14
Drucker per GPO auf Userebene freigeben
Hallo zusammen,
ich möchte gerne folgendes realisieren:
2 neue Drucker sollen per GPO (falls möglich eine einzige GPO) an bestimmte User freigegeben werden. Der Server ist ein 2012R2 ebenso der Printserver.
Nun erstelle ich eine GPO für Benutzersettings ->
Der Drucker 178.5 soll für User X nur freigegeben werden. Dieses versuche ich über den abgebildeten Modus zu verfeinern.
Trotz, dass ich die GPO auch nach ganz oben geschoben habe, greift die Freigabe nicht so, wie ich das möchte. Denn wenn User Y den 178.66 freigegeben bekommt und dann neustartet, hat er auch den Drucker 178.5 unter den Geräten und das möchte ich vermeiden.
Hat jemand eine Idee / Tipp wie ich das realisieren kann? Vielleicht kann mir auch jemand ein Best-Practise nennen?
Die Variante über die Computer-Konfiguration funktioniert fehlerfrei aber es muss zwingend im User- und nicht Maschinenkontext erfolgen.
ich möchte gerne folgendes realisieren:
2 neue Drucker sollen per GPO (falls möglich eine einzige GPO) an bestimmte User freigegeben werden. Der Server ist ein 2012R2 ebenso der Printserver.
Nun erstelle ich eine GPO für Benutzersettings ->
Der Drucker 178.5 soll für User X nur freigegeben werden. Dieses versuche ich über den abgebildeten Modus zu verfeinern.
Trotz, dass ich die GPO auch nach ganz oben geschoben habe, greift die Freigabe nicht so, wie ich das möchte. Denn wenn User Y den 178.66 freigegeben bekommt und dann neustartet, hat er auch den Drucker 178.5 unter den Geräten und das möchte ich vermeiden.
Hat jemand eine Idee / Tipp wie ich das realisieren kann? Vielleicht kann mir auch jemand ein Best-Practise nennen?
Die Variante über die Computer-Konfiguration funktioniert fehlerfrei aber es muss zwingend im User- und nicht Maschinenkontext erfolgen.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 344117
Url: https://administrator.de/forum/drucker-per-gpo-auf-userebene-freigeben-344117.html
Ausgedruckt am: 21.12.2024 um 14:12 Uhr
14 Kommentare
Neuester Kommentar
Hi,
fangen wir bitte mal mit der Terminologie an.
"Einem Benutzer einen Drucker freigeben" bedeutet, dem Benutzer direkt oder (besser) indirekt (über Gruppen) das Recht zum Druckern für einen freigegebenen Drucker zu erteilen.
Was Du aber wahrscheinlich meinst ist, einem Benutzer einen auf einem anderen Computer installierten und freigebenen Drucker zu verbinden? Richtig? (Druck über Windows Printserver)
Ich will damit nicht klug###ern, sondern nur Deine Changen auf hilfreiche Antworten vergrößern.
Könnte es sein, dass Du "Drucker installieren" und "Drucker verbinden" verwechselst? Wenn ein Drucker bereits auf einem Computer installiert und freigegeben ist, dann muss man den am Client nicht noch einmal installieren, sondern einfach nur für den Benutzer (oder per Computer für alle Benutzer dieses Computers) verbinden. Beim Verbinden wird ggf. nur der Treiber installiert. Der Druck erfolgt direkt in die Warteschlange des freigegebenen Druckers auf dem Printserver. Beim Installieren wird neben dem Treiber auch noch ein Druckerport eingerichtet sowie eine lokale Warteschlange. Der Drucker erfolgt über die lokale Warteschlange am Windows Printserver vorbei.
E.
fangen wir bitte mal mit der Terminologie an.
"Einem Benutzer einen Drucker freigeben" bedeutet, dem Benutzer direkt oder (besser) indirekt (über Gruppen) das Recht zum Druckern für einen freigegebenen Drucker zu erteilen.
Was Du aber wahrscheinlich meinst ist, einem Benutzer einen auf einem anderen Computer installierten und freigebenen Drucker zu verbinden? Richtig? (Druck über Windows Printserver)
Ich will damit nicht klug###ern, sondern nur Deine Changen auf hilfreiche Antworten vergrößern.
