andy1987
Goto Top

Drucker per GPP (TCPIP) mappen und Sichtbarkeit steuern

Guten Tag,

ich habe ein Problem beim gezielten Mappen von Druckern via GPP in Verbindung mit der TCP/IP-Option.

Bis zuletzt habe ich Drucker über GPP mit der Option "Freigegeben Drucker" gemappt. Pro Gruppe existiert eine GPO und so wurden die Drucker gezielt einer Gruppe zugewiesen.

Da es hierbei hin und wieder zu Problem kommt, würde ich gerne die Option "Freigebene Drucker" durch TCP/IP-Drucker ersetzen.

Hier habe ich jedoch das Problem, dass danach die eingerichteten Drucker von jedem Benutzer auf dem Rechner bzw. Terminalserver gesehen werden. Jetzt habe ich schon versucht, auf dem Druckserver (Windows Server 2012 R2) das Recht "Drucken" nur der einen Gruppe die auch auf dem Drucker drucken darf zu erteilen und der Gruppe "jeder" nicht das recht zu verweigern. Sobald jedoch die Gruppe "jeder" nicht mehr das Recht "drucken" hat, wird der Drucker auch der Gruppe, die Drucken darf" nicht mehr gemappt und erhalte im Eventlog folgenden Fehler:

Das Benutzer "04LaserIT"-Einstellungselement im Gruppenrichtlinienobjekt "TEST {C018CD07-AB6E-44EE-A1BC-CBF74775D7D8}" wurde aufgrund eines Fehlers nicht angewendet. Fehlercode: "0x80070005 Zugriff verweigert" Dieser Fehler wurde unterdrückt..


Als User wird die SID "S-1-5-18" also die Gruppe "Jeder" angemeckert.


Habt ihr noch eine Idee, wie ich das umsetzen könnte?

MFG Andy

Content-ID: 419781

Url: https://administrator.de/forum/drucker-per-gpp-tcpip-mappen-und-sichtbarkeit-steuern-419781.html

Ausgedruckt am: 24.12.2024 um 13:12 Uhr

emeriks
emeriks 20.02.2019 um 15:58:29 Uhr
Goto Top
Hi,
ich schätze, Du musst dann "Jeder" durch "SYSTEM" ersetzen.

"Jeder" --> entfernen, nicht verweigern
"System" --> Vollzugriff

E.
erikro
erikro 20.02.2019 um 16:11:11 Uhr
Goto Top
Moin,

hast Du wirklich "Jeder" "Verweigern" eingetragen? Dann kann das nicht gehen, da das Verweigern eines Rechts vorgeht. Verweigerst Du also "Jeder" ein Recht, dann hat es keiner mehr, da jeder jeder ist und somit keiner mehr das Recht aus einer anderen Gruppe bekommen. Klar soweit? face-wink

Liebe Grüße

Erik
Andy1987
Andy1987 20.02.2019 um 16:13:53 Uhr
Goto Top
Hi,

habe es direkt ausprobiert. Vollzugriff gibt es leider bei Druckern nicht, aber habe beim User "System" einfach jeden schalter gesetzt. Trotzdem meckert er die Berechtigung an. face-sad
Andy1987
Andy1987 20.02.2019 um 16:15:58 Uhr
Goto Top
Ja manchmal ist man zu schnell beim probieren ;)
Andy1987
Andy1987 20.02.2019 um 16:42:05 Uhr
Goto Top
Glaube ich habe grad auch einfach nen Brett vorm Kopf.

Wenn ich Jeder aus der Berechtigung des Druckers entferne oder das Recht zum Drucken entferne, kann der Drucker nicht per GPP gemappt werden. Aber wie sollten die Richtigen Berechtigungen sein, dass Gruppe A drucken darf, aber nicht jeder?
erikro
erikro 21.02.2019 um 08:19:02 Uhr
Goto Top
Moin,

mal sonne Frage: Weist Du den Drucker in der Computer- oder in der Benutzerkonfiguration zu?

