Drucker per GPO zuweisen - AD-Gruppenmitgliedschaft zieht nicht korrekt

menace
Goto Top
Hallo zusammen,

wir nutzen einen 2019er Printserver, über welchen die Netzwerkdrucker z.B. nach dem Schema \\printserver.domain.local\drucker-S1 freigegeben sind.

Die Drucker sollen nun per GPO an die User zugewiesen werden.
Ich habe dazu eine GPO angelegt und unter "Benutzerkonfiguration --> Einstellungen--> Systemsteuerungseinstellungen-->Drucker" die freigegebenen Drucker angelegt;

drucker1

drucker2

Die Zuweisung der Drucker erfolgt per Gruppenmitgliedschaften im AD.
Vom Prinzip her funktioniert das Konstrukt so auch.

Ich habe einen User testweise in unterschiedliche Drucker-AD-Gruppen gepackt, woraufhin die zugewiesenen Drucker auch korrekt installiert wurden.

Nun habe ich aber das Problem, dass die ursprünglich zugewiesenen Drucker auch weiterhin installiert werden, auch wenn der User NICHT mehr Mitglied der entsprechenden AD Gruppe ist.


Gibt´s hierzu eine logische Erklärung?

Content-Key: 619742

Url: https://administrator.de/contentid/619742

Ausgedruckt am: 15.08.2022 um 17:08 Uhr

Mitglied: Doskias
Doskias 06.11.2020 um 10:27:11 Uhr
Goto Top
Moin
Zitat von @menace:
Gibt´s hierzu eine logische Erklärung?

ja. Du hast den Haken bei "Element entfernen, wenn es nicht mehr angewendet wird" nicht gesetzt.

Gruß
Doskias
Mitglied: NordicMike
NordicMike 06.11.2020 aktualisiert um 10:30:39 Uhr
Goto Top
Sie werden nicht weiterhin installiert, sie sind einfach noch da und werden nicht gelöscht. Man kann auch eine lösch-GPO schicken.

Übrigens ist die schmerzlosere Vorgehensweise eine leere GPO anzulegen und dann über die Druckerverwaltung des Druckerservers den Drucker der vorhandenen GPO zuweisen. Dabei nicht über die Zielgruppenaddressierung gehen sondern Organizationseinheiten anlegen und dort jeweils eine GPO ablegen.
Mitglied: menace
menace 06.11.2020 um 10:32:01 Uhr
Goto Top
das ist beabsichtigt, da sonst die eingestellten Standard-Drucker der User auf den Clients bei jeder Anmeldung verloren gehen.
Zudem erschließt sich mir der Haken nicht ganz bzgl. meines Problems.

Dass die Drucker nicht automatisch beim User entfernt werden, wenn er nicht mehr in der AD Gruppe ist, ist soweit auch ok.
Der User müsste den Drucker dann einmalig von Hand entfernen.

Aber trotzdem dürfte er dann beim nächsten gpupdate nicht wieder neu installiert werden für mein Verständnis.
Mitglied: menace
menace 06.11.2020 um 10:34:07 Uhr
Goto Top

ich lösche die Drucker im Userprofil händisch raus. Es sind keine Drucker mehr installiert.
Beim nächsten gpupdate werden sie dann wieder neu installiert.
Mitglied: Doskias
Doskias 06.11.2020 um 10:36:36 Uhr
Goto Top
Ok. Ich hatte dein Eintrag etwas missverstanden. Ich hatte überlesen, dass sie noch installiert werden obwohl sie aus der Gruppe draußen sind.

Das ist natürlich richtig, dass sie das nicht sollten.

Du kannst auf dem AD eine Gruppenrichtlinienmodellierung durchlaufen lassen. Da siehst du dann auch, was an dem Client passiert und welche GPO aus welchen Grund ausgeführt wird (wie beim GPRESULT). Was sagt dein AD warum der Drucker noch gemappt wird?
Mitglied: NordicMike
NordicMike 06.11.2020 um 10:42:03 Uhr
Goto Top
Vielleicht hast du noch ein Kuddelmuddel in der Zielgruppenaddressierung. Lösche alles nochmal weg und mach es so, wie es beschrieben habe.