Denn wenn User Y den 178.66 freigegeben bekommt und dann neustartet, hat er auch den Drucker 178.5 unter den Geräten und das möchte ich vermeiden.
Dein Anliegen verstehe ich rein inhaltlich nicht. Erstmal "178.66" vs. "178.5". Schreibfehler? Willst Du uns sagen, dass er dann den falschen Drucker hat? Oder ist es die Tatsache, dass der Drucker unter "Geräte" auftaucht?Die Variante über die Computer-Konfiguration funktioniert fehlerfrei aber es muss zwingend im User- und nicht Maschinenkontext erfolgen.
Das mit dem "fehlerfrei" hängt jetzt von Deiner Antwort auf meine o.g. Fragen ab. Welches ist denn der Fehler?Könnte es sein, dass Du "Drucker installieren" und "Drucker verbinden" verwechselst? Wenn ein Drucker bereits auf einem Computer installiert und freigegeben ist, dann muss man den am Client nicht noch einmal installieren, sondern einfach nur für den Benutzer (oder per Computer für alle Benutzer dieses Computers) verbinden. Beim Verbinden wird ggf. nur der Treiber installiert. Der Druck erfolgt direkt in die Warteschlange des freigegebenen Druckers auf dem Printserver. Beim Installieren wird neben dem Treiber auch noch ein Druckerport eingerichtet sowie eine lokale Warteschlange. Der Drucker erfolgt über die lokale Warteschlange am Windows Printserver vorbei.
Der Drucker 178.5 soll für User X nur freigegeben werden. Dieses versuche ich über den abgebildeten Modus zu verfeinern.
Ich verstehe auch nicht, was die Zielgruppenadressierung mit der Tatsache "für User X nur freigegeben werden" zu tun hat. Oder meinst Du "nur für User X freigegeben werden"? Und statt "freigegeben" richtigerweise "verbunden".E.
Guten Morgen!
fangen wir bitte mal mit der Terminologie an.
"Einem Benutzer einen Drucker freigeben" bedeutet, dem Benutzer direkt oder (besser) indirekt (über Gruppen) das Recht zum Druckern für einen freigegebenen Drucker zu erteilen.
Was Du aber wahrscheinlich meinst ist, einem Benutzer einen auf einem anderen Computer installierten und freigebenen Drucker zu verbinden? Richtig? (Druck über Windows Printserver)
Ich will damit nicht klug###ern, sondern nur Deine Changen auf hilfreiche Antworten vergrößern.
"Einem Benutzer einen Drucker freigeben" bedeutet, dem Benutzer direkt oder (besser) indirekt (über Gruppen) das Recht zum Druckern für einen freigegebenen Drucker zu erteilen.
Was Du aber wahrscheinlich meinst ist, einem Benutzer einen auf einem anderen Computer installierten und freigebenen Drucker zu verbinden? Richtig? (Druck über Windows Printserver)
Ich will damit nicht klug###ern, sondern nur Deine Changen auf hilfreiche Antworten vergrößern.
Also die Drucker sind allesamt auf dem Printserver und sollen dann dem User zur Verfügung stehen, sobald er sich angemeldet hat (quasi dann wenn die GPO greifen soll).
Denn wenn User Y den 178.66 freigegeben bekommt und dann neustartet, hat er auch den Drucker 178.5 unter den Geräten und das möchte ich vermeiden.
Dein Anliegen verstehe ich rein inhaltlich nicht. Erstmal "178.66" vs. "178.5". Schreibfehler?Nein, kein Schreibfehler, der 2. Drucker hat die .66
Willst Du uns sagen, dass er dann den falschen Drucker hat? Oder ist es die Tatsache, dass der Drucker unter "Geräte" auftaucht?
In dem von mir getesteten Szenario hatte hatten dann beide User plötzlich auch beide Drucker obwohl ich das über die Zielgruppenadressierung "filtern" wollte.
Die Variante über die Computer-Konfiguration funktioniert fehlerfrei aber es muss zwingend im User- und nicht Maschinenkontext erfolgen.