Liebe Grüße

Erik
Andy1987
Andy1987 21.02.2019 um 08:23:47 Uhr
Goto Top
Moin,

in der Benutzerkonfiguration. Pro Standort habe ich eine GPO. Dann existieren Gruppen je Standort, die die jeweilige GPO anwenden dürfen.
emeriks
emeriks 21.02.2019 um 09:50:26 Uhr
Goto Top
Zitat von @Andy1987:
in der Benutzerkonfiguration. Pro Standort habe ich eine GPO. Dann existieren Gruppen je Standort, die die jeweilige GPO anwenden dürfen.
TCP/IP-Drucker kann man nicht pro Benutzer installieren. Das geht sauber nur pro Computer. Das ist schon eine Frage der Logik.
Andy1987
Andy1987 21.02.2019 aktualisiert um 09:55:47 Uhr
Goto Top
Hi,

die Einrichtung über die Benutzerkonfiguration funktioniert soweit ohne Probleme. Jedoch sehen dann alle User des Terminalservers alle Drucker und das möchte ich vermeiden.
emeriks
emeriks 21.02.2019 um 11:48:43 Uhr
Goto Top
Zitat von @Andy1987:
Da es hierbei hin und wieder zu Problem kommt, würde ich gerne die Option "Freigebene Drucker" durch TCP/IP-Drucker ersetzen.
Welche Probleme gab es da eigentlich?
Dies ist normalerweise DER Weg, welchen man auf einem TS geht.
Andy1987
Andy1987 21.02.2019 um 11:54:21 Uhr
Goto Top
Problem ist - Bisher GPP in Verbindung mit "Freigebene Drucker" - Jedoch nicht 100 pro stabil. Daher der Test per "TCP/IP-Drucker"

Jedoch möchte ich vermeiden, dass Standort A an Standort B drucken kann.
emeriks
emeriks 21.02.2019 um 11:55:05 Uhr
Goto Top
Problem ist, dass Du das Problem nicht beschreibst.
Andy1987
Andy1987 21.02.2019 um 12:00:37 Uhr
Goto Top
Es sollen nicht alle User alle Drucker auf dem TS sehen können. Wenn ich jedoch auf dem Druckserver die Berichtigung Jeder entferne und nur der Gruppe zuweise, kommt der Fehler aus der Eröffnung.
emeriks
emeriks 21.02.2019 um 12:08:20 Uhr
Goto Top
Ich hatte gefragt:
Zitat von @emeriks:

Zitat von @Andy1987:
Da es hierbei hin und wieder zu Problem kommt, würde ich gerne die Option "Freigebene Drucker" durch TCP/IP-Drucker ersetzen.
Welche Probleme gab es da eigentlich?
Ich zeige nochmal extra auf:
Da es hierbei hin und wieder zu Problem kommt
Andy1987
Andy1987 21.02.2019 um 13:18:37 Uhr
Goto Top
Und ich bin davon ausgegangen das auf die das Problem mit der Berechtigung abgezielt wird.

- Teilweise sehr lange anmeldezeiten
- Zulange Druckernamen aufgrund des Freigabenamens
- Teilweise wechseln die gewählten Standarddrucker

Gibt einiges, was an der Systematik über Freigabe nicht so schön ist. Daher nun der Versuch per TCP/IP die Drucker in der GPP zu verteilen. Da ist aber das Problem, dass jeder User jeden Drucker sieht. Sonst läuft es um einiges besser.
emeriks
emeriks 21.02.2019 um 13:45:44 Uhr
Goto Top
Daher nun der Versuch per TCP/IP die Drucker in der GPP zu verteilen.
Ich würde folgendes versuchen:
  1. diese Drucker per Computer verteilen, nicht per Benutzer
  2. Berechtigungen für diese Drucker nur für die betreffende Gruppe + "Jeder" darf "Berechtigungen lesen"
Andy1987
Andy1987 21.02.2019 um 15:01:02 Uhr
Goto Top
ich werde es so morgen früh testen
Andy1987
Andy1987 22.02.2019 um 10:54:28 Uhr
Goto Top
Guten Morgen,

habe es über die Computerkonfiguration nun versucht. Mit der Standardrechte-Einrichtung des Druckers auf dem Druckserver wurde der Drucker eingerichtet. Sobald ich jedoch der Gruppe "Jeder" den Haken "Drucken" in der Spalte "Erlauben" entfernt habe, kommt wieder mein Rechteproblem wie oben beschrieben. (Gruppe jeder hat das Recht "Berechtigungen lesen").

