Drucker per GPP (TCPIP) mappen und Sichtbarkeit steuern
Guten Tag,
ich habe ein Problem beim gezielten Mappen von Druckern via GPP in Verbindung mit der TCP/IP-Option.
Bis zuletzt habe ich Drucker über GPP mit der Option "Freigegeben Drucker" gemappt. Pro Gruppe existiert eine GPO und so wurden die Drucker gezielt einer Gruppe zugewiesen.
Da es hierbei hin und wieder zu Problem kommt, würde ich gerne die Option "Freigebene Drucker" durch TCP/IP-Drucker ersetzen.
Hier habe ich jedoch das Problem, dass danach die eingerichteten Drucker von jedem Benutzer auf dem Rechner bzw. Terminalserver gesehen werden. Jetzt habe ich schon versucht, auf dem Druckserver (Windows Server 2012 R2) das Recht "Drucken" nur der einen Gruppe die auch auf dem Drucker drucken darf zu erteilen und der Gruppe "jeder" nicht das recht zu verweigern. Sobald jedoch die Gruppe "jeder" nicht mehr das Recht "drucken" hat, wird der Drucker auch der Gruppe, die Drucken darf" nicht mehr gemappt und erhalte im Eventlog folgenden Fehler:
Das Benutzer "04LaserIT"-Einstellungselement im Gruppenrichtlinienobjekt "TEST {C018CD07-AB6E-44EE-A1BC-CBF74775D7D8}" wurde aufgrund eines Fehlers nicht angewendet. Fehlercode: "0x80070005 Zugriff verweigert" Dieser Fehler wurde unterdrückt..
Als User wird die SID "S-1-5-18" also die Gruppe "Jeder" angemeckert.
Habt ihr noch eine Idee, wie ich das umsetzen könnte?
MFG Andy
ich habe ein Problem beim gezielten Mappen von Druckern via GPP in Verbindung mit der TCP/IP-Option.
Bis zuletzt habe ich Drucker über GPP mit der Option "Freigegeben Drucker" gemappt. Pro Gruppe existiert eine GPO und so wurden die Drucker gezielt einer Gruppe zugewiesen.
Da es hierbei hin und wieder zu Problem kommt, würde ich gerne die Option "Freigebene Drucker" durch TCP/IP-Drucker ersetzen.
Hier habe ich jedoch das Problem, dass danach die eingerichteten Drucker von jedem Benutzer auf dem Rechner bzw. Terminalserver gesehen werden. Jetzt habe ich schon versucht, auf dem Druckserver (Windows Server 2012 R2) das Recht "Drucken" nur der einen Gruppe die auch auf dem Drucker drucken darf zu erteilen und der Gruppe "jeder" nicht das recht zu verweigern. Sobald jedoch die Gruppe "jeder" nicht mehr das Recht "drucken" hat, wird der Drucker auch der Gruppe, die Drucken darf" nicht mehr gemappt und erhalte im Eventlog folgenden Fehler:
Das Benutzer "04LaserIT"-Einstellungselement im Gruppenrichtlinienobjekt "TEST {C018CD07-AB6E-44EE-A1BC-CBF74775D7D8}" wurde aufgrund eines Fehlers nicht angewendet. Fehlercode: "0x80070005 Zugriff verweigert" Dieser Fehler wurde unterdrückt..
Als User wird die SID "S-1-5-18" also die Gruppe "Jeder" angemeckert.
Habt ihr noch eine Idee, wie ich das umsetzen könnte?
MFG Andy
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 419781
Url: https://administrator.de/forum/drucker-per-gpp-tcpip-mappen-und-sichtbarkeit-steuern-419781.html
Ausgedruckt am: 24.12.2024 um 13:12 Uhr
22 Kommentare
Neuester Kommentar
Moin,
hast Du wirklich "Jeder" "Verweigern" eingetragen? Dann kann das nicht gehen, da das Verweigern eines Rechts vorgeht. Verweigerst Du also "Jeder" ein Recht, dann hat es keiner mehr, da jeder jeder ist und somit keiner mehr das Recht aus einer anderen Gruppe bekommen. Klar soweit?
Liebe Grüße
Erik
hast Du wirklich "Jeder" "Verweigern" eingetragen? Dann kann das nicht gehen, da das Verweigern eines Rechts vorgeht. Verweigerst Du also "Jeder" ein Recht, dann hat es keiner mehr, da jeder jeder ist und somit keiner mehr das Recht aus einer anderen Gruppe bekommen. Klar soweit?
Liebe Grüße
Erik
Zitat von @Andy1987:
in der Benutzerkonfiguration. Pro Standort habe ich eine GPO. Dann existieren Gruppen je Standort, die die jeweilige GPO anwenden dürfen.
TCP/IP-Drucker kann man nicht pro Benutzer installieren. Das geht sauber nur pro Computer. Das ist schon eine Frage der Logik.in der Benutzerkonfiguration. Pro Standort habe ich eine GPO. Dann existieren Gruppen je Standort, die die jeweilige GPO anwenden dürfen.
Zitat von @Andy1987:
Da es hierbei hin und wieder zu Problem kommt, würde ich gerne die Option "Freigebene Drucker" durch TCP/IP-Drucker ersetzen.
Welche Probleme gab es da eigentlich?Da es hierbei hin und wieder zu Problem kommt, würde ich gerne die Option "Freigebene Drucker" durch TCP/IP-Drucker ersetzen.
Dies ist normalerweise DER Weg, welchen man auf einem TS geht.
Zitat von @Andy1987:
habe heute noch weiter rumgetestet und musste feststellen, dass auf dem Printserver gesetzte Berechtigungen nicht mit beim Verteilen übergeben werden.
Muss auch nicht, denn dass ist ja nur für Drucken über Printserver relevant und nicht für lokale TCP/IP-Drucker. Wenn Du über die Warteschlange des Printservers druckst (verbundener Netzwerkdrucker), dann greifen diese dort eingestellten Berechtigungen sehr wohl.habe heute noch weiter rumgetestet und musste feststellen, dass auf dem Printserver gesetzte Berechtigungen nicht mit beim Verteilen übergeben werden.
Der freigegebene Drucker, welchen Du in der GPP für einen neuen TCP/IP-Drucker angeben musst, wird nur für die Installation der Treiber benötigt und verwendet.
Wenn ich auf dem über die GPP (TCPIP) angelegten Drucker auf dem Terminalserver die Berechtigungen per Hand anpasse, funktioniert es danach wie gewünscht. Dem User "Jeder" nehme ich das recht zum Drucken und der gewünschten Gruppe erteile ich es. So kann nur die Gruppe Drucken und kein anderer User sieht den Drucker.
Wie machst Du es denn eigentlich sonst?Ich glaube jetzt klingelts bei mir.
Für die Warteschlange am Printserver, welche nur für die Treiberinstallation benötigt wird, darfst Du "Jeder" nicht entfernen, weil dann der Treiber nicht mehr vom Computer gelesen werden kann. Wenn Du dort "Jeder" entfernst, dann musst Du stattdessen "Domänencomputer" hinzufügen.
Und am Client (dem Terminalserver) kannst Du die Rechte für den dort installierten Drucker dann mit einen Script setzen, z.B. via SetACL.
Managing Printer, Service, WMI and Share Permissions with SetACL.exe