Das mit dem "fehlerfrei" hängt jetzt von Deiner Antwort auf meine o.g. Fragen ab. Welches ist denn der Fehler?Könnte es sein, dass Du "Drucker installieren" und "Drucker verbinden" verwechselst? Wenn ein Drucker bereits auf einem Computer installiert und freigegeben ist, dann muss man den am Client nicht noch einmal installieren, sondern einfach nur für den Benutzer (oder per Computer für alle Benutzer dieses Computers) verbinden. Beim Verbinden wird ggf. nur der Treiber installiert. Der Druck erfolgt direkt in die Warteschlange des freigegebenen Druckers auf dem Printserver. Beim Installieren wird neben dem Treiber auch noch ein Druckerport eingerichtet sowie eine lokale Warteschlange. Der Drucker erfolgt über die lokale Warteschlange am Windows Printserver vorbei.
Der Drucker 178.5 soll für User X nur freigegeben werden. Dieses versuche ich über den abgebildeten Modus zu verfeinern.
Ich verstehe auch nicht, was die Zielgruppenadressierung mit der Tatsache "für User X nur freigegeben werden" zu tun hat. Oder meinst Du "nur für User X freigegeben werden"? Und statt "freigegeben" richtigerweise "verbunden".E.
Zu dem würde mich auch interessieren, wie du das selbst machen würdest. Oder auch deine Vorgehensweise wenn du Drucker ebenfalls pro Benutzer zur Verfügung stellen möchtest. Müsste man die Drucker GPO dann quasi ganz oben ansetzen damit die dann auf alle unteren OUs spezifisch greift oder würdest du pro OU eine GPO erstellen wo jeweils der Drucker separat freigegeben werden soll?
Gruß,
Stefan
Zu dem würde mich auch interessieren, wie du das selbst machen würdest. Oder auch deine Vorgehensweise wenn du Drucker ebenfalls pro Benutzer zur Verfügung stellen möchtest. Müsste man die Drucker GPO dann quasi ganz oben ansetzen damit die dann auf alle unteren OUs spezifisch greift oder würdest du pro OU eine GPO erstellen wo jeweils der Drucker separat freigegeben werden soll?
Du bist also ganz allgemein in puncto GPO ein Anfänger ...? Keine Schande. 
Viele Wege führen nach Rumänien. Du kannst entweder 2 GPO schreiben, jede nur einem der beiden Benutzer per Sicherheitsfilterung oder Vererbungspfad zuweisen. Oder Du schreibst nur eine GPO, lässt sie für beide Benutzer in der Sicherheitsfilterung wirken, für beide im Vererbungsfad und filterst es dann über die Zielgruppenadressierung. Das ist eine ganz allgemeine Aufgabenstellung im Kontext GPO, vollkommen unabhängig vom Thema Drucker.
Wie rum Du das machst, ist - auf das Ergebnis bezogen - Jacke wie Hose. Wenn es nur diese beiden Benutzer sind (oder ein paar), dann würde ich das wahrscheinlich auch nur über eine GPO erledigen und dabei auf die Zielgruppenadressierung zurückgreifen. Wenn es im Endeffekt für viele Benutzer gelten soll, dann würde ich a) die GPO nicht für Benutzer sondern für Gruppen filtern (man müsste die Benutzer also gruppieren) und b) Sicherheitsfilterung verwenden. Zielgruppenadressierung geht über WMI ist deutlich langsamer.
Also die Drucker sind allesamt auf dem Printserver und sollen dann dem User zur Verfügung stehen, sobald er sich angemeldet hat
Das hätten wir dann geklärt. Du willst verbinden, nicht installieren.Dein Screenshot suggeriert mir, dass Du in den Benutzereinstellungen bei den Druckern "TCP/IP Drucker" ausgewählt hast. Richtig? Falls ja, dann wäre das falsch. Du musst einen "freigegeben Drucker" hinzufügen.
Grüß dich,
kannst du mir noch sagen welche Option hiervon genau benötigt wird?
Was muss ich genau machen, damit sich der Drucker dann entsprechend entfernt, wenn der User z.B. NICHT mehr in der entsprechenden Sicherheitsgruppe ist? Beispiel: temporäre Freigabe eines alternativen Druckers falls der primäre Drucker defekt ist.
