6
Drucker GPO auf Computer verteilen - Problem bei Vertrauensstellung
Hallo,
ich habe folgendes Problem:
- ich habe einen Domänenencontroller Server2008R2 mit der DomäneA
- dort wurde ein Benutzer BenutzerA angelegt (Berechtigung: Domänen-Benutzer)
- es ist ein ClientA (Windows7Prof) erfolgreich in die DomäneA aufgenommen worden
- es ist nun einen Vertrauensstellung von der DomäneA auf die DomäneB eingerichtet worden(Bidirektional)
- es ist nun möglich mich am ClientA mit Benutzern der DomäneA sowie Benutzern der DomäneB (DomäneB\xxx )anzumelden
- Frage1: wird dieser Zusatz der DomäneB\ nicht mit angegeben funktioniert es auch nicht (ist es möglich dies irgendwie zu umgehen eventuell mit einer bestimmten Einstellung etc?)
- Die komplette AD des Domänencontroller DomäneA wird auf einen anderen Domänencontroller (Server 2012R2) DomäneReplik repliziert
- Auf DomäneReplik ist eine Druckerverwaltung installiert die die Drucker per Gruppenrichtlinie auf den ClientA direkt auf den Computer (nicht Benutzer) ausbringt
- Frage2: Melde ich mich nun an ClientA mit BenutzerA an der DomäneA an bekomme ich den Drucker per GPO, melde ich mich an ClientA mit Benutzer aus DomäneB\Benutzer taucht der per GPO vergeben Drucker nicht auf
- Der Drucker wird aber auf den Computer ausgebracht und nicht auf den Benutzer als theoretisch müsste dies ja funktionieren und ich muss keine weiteren Berechtigungen der Benutzer auf der DomäneB vergeben bzw die GPO auf Benutzer der DomäneB zulassen.
Diese vorhandene Aufstellung/Verteilung der Domänencontroller habe ich nicht gemacht. Also für mich gibt es nur die Möglichkeit dort Umstellungen durchzuführen um den Drucker für alle verfügbar zu machen. Zusätzlich habe ich mir sämtliche Anleitungen durchgelesen oder nach dem Problem recherchiert, jeder hat dort aber andere Konfigurationen vorgenommen so das ich dadurch keine Lösung finden konnte. Eventuell fällt hier jemandem direkt der Fehler auf und kann mir damit helfen.
Vielen Dank im Vorraus
ich habe folgendes Problem:
- ich habe einen Domänenencontroller Server2008R2 mit der DomäneA
- dort wurde ein Benutzer BenutzerA angelegt (Berechtigung: Domänen-Benutzer)
- es ist ein ClientA (Windows7Prof) erfolgreich in die DomäneA aufgenommen worden
- es ist nun einen Vertrauensstellung von der DomäneA auf die DomäneB eingerichtet worden(Bidirektional)
- es ist nun möglich mich am ClientA mit Benutzern der DomäneA sowie Benutzern der DomäneB (DomäneB\xxx )anzumelden
- Frage1: wird dieser Zusatz der DomäneB\ nicht mit angegeben funktioniert es auch nicht (ist es möglich dies irgendwie zu umgehen eventuell mit einer bestimmten Einstellung etc?)
- Die komplette AD des Domänencontroller DomäneA wird auf einen anderen Domänencontroller (Server 2012R2) DomäneReplik repliziert
- Auf DomäneReplik ist eine Druckerverwaltung installiert die die Drucker per Gruppenrichtlinie auf den ClientA direkt auf den Computer (nicht Benutzer) ausbringt
- Frage2: Melde ich mich nun an ClientA mit BenutzerA an der DomäneA an bekomme ich den Drucker per GPO, melde ich mich an ClientA mit Benutzer aus DomäneB\Benutzer taucht der per GPO vergeben Drucker nicht auf
- Der Drucker wird aber auf den Computer ausgebracht und nicht auf den Benutzer als theoretisch müsste dies ja funktionieren und ich muss keine weiteren Berechtigungen der Benutzer auf der DomäneB vergeben bzw die GPO auf Benutzer der DomäneB zulassen.
Diese vorhandene Aufstellung/Verteilung der Domänencontroller habe ich nicht gemacht. Also für mich gibt es nur die Möglichkeit dort Umstellungen durchzuführen um den Drucker für alle verfügbar zu machen. Zusätzlich habe ich mir sämtliche Anleitungen durchgelesen oder nach dem Problem recherchiert, jeder hat dort aber andere Konfigurationen vorgenommen so das ich dadurch keine Lösung finden konnte. Eventuell fällt hier jemandem direkt der Fehler auf und kann mir damit helfen.