https://cicotec.de/drucker-an-clients-mit-gruppenrichtlinien-regeln/

Und das ganz ohne Zielgruppenaddressierung.
Mitglied: menace
menace 06.11.2020 aktualisiert um 10:54:46 Uhr
Goto Top
im Result auf dem DC steht alles soweit korrekt drin, bzw. hier werden nur die Drucker angezeigt, welche auch aktuell per AD-Gruppen zugewiesen sind;

result

auf dem Client werden aber leider die "alten" Drucker jeweils auch immer noch mit installiert;
das Ganze erfolgt auch komischerweise für den User unabhängig vom PC;
an unterschiedlichen PCs erhalte ich die selben richtigen und eigentlich gelöschten Drucker.
Mitglied: menace
menace 06.11.2020 um 10:46:47 Uhr
Goto Top
die Druckerzuweisung muss bei uns zwingend pro User erfolgen und nicht pro PC;
Mitglied: Doskias
Doskias 06.11.2020 um 10:48:06 Uhr
Goto Top
Zitat von @NordicMike:

Vielleicht hast du noch ein Kuddelmuddel in der Zielgruppenaddressierung. Lösche alles nochmal weg und mach es so, wie es beschrieben habe.

https://cicotec.de/drucker-an-clients-mit-gruppenrichtlinien-regeln/

Und das ganz ohne Zielgruppenaddressierung.

Das ist unnötig. ich arbeite seit Jahren mit der Zielgruppenadressierung bei der Druckerverwaltung übers AD und es funktioniert. Angefangen habe ich damit, da wir es auch mal über die Druckerverwaltung des Druckservers machen wollten, allerdings mit dem unschönen Nebeneffekt, dass die GPO dann nicht auf dem DC zu erkennen war und wir daher auf dem DC nicht mehr sehen konnten, warum die Drucker verbunden wurden. Man musste dann immer den DC und den Printserver anschauen und das war unpraktikabel, daher sind wir auf die AD-Variante umgeschwenkt. Ich weiß allerdings nicht ob das von MS by Design so vorgesehen ist/war oder ein (hoffentlich) bereits behobener Bug gewesen ist.
Mitglied: Doskias
Doskias 06.11.2020 um 10:58:41 Uhr
Goto Top
Dann liegt es offenbar schonmal nicht an deinen Gruppenrichtlinien.

Ich hatte bei einem User neulich ein ähnliches Problem. da wurden immer wieder Drucker installiert, die auf einem Server waren, den es seit einem halben Jahr nicht mehr gibt. Ursächlich war hier die Tatsache, dass er sich morgens an Rechner A angemeldet hat, Mittags an Rechner B (Ohne Abmeldung an Rechner A), dann an Rechner B den Drucker gelöscht hat, dann B und dann A abgemeldet hat. Durch die Roamingprofile wurde dann allerdings immer bei der Abmeldung von Rechner A (da gab es den Drucker ja noch) der Drucker wieder ins Profil geschrieben und war somit bei Rechner B immer wieder vorhanden.

Nutz ihr Roamingprofile. Ansonsten einmal das Userprofil komplett von dem Rechner löschen (ich gehe mal davon aus, dass du da einen Testuser hast und keinen aktiven).

Ansonsten wie schon geschrieben: 2 Regeln pro Drucker:
1. Regel: aktualisieren, wenn Mitglied der Gruppe
2- Regel: löschen, wenn kein Mitglied der Gruppe

Dann verhinderst du auch, dass User sich Drucker dauerhaft mappen, auf denen Sie nichts zu suchen haben face-smile
Mitglied: NordicMike
NordicMike 06.11.2020 um 11:05:04 Uhr
Goto Top
Das ist unnötig
Nötig wird es erst, wenn du Probleme hast ... Das wäre sogar jetzt zufällig :c)

Man musste dann immer den DC und den Printserver anschauen und das war unpraktikabel
Das geht alles bequem aus einer Management-VM raus. Du benötigt auf der VM nur die Gruppenrichtlinienverwaltung und die Druckerverwaltung. Der DC und der Printserver wird nicht angefasst.
Mitglied: Doskias
Doskias 06.11.2020 um 11:18:37 Uhr
Goto Top
Zitat von @NordicMike:
Das geht alles bequem aus einer Management-VM raus. Du benötigt auf der VM nur die Gruppenrichtlinienverwaltung und die Druckerverwaltung. Der DC und der Printserver wird nicht angefasst.