Gruß,
Stefan
P.S. den Rest teste ich gerade
kannst du mir noch sagen welche Option hiervon genau benötigt wird?
Was muss ich genau machen, damit sich der Drucker dann entsprechend entfernt, wenn der User z.B. NICHT mehr in der entsprechenden Sicherheitsgruppe ist? Beispiel: temporäre Freigabe eines alternativen Druckers falls der primäre Drucker defekt ist.
Gruß,
Stefan
P.S. den Rest teste ich gerade
Na "Erstellen" sollte die Wahl sein.
Wenn Du später etwas änderst, z.B. "als Standarddrucker", dann auf "Ändern" setzen.
Wenn Du willst, dass der Drucker automatisch wieder veschwindet, dann bietet es sich z.B. an, dass Du ihn jedes Mal löschen und neu anlegen lässt. Die Drucker-Einstellungen werden in jener Reihenfolge, abgearbeitet, wie sie in der GPO stehen. Wenn Du also an erster Stelle ein Löschen des Druckers stellst, ohne weitere Einschränkung, und an zweiter Stelle das Erstellen des Druckers, eingeschränkt nur für diese Sicherheitsgruppe, dann sollte genau das rauskommen, was Du haben wilst.
Wenn Du später etwas änderst, z.B. "als Standarddrucker", dann auf "Ändern" setzen.
Wenn Du willst, dass der Drucker automatisch wieder veschwindet, dann bietet es sich z.B. an, dass Du ihn jedes Mal löschen und neu anlegen lässt. Die Drucker-Einstellungen werden in jener Reihenfolge, abgearbeitet, wie sie in der GPO stehen. Wenn Du also an erster Stelle ein Löschen des Druckers stellst, ohne weitere Einschränkung, und an zweiter Stelle das Erstellen des Druckers, eingeschränkt nur für diese Sicherheitsgruppe, dann sollte genau das rauskommen, was Du haben wilst.
1
Danke!
Nun habe ich noch zwei offene Fragen:
1. Sicherheitsfilterung: Kann man die Authentifizierten Benutzer entfernen und z.B. NUR die AD-Gruppe hinzufügen, die den Drucker bekommen soll? Wie verhält es sich wenn die AD Gruppe außerhalb der eigentlichen OU sitzt wo die GPO angesiedelt ist?
2. Gibt es einen Grund dafür, dass die GPO unter Windows 10 nicht greift aber unter WIN7 und WIN8.1 problemlos? Da hätte ich wieder Wissensdurst ;)
Nun habe ich noch zwei offene Fragen:
1. Sicherheitsfilterung: Kann man die Authentifizierten Benutzer entfernen und z.B. NUR die AD-Gruppe hinzufügen, die den Drucker bekommen soll? Wie verhält es sich wenn die AD Gruppe außerhalb der eigentlichen OU sitzt wo die GPO angesiedelt ist?
2. Gibt es einen Grund dafür, dass die GPO unter Windows 10 nicht greift aber unter WIN7 und WIN8.1 problemlos? Da hätte ich wieder Wissensdurst ;)
1. Sicherheitsfilterung: Kann man die Authentifizierten Benutzer entfernen und z.B. NUR die AD-Gruppe hinzufügen, die den Drucker bekommen soll?
Ja. Aber aufpassen: Die "Authentifizierten Benutzer" müssen diese GPO weiterhin lesen können! (Siehe "Delegierung")Wie verhält es sich wenn die AD Gruppe außerhalb der eigentlichen OU sitzt wo die GPO angesiedelt ist?
Das funktioniert. Gruppenrichtlinien heißen nicht so, weil sie für Gruppen sind, sondern weil sie Gruppen von Richtlinien sind.2. Gibt es einen Grund dafür, dass die GPO unter Windows 10 nicht greift aber unter WIN7 und WIN8.1 problemlos? Da hätte ich wieder Wissensdurst
Ein Nicht-Administrator darf standardmäßig keine Druckertreiber installieren. Wenn der Drucker an diesem Client noch nie eingerichtet war, dann muss entweder- der Drucker einmalig für einen Admin verbunden werden
- oder ein Admin nur den Treiber installieren
- oder man den Benutzern erlauben, Treiber zu installieren. Das ginge per GPO. Suche mal nach "GPO to allow user install printer driver" o.ä.
