mich nun an ClientA mit BenutzerA an der DomäneA an bekomme ich den Drucker per GPO, melde ich mich an ClientA mit Benutzer aus DomäneB\Benutzer taucht der per GPO vergeben Drucker nicht auf
- Der Drucker wird aber auf den Computer ausgebracht und nicht auf den Benutzer als theoretisch müsste dies ja funktionieren und ich muss keine weiteren Berechtigungen der Benutzer auf der DomäneB vergeben bzw die GPO auf Benutzer der DomäneB zulassen.
Diese vorhandene Aufstellung/Verteilung der Domänencontroller habe ich nicht gemacht. Also für mich gibt es nur die Möglichkeit dort Umstellungen durchzuführen um den Drucker für alle verfügbar zu machen. Zusätzlich habe ich mir sämtliche Anleitungen durchgelesen oder nach dem Problem recherchiert, jeder hat dort aber andere Konfigurationen vorgenommen so das ich dadurch keine Lösung finden konnte. Eventuell fällt hier jemandem direkt der Fehler auf und kann mir damit helfen.
Vielen Dank im Vorraus
Please also mark the comments that contributed to the solution of the article
Content-Key: 267026
Url: https://administrator.de/contentid/267026
Printed on: May 2, 2024 at 21:05 o'clock
6 Comments
Latest comment
Moin,
[OT] ich glaub ich seh rot, wird das ein Bilderrätsel, oder gestern keine SoFi-Brille aufgesetzt ? [/OT]
zu Frage1:
Erstelle dir einen universell gültigen UPN-Suffix für beide Domains und weise diesen allen Nutzern zu und gewöhne die Nutzer daran sich mit username@deinUPNSuffix.de anzumelden. Wenn man das so gestalltet das dies die E-Mail-Adressen der Nutzer abbildet, können sich das die Nutzer auch leicht merken.
https://technet.microsoft.com/en-us/library/cc772007.aspx
zu Frage2:
Da würde ich zuerst mal prüfen ob die GPO auch wirklich auf beide Domains wirken. rsop.msc oder gpresult /h und die üblichen Trouble-Shooting-Tools in der GPMC
Gruß jodel32
[OT] ich glaub ich seh rot, wird das ein Bilderrätsel, oder gestern keine SoFi-Brille aufgesetzt ? [/OT]
zu Frage1:
Erstelle dir einen universell gültigen UPN-Suffix für beide Domains und weise diesen allen Nutzern zu und gewöhne die Nutzer daran sich mit username@deinUPNSuffix.de anzumelden. Wenn man das so gestalltet das dies die E-Mail-Adressen der Nutzer abbildet, können sich das die Nutzer auch leicht merken.
https://technet.microsoft.com/en-us/library/cc772007.aspx
zu Frage2:
Da würde ich zuerst mal prüfen ob die GPO auch wirklich auf beide Domains wirken. rsop.msc oder gpresult /h und die üblichen Trouble-Shooting-Tools in der GPMC
Gruß jodel32
Hi,
zu Frage 1
Nein, mit Prä2000Loginnamen (sAMAccountName) geht das nicht. Aber mit dem User Principal Name könnte es funktionieren (BenutzerB@DomäneB). Musste mal testen. Ich glaube, das geht nur bei Forest Trust, nicht bei Domain Trust. Schau also mal, was Ihr da habt.
zu Frage 2
Wenn bei Anmeldung eines Benutzer aus B der Drucker nicht da ist, dann kann er ja offensichtlich nicht auf den Client ausgerollt worden sein. Oder? Ich denke, Du hast hier eine per User Zuordnung. Und da ist es klar, dass für einen Benutzer nur die GPO's aus dem Forest des Benuzers gelten können.
E.
zu Frage 1
Nein, mit Prä2000Loginnamen (sAMAccountName) geht das nicht. Aber mit dem User Principal Name könnte es funktionieren (BenutzerB@DomäneB). Musste mal testen. Ich glaube, das geht nur bei Forest Trust, nicht bei Domain Trust. Schau also mal, was Ihr da habt.
zu Frage 2
Wenn bei Anmeldung eines Benutzer aus B der Drucker nicht da ist, dann kann er ja offensichtlich nicht auf den Client ausgerollt worden sein. Oder? Ich denke, Du hast hier eine per User Zuordnung. Und da ist es klar, dass für einen Benutzer nur die GPO's aus dem Forest des Benuzers gelten können.
E.
Auf welchem Container bzw. OU diese GPO verknüpft ist, hast du auch überprüft ?