Das ist richtig. Aber dann habe ich immer noch 2 Orte an denen ich prüfen muss was bei der Anmeldung (eine Aktion) geschieht. In den Gruppenrichtlinien habe ich es übersichtlicher, weil ich nur an einem Ort nachschauen muss.

Zitat von @NordicMike:
Nötig wird es erst, wenn du Probleme hast ... Das wäre sogar jetzt zufällig :c)
Das Tool zu wechseln ist aber keine Problemlösung sondern nur eine Verlagerung. face-smile Zumal wir ja schon festgestellt haben, dass ein GPRESULT zeigt, dass die GPO den Drucker offenbar gar nicht wieder installieren.
Mitglied: menace
menace 06.11.2020 um 11:24:31 Uhr
Goto Top

kannst Du mir das bitte konkreter erläutern?
ich lege also nochmals eine GPO an, mit den selben Druckern, setze dort dann alle Drucker auf "löschen";
und wie erfolgt dann die Zuweisung?
bin grade etwas verwirrt...
Mitglied: Doskias
Lösung Doskias 06.11.2020 um 11:33:11 Uhr
Goto Top
Nein keine neue GPo. Du machst das genau so wie du das oben in deinen Bildern hast. Allerdings setzt du beim ersten Bild nicht Aktualisieren ein sondern löschen.
bild1
dann gehst du wie oben in gemeinsame Optionen und in die Zielgruppenadressierung
bild2
Dort wählst du dann aus "Benutzer ist nicht Mitglied der Sicherheitsgruppe.

Effekt:
Ist der User in der Gruppe wird der Drucker aktualisiert wie bislang.
ist der User kein Mitglied wird der Drucker gelöscht

Das kannst du in einer GPO machen.
Mitglied: NordicMike
NordicMike 06.11.2020 um 11:37:32 Uhr
Goto Top
Das ist richtig. Aber dann habe ich immer noch 2 Orte ...
Ein Ort (eine VM), aber zwei Zeilen im Server-Manager. So schaust du war nur eine Zeile an, aber die Arbeit ist nicht geringer, weil du ja dann noch die Zielgruppenaddressierung durchkauen musst (das weitere Klicks benötigt)

an denen ich prüfen muss was bei der Anmeldung (eine Aktion) geschieht.

Da ist schon mal der Haken. Mit der richtigen Strategie musst du überhaupt nicht mehr prüfen was bei der Anmeldung geschieht. Die OUs existieren anhand der Abteilungen. Jede Abteilung bekommt eine leere GPO. Wenn neue Benutzer angelegt werden, werden sie nur noch in die Abteilung geschoben, mehr wird nicht beachtet. Also fällt auch das zuweisen der Users in die Sicherheitsgruppe bzw Druckergruppe weg.
Mitglied: Doskias
Doskias 06.11.2020 aktualisiert um 22:38:51 Uhr
Goto Top
Zitat von @NordicMike:
Mit der richtigen Strategie musst du überhaupt nicht mehr prüfen was bei der Anmeldung geschieht.

Es sei denn es funktioniert nicht so wie geplant, was bei MS ja zum Glück nie vorkommt. Und ich muss ohnehin mehrere Gruppen bei einer Useranlage füllen. Da gibt es die Proxy-Berechtigungen, über die Laufwerksmappings und Ordnerberechtigungen, Anmeldeberechtigungen, RDP-Berechtigungen, Browsereinstellungen, USB-Berechtigungen, etc. Da kommt es (zumindest bei mir) nicht darauf an noch eine oder 2 Gruppen für Drucker zu pflegen, zumal das grade jetzt bei Corona sowieso oft wechselt, wenn die Leute in Einzelbüros gesetzt werden und dadurch der benötigte Drucker wechselt :D
Mitglied: erikro
erikro 06.11.2020 um 18:39:52 Uhr
Goto Top
Moin,

hmmmm, ist auf den Clients die automatischen Druckerinstallation abgeschaltet? Sind die Drucker in einem eigenen VLAN? Windows10 ist ziemlich greedy, wenn es um Netzwerkdrucker geht. So als Idee. face-wink

Liebe Grüße

Erik
Mitglied: nEmEsIs
nEmEsIs 06.11.2020 um 23:00:44 Uhr
Goto Top
Hi

Hast du die Drucker auch am Server (Druckserver) so unter Sicherheit berechtigt, dass diese nur auf die Gruppe angewendet werden ? Und da steht nicht einfach nur jeder drinnen? Bitte prüfen und korrigieren ist nämlich im Standard so.