Danke, das setze ich jetzt erstmal alles um. Ich werde mich bei dir melden ;)
SO,
ich nochmal:
also ich habe jetzt die User in eine separate Gruppe gepackt (Siehe Screen) und die GPO unterhalb der Printer-Test OU gesetzt. Im AD ist dort nur die Gruppe hinterlegt. In der Konstellation bekomme ich mit keinem der User den Drucker verbunden.
Hast du Zeit um da einen Blick drauf zu werfen? ;)
ich nochmal:
also ich habe jetzt die User in eine separate Gruppe gepackt (Siehe Screen) und die GPO unterhalb der Printer-Test OU gesetzt. Im AD ist dort nur die Gruppe hinterlegt. In der Konstellation bekomme ich mit keinem der User den Drucker verbunden.
Hast du Zeit um da einen Blick drauf zu werfen? ;)
Die GPO muss im Vererbungspfad des Benutzers mit einer OU, einer Domäne oder einem Standort verlinkt sein. Also z.B. mit "User-OU".
Weiterhin hast Du in der Sicherheitsfilterung immer noch die "Authentifizierten Benutzer" drin. Nimm diese dort raus, geh auf Reiter "Delegierung" und erteile dort den "Authentifizierten Benutzer" Lese-Recht.
Edit:
Und beachte, dass sich ein Benutzer neu anmelden muss, wenn man z.B. zum Test seine Gruppenmitgliedschaft ändert.
Weiterhin hast Du in der Sicherheitsfilterung immer noch die "Authentifizierten Benutzer" drin. Nimm diese dort raus, geh auf Reiter "Delegierung" und erteile dort den "Authentifizierten Benutzer" Lese-Recht.
Edit:
Und beachte, dass sich ein Benutzer neu anmelden muss, wenn man z.B. zum Test seine Gruppenmitgliedschaft ändert.
Hi,
also ich habe das nochmal eingestellt.
Jetzt merke ich zumindest einen Unterschied, wenn ich einen Benutzer aus der Gruppe nehme, den Client neustarte, dass er den Drucker nicht mehr bekommt.
Windows 10 will leider immer noch nicht, obwohl ich den Treiber dann sogar als Admin installiert habe. Trotzdem soll der Drucker ja nach Möglichkeit auch automatisch verbunden werden.
Für heute reicht mir das aber erstmal ;)
Gute Nacht und vielen Dank!
also ich habe das nochmal eingestellt.
Jetzt merke ich zumindest einen Unterschied, wenn ich einen Benutzer aus der Gruppe nehme, den Client neustarte, dass er den Drucker nicht mehr bekommt.
Windows 10 will leider immer noch nicht, obwohl ich den Treiber dann sogar als Admin installiert habe. Trotzdem soll der Drucker ja nach Möglichkeit auch automatisch verbunden werden.
Für heute reicht mir das aber erstmal ;)
Gute Nacht und vielen Dank!
Noch eine kleine Interessensfrage: Wenn ich im AD Änderungen vornehme (Gruppenzugehörigkeit) und den Client dann neustarte, dann greifen die Änderungen nicht sofort. Meist erst wenn ich die Maschine 2-3 mal neustarte, dann ist die Aktualisierung vorhanden. Kann es sein, dass ich zu wenig Geduld habe? ;)
Wenn ich im AD Änderungen vornehme (Gruppenzugehörigkeit) und den Client dann neustarte, dann greifen die Änderungen nicht sofort. Meist erst wenn ich die Maschine 2-3 mal neustarte, dann ist die Aktualisierung vorhanden.
Nur wegen Änderungen an der Gruppenzugehörigkeit eines Benutzers muss man keinen Computer neu starten. Da reicht es vollkommen aus, den Benutzer ab- und wieder anzumelden.Kann es sein, dass ich zu wenig Geduld habe? ;)
Mit hoher Wahrscheinlichkeit. Wenn Du mehr als einen DC hast, dann musst Du die Replikation abwarten, um beim nächsten Test sicher gehen zu können, einen DC zu erwischen, der es schon mitbekommen hat.