Vielen Dank im Vorraus
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 267026
Url: https://administrator.de/contentid/267026
Printed on: April 23, 2024 at 10:04 o'clock
6 Comments
Latest comment
Moin,
[OT] ich glaub ich seh rot, wird das ein Bilderrätsel, oder gestern keine SoFi-Brille aufgesetzt
? [/OT]
zu Frage1:
Erstelle dir einen universell gültigen UPN-Suffix für beide Domains und weise diesen allen Nutzern zu und gewöhne die Nutzer daran sich mit username@deinUPNSuffix.de anzumelden. Wenn man das so gestalltet das dies die E-Mail-Adressen der Nutzer abbildet, können sich das die Nutzer auch leicht merken.
https://technet.microsoft.com/en-us/library/cc772007.aspx
zu Frage2:
Da würde ich zuerst mal prüfen ob die GPO auch wirklich auf beide Domains wirken. rsop.msc oder gpresult /h und die üblichen Trouble-Shooting-Tools in der GPMC
Gruß jodel32
[OT] ich glaub ich seh rot, wird das ein Bilderrätsel, oder gestern keine SoFi-Brille aufgesetzt
? [/OT]zu Frage1:
Erstelle dir einen universell gültigen UPN-Suffix für beide Domains und weise diesen allen Nutzern zu und gewöhne die Nutzer daran sich mit username@deinUPNSuffix.de anzumelden. Wenn man das so gestalltet das dies die E-Mail-Adressen der Nutzer abbildet, können sich das die Nutzer auch leicht merken.
https://technet.microsoft.com/en-us/library/cc772007.aspx
zu Frage2:
Da würde ich zuerst mal prüfen ob die GPO auch wirklich auf beide Domains wirken. rsop.msc oder gpresult /h und die üblichen Trouble-Shooting-Tools in der GPMC
Gruß jodel32
1
Hi,
zu Frage 1
Nein, mit Prä2000Loginnamen (sAMAccountName) geht das nicht. Aber mit dem User Principal Name könnte es funktionieren (BenutzerB@DomäneB). Musste mal testen. Ich glaube, das geht nur bei Forest Trust, nicht bei Domain Trust. Schau also mal, was Ihr da habt.
zu Frage 2
Wenn bei Anmeldung eines Benutzer aus B der Drucker nicht da ist, dann kann er ja offensichtlich nicht auf den Client ausgerollt worden sein. Oder? Ich denke, Du hast hier eine per User Zuordnung. Und da ist es klar, dass für einen Benutzer nur die GPO's aus dem Forest des Benuzers gelten können.
E.
zu Frage 1
Nein, mit Prä2000Loginnamen (sAMAccountName) geht das nicht. Aber mit dem User Principal Name könnte es funktionieren (BenutzerB@DomäneB). Musste mal testen. Ich glaube, das geht nur bei Forest Trust, nicht bei Domain Trust. Schau also mal, was Ihr da habt.
zu Frage 2
Wenn bei Anmeldung eines Benutzer aus B der Drucker nicht da ist, dann kann er ja offensichtlich nicht auf den Client ausgerollt worden sein. Oder? Ich denke, Du hast hier eine per User Zuordnung. Und da ist es klar, dass für einen Benutzer nur die GPO's aus dem Forest des Benuzers gelten können.
E.
Vielen Dank für die schnellen Antworten !
zu Frage 1: Ok, werde mich mit diesem Thema auseinandersetzen.
zu Frage 2: Ich hab das gerade nochmals kontrolliert, die GPO wird "pro Computer" ausgerollt. Dies steht so bei der Druckerverwaltung "Drucker durch GPO freigeben" sowie wenn ich direkt unter Gruppenrichtlinien die GPO einsehe und die Bäume öffne, gelange ich unter "Computer->Windows->Drucker" auf den von mir bereitgestellten Drucker. Dies ist auch mein Gedanke, den Drucker so zu verteilen. Eigentlich sollte es pro Computer verteilt werden und deswegen nicht am Benutzer scheitern. Zudem habe ich schon mehrere Benutzer (vorhandene, neu erstellte) der DomäneA angemeldet, alle bekommen diesen Drucker. Nur die von DomäneB nicht.
zu Frage 1: Ok, werde mich mit diesem Thema auseinandersetzen.
zu Frage 2: Ich hab das gerade nochmals kontrolliert, die GPO wird "pro Computer" ausgerollt. Dies steht so bei der Druckerverwaltung "Drucker durch GPO freigeben" sowie wenn ich direkt unter Gruppenrichtlinien die GPO einsehe und die Bäume öffne, gelange ich unter "Computer->Windows->Drucker" auf den von mir bereitgestellten Drucker. Dies ist auch mein Gedanke, den Drucker so zu verteilen. Eigentlich sollte es pro Computer verteilt werden und deswegen nicht am Benutzer scheitern. Zudem habe ich schon mehrere Benutzer (vorhandene, neu erstellte) der DomäneA angemeldet, alle bekommen diesen Drucker. Nur die von DomäneB nicht.