So nun da du oben schreibst du löscht den Drucker mit der Hand und machst dann ein GPupdate nachdem du den Benutzer aus der Gruppe entfernt hast erscheint dieser wieder.
Hast du den Benutzer mal sauber abgemeldet und wieder angemeldet ? Tritt das Problem dann weiterhin auf?
Denke das dir hier das Kerberos Ticket und die Tatsache das der Drucker für die Gruppe jeder am Druckserver bereitgestellt wird einen Steich spielt.
Sauber macht man dies mit einem erstellen und löschen Objekt pro Drucker / Netzlaufwerk etc wo eine hohe Änderungsrate besteht.
Sonst sollte nur erstellen reichen weil die Abarbeitung von gegenobjekten länger beim anmelden dauern kann. Ist aber auch eine Frage wieviel GPOs wirken etc.


Mit freundlichen Grüßen Nemesis
Mitglied: menace
menace 09.11.2020 um 10:02:13 Uhr
Goto Top
die Drucker sind aktuell noch so konfiguriert, dass jeder drucken darf, unabhängig von der Gruppe:

1

Kerberos Ticket habe ich am Client schon gelöscht, leider ohne Erfolg.
Ich habe aktuell auch das Gefühl, dass die Löschoption des Druckers in der GPO, wenn der User NICHT in der Gruppe ist, nicht sauber umgesetzt wird.
Oder es ist wirklich so, dass der Drucker zwar gelöscht wird, aber dann sofort wieder installiert, aus welchem Grund auch immer.

Frage nebenbei, ist es auch "normal", dass die GPO nur umgesetzt wird, wenn man den PC neu startet und nicht z.B: bei einem gpupdate /force ?
Mitglied: Doskias
Doskias 09.11.2020 um 10:31:19 Uhr
Goto Top
Die Option, dass Windows die Druckerverwaltung übernimmt hast du aber aus, oder?

Ich hatte es schon mehrfach, dass wenn ich die Option "Windows verwaltet Standarddrucker" aktiviert hatte, gelöschte Drucker wieder installiert wurden. Prüfe das noch einmal.

Zitat von @menace:
Ich habe aktuell auch das Gefühl, dass die Löschoption des Druckers in der GPO, wenn der User NICHT in der Gruppe ist, nicht sauber umgesetzt wird.
Mach es wie die Jedi und blende deine Gefühle aus. Nur GPResult und/oder die Analyse seitens des DC zeigt dir ob die GPO greift oder nicht.

Oder es ist wirklich so, dass der Drucker zwar gelöscht wird, aber dann sofort wieder installiert, aus welchem Grund auch immer.
Das ist durchaus möglich. Ist vielleicht irgendwo lokal noch ein Skript aktiv, was die Drucker verbindet. Autostart, geplanter Task beim Anmelden, etc.?

Hier ist es wichtig die Verarbeitungsreihenfolge zu kennen in der GPOs/Skripte arbeiten. Wenn du per GPO einen Drucker verteilst/entfernst, dann kann ein Anmeldeskript oder ein geplanter Task die Änderungen der GPO überschreiben bevor du es siehst.
Mitglied: menace
menace 09.11.2020 um 12:50:20 Uhr
Goto Top
so, ich habe nun nochmals einen komplett neuen Testclient hergenommen und siehe da, hier funktioniert die Druckerzuweisung mit dem Testuser ohne Probleme.
Die Drucker werden über die Löschoption auch wieder sauber aus dem Prodfil entfernt, wenn der User nicht mehr in der Gruppe ist.

das Konstrukt an sich scheint so also doch zu funktionieren.



komisch ist aber halt nach wie vor das Verhalten an den beiden ersten Test-Clients.
Wobei mir hierzu noch folgendes ausgefallen ist:

Ursprünglich war die GPO so konfiguriert, dass die hinterlegten Drucker nach dem Schema "\\printserver\drucker1" verteilt wurden.
Die habe ich dann im nachhinen auf "\\printserver.domain.local\drucker1" umgestellt.
Genau diese alten Drucker "\\printserver\drucker1" sind nun diese, welche bei mir nach wie vor installiert werden, obwohl es hierfür keine Zuweisung mehr gibt.
Selbst wenn ich das Userprofil komplett vom Test-PC lösche, erhalte ich nach der nächsten Anmeldung wieder die alten Drucker...