Somit leider keine Besserung.
Andy1987
Andy1987 25.02.2019 um 10:51:53 Uhr
Goto Top
Moin,

habe heute noch weiter rumgetestet und musste feststellen, dass auf dem Printserver gesetzte Berechtigungen nicht mit beim Verteilen übergeben werden.

Wenn ich auf dem über die GPP (TCPIP) angelegten Drucker auf dem Terminalserver die Berechtigungen per Hand anpasse, funktioniert es danach wie gewünscht. Dem User "Jeder" nehme ich das recht zum Drucken und der gewünschten Gruppe erteile ich es. So kann nur die Gruppe Drucken und kein anderer User sieht den Drucker.

Nun kommt allerdings das nächste Problem hierbei: Wir setzen eine Terminalserver-Farm ein und ich möchte nach Möglichkeit diese Berechtigungen nun auch zentral verwalten und auf allen Servern dadurch gleich halten. Kennt ihr hierfür eine Möglichkeit?
emeriks
Lösung emeriks 25.02.2019 aktualisiert um 11:52:52 Uhr
Goto Top
Zitat von @Andy1987:
habe heute noch weiter rumgetestet und musste feststellen, dass auf dem Printserver gesetzte Berechtigungen nicht mit beim Verteilen übergeben werden.
Muss auch nicht, denn dass ist ja nur für Drucken über Printserver relevant und nicht für lokale TCP/IP-Drucker. Wenn Du über die Warteschlange des Printservers druckst (verbundener Netzwerkdrucker), dann greifen diese dort eingestellten Berechtigungen sehr wohl.

Der freigegebene Drucker, welchen Du in der GPP für einen neuen TCP/IP-Drucker angeben musst, wird nur für die Installation der Treiber benötigt und verwendet.

Wenn ich auf dem über die GPP (TCPIP) angelegten Drucker auf dem Terminalserver die Berechtigungen per Hand anpasse, funktioniert es danach wie gewünscht. Dem User "Jeder" nehme ich das recht zum Drucken und der gewünschten Gruppe erteile ich es. So kann nur die Gruppe Drucken und kein anderer User sieht den Drucker.
Wie machst Du es denn eigentlich sonst?

Ich glaube jetzt klingelts bei mir.
Für die Warteschlange am Printserver, welche nur für die Treiberinstallation benötigt wird, darfst Du "Jeder" nicht entfernen, weil dann der Treiber nicht mehr vom Computer gelesen werden kann. Wenn Du dort "Jeder" entfernst, dann musst Du stattdessen "Domänencomputer" hinzufügen.

Und am Client (dem Terminalserver) kannst Du die Rechte für den dort installierten Drucker dann mit einen Script setzen, z.B. via SetACL.
Managing Printer, Service, WMI and Share Permissions with SetACL.exe
Andy1987
Andy1987 25.02.2019 um 11:47:43 Uhr
Goto Top
Hi, ja so könnte ich es versuchen abzubilden. Werde mal weiter rumtesten face-smile
Andy1987
Andy1987 09.05.2019 um 12:35:43 Uhr
Goto Top
So mein Fazit hierzu.

Habe es nun so gelöst, dass die Drucker auf Benutzerebene als TCP/IP-Drucker verteilt werden.

Die Berechtigungen werden mit SetACL sauber gesetzt (Gruppenmitgliedschaften).

Somit danke für die Hilfe.