Auf welchem Container bzw. OU diese GPO verknüpft ist, hast du auch überprüft ?
Ja, die GPO wurde erstellt und im Anschluss auf die OU des Raumes verknüpft. Da die Zuweisung ja auf "Computer" erfolgen soll ist dies in meine Fall der Raum122, sprich dort wo der PC steht. Auch erst nach Zuweisung der GPO auf R122 konnten die Benutzer der DomäneA den Drucker erhalten. Davor ging das nicht. Es sollte also die GPO soweit korrekt sein. Mein Verdacht liegt hier bei den Berechtigungen mit der Vertrauensstellung. Dort habe ich keine Berechtigungen vergeben, was ich bei einer Zuweisung auf den Benutzer natürlich gemacht hätte. Die GPO soll genau aus diesem Grund auf "Computer" greifen, dass keine weiteren Berechtigungen gesetzt werden müssen.
Anmerkung: Zusätzlich habe ich die GPO Erzwungen und nun testweise auch die Berechtigung GPO soll greifen für: "Jeder" zusätzlich hinzugefügt, dort waren Standardmäßig "Authentifizierte Benutzer" drin. Die GPO brauchen ja auch eine bestimmte Zeit bis diese greifen, habe allerdings mehrere Stunde gewartet, die Richtlinien mehrmals mit gpupdate, gpupdate/force aktulisiert sowie den Rechner mehrmals neugestartet.
Anmerkung: Zusätzlich habe ich die GPO Erzwungen und nun testweise auch die Berechtigung GPO soll greifen für: "Jeder" zusätzlich hinzugefügt, dort waren Standardmäßig "Authentifizierte Benutzer" drin. Die GPO brauchen ja auch eine bestimmte Zeit bis diese greifen, habe allerdings mehrere Stunde gewartet, die Richtlinien mehrmals mit gpupdate, gpupdate/force aktulisiert sowie den Rechner mehrmals neugestartet.
so ich konnte das Problem nun analysieren:
es ist auf dem DomäneReplik (Server2012) die Druckerverwaltung installiert worden. Installiere ich die Druckerverwaltung auf dem Haupt- Domänencontroller (Server2008) funktioniert alles ohne Probleme.
Der DomäneReplik repliziert (vom Haupt- Domänencontroller (Server2008) die Vertrauensstellung sowie alle anderen AD Einstellungen, diese werden auch alle angezeigt. Gehe ich allerdings auf dem DomäneReplik (Server2012) auf die "AD Benutzer und Computer", wähle die DomäneB aus und lasse dort Benutzer und Gruppen suchen findet er keine. Beim Haupt- Domänencontroller (Server2008) funktioniert dies. Es steht bei Vertrauenstellungen: Diese DomäneA vertraut DomäneB und andersrum.
Theoretisch sollte das doch keine Probleme ergeben oder muss ich der DomäneB speziell nochmal sagen das sie auch dem Replik AD vertrauen darf, obwohl dieser die gleiche Domäne hat.
es ist auf dem DomäneReplik (Server2012) die Druckerverwaltung installiert worden. Installiere ich die Druckerverwaltung auf dem Haupt- Domänencontroller (Server2008) funktioniert alles ohne Probleme.
Der DomäneReplik repliziert (vom Haupt- Domänencontroller (Server2008) die Vertrauensstellung sowie alle anderen AD Einstellungen, diese werden auch alle angezeigt. Gehe ich allerdings auf dem DomäneReplik (Server2012) auf die "AD Benutzer und Computer", wähle die DomäneB aus und lasse dort Benutzer und Gruppen suchen findet er keine. Beim Haupt- Domänencontroller (Server2008) funktioniert dies. Es steht bei Vertrauenstellungen: Diese DomäneA vertraut DomäneB und andersrum.
Theoretisch sollte das doch keine Probleme ergeben oder muss ich der DomäneB speziell nochmal sagen das sie auch dem Replik AD vertrauen darf, obwohl dieser die gleiche Domäne hat.
