Drucker vom Printserver an nicht Domänenclient verbinden: keine ausreichenden Zugriffsrechte
Hallo zusammen,
wir haben bei einem Kunden die Situation, dass wir Drucker welche am Domänenprintserver eingerichtet sind, auch an Clients verbunden werden sollen welche nicht Mitglied der Domäne sind.
Leider bekommen wir es nicht hin, dass dies funktioniert.
Es kommt immer die Fehlermeldung "Die angegebenen Anmeldeinformationen beinhalten keine ausreichenden Zugriffsrechte auf den Drucker. Sollen neuen Anmeldeinformationen angegeben werden".
Am Printserver selbst haben wir die Rechte schon angepasst, sodass das "Jeder" auf den Drucker "drucken" darf.
Versucht haben wir die Verbindung mit einem User, welcher Rechte auf den Drucker hat, und mit dem Domänenadmin.
Der Printserver läuft auf Windows Server 2022 und der Testclient mit Windows 11, frisch installiert diese Woche.
Habt ihr noch Ideen was man tun könnte oder woran es liegen könnte?
Vielen Dank vorab!
LG
wir haben bei einem Kunden die Situation, dass wir Drucker welche am Domänenprintserver eingerichtet sind, auch an Clients verbunden werden sollen welche nicht Mitglied der Domäne sind.
Leider bekommen wir es nicht hin, dass dies funktioniert.
Es kommt immer die Fehlermeldung "Die angegebenen Anmeldeinformationen beinhalten keine ausreichenden Zugriffsrechte auf den Drucker. Sollen neuen Anmeldeinformationen angegeben werden".
Am Printserver selbst haben wir die Rechte schon angepasst, sodass das "Jeder" auf den Drucker "drucken" darf.
Versucht haben wir die Verbindung mit einem User, welcher Rechte auf den Drucker hat, und mit dem Domänenadmin.
Der Printserver läuft auf Windows Server 2022 und der Testclient mit Windows 11, frisch installiert diese Woche.
Habt ihr noch Ideen was man tun könnte oder woran es liegen könnte?
Vielen Dank vorab!
LG
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 7736516545
Url: https://administrator.de/forum/drucker-vom-printserver-an-nicht-domaenenclient-verbinden-keine-ausreichenden-zugriffsrechte-7736516545.html
Ausgedruckt am: 22.12.2024 um 05:12 Uhr
9 Kommentare
Neuester Kommentar
Zitat von @Pharaun:
Das der Client auf die SMB Freigabe Zugriff braucht, ist ein guter Hinweis. Wird der Zugriff auf diese Freigabe dann effektiv nicht mit abgefragten Credentials beim Verbinden des Druckers versucht?
Nicht, wenn die Domäne es nicht zuläßt.Zitat von @lcer00:
Hallo,
der Client muss auf SMB-Freigaben der Domäne zugreifen, um z.B. die Druckertreiber zu laden. Daher:
Am besten Ihr nehmt den Client in die Domäne auf. So ist es gedacht.
Grüße
lcer
Hallo,
der Client muss auf SMB-Freigaben der Domäne zugreifen, um z.B. die Druckertreiber zu laden. Daher:
Am besten Ihr nehmt den Client in die Domäne auf. So ist es gedacht.
Grüße
lcer
Das der Client auf die SMB Freigabe Zugriff braucht, ist ein guter Hinweis. Wird der Zugriff auf diese Freigabe dann effektiv nicht mit abgefragten Credentials beim Verbinden des Druckers versucht?
Das wir den Client in die Domäne aufnehmen ist keine Option. Ist nicht vereinbar mit den Richtlinien des Unternehmens.
Toller Spruch, aber Schrott. Ohne Domäne (mit NTLM) ist unsicherer als mit Domäne (Kerberos). Wer "Richtlinien" zur IT-Sicherheit aufstellt macht nicht solchen Schrott. Mal ehrlich, mit welcher Intention betreibt man heute im Unternehmen ein Windows-Netzwerk ohne Domäne? Vermutlich weil man kein Geld ausgeben will. Aber ohne Geld gehen manche Dinge eben nicht, zum Beispiel eine zentrale Druckerverwaltung.Grüße
lcer
Hallo @Pharaun,
liest du eigentlich, was du schreibst?
Da macht jemand ein Sicherheitskonzept für eure IT, implementiert einen Verzeichnisdienst (M$ AD), der User, Ressourcen, Geräte und die Rechte zwischen ihnen verwaltet. Sichert das ganze gegen unautorisierte Fremdzugriffe ab.
Und dann kommt ihr und wollt mit fremden Geräten in diesen Sicherheitsbereich eindringen. Dann wundert ihr euch auch noch, dass das nicht gewollt ist und technisch verhindert wird.
Gibt es einen plausiblen Grund, warum die Rechner, die die Domänen-Drucker nutzen sollen, nicht Mitglied der Domäne sein können? Oder einer Sub-Domäne mit Sicherheitsgleichstellung oder, oder, oder.
Jürgen
liest du eigentlich, was du schreibst?
Da macht jemand ein Sicherheitskonzept für eure IT, implementiert einen Verzeichnisdienst (M$ AD), der User, Ressourcen, Geräte und die Rechte zwischen ihnen verwaltet. Sichert das ganze gegen unautorisierte Fremdzugriffe ab.
Und dann kommt ihr und wollt mit fremden Geräten in diesen Sicherheitsbereich eindringen. Dann wundert ihr euch auch noch, dass das nicht gewollt ist und technisch verhindert wird.
Gibt es einen plausiblen Grund, warum die Rechner, die die Domänen-Drucker nutzen sollen, nicht Mitglied der Domäne sein können? Oder einer Sub-Domäne mit Sicherheitsgleichstellung oder, oder, oder.
Jürgen
Hi,
Auf einem Windows Computer gehört jedes bekannte Konto zu "Jeder". Bekannt sind aber nur lokale Konten oder die der eigenen Domäne. Wenn da ein Zugriff von einem Standalone-Computer oder einem, welcher zu einer anderen, nicht vetrauten Domäne gehört, erfolgt, dann ist das in diesem Sinne nicht "Jeder".
Also:
z.B.
Erster Befehl fragt nach dem Passwort.
Zweiter Befehl startet das Verbinden des Druckers.
Oder:
Vor dem Verbinden das Passwort mit CMDKEY ablegen
E.
Zitat von @Pharaun:
Am Printserver selbst haben wir die Rechte schon angepasst, sodass das "Jeder" auf den Drucker "drucken" darf.
"Jeder" ist nicht jeder.Am Printserver selbst haben wir die Rechte schon angepasst, sodass das "Jeder" auf den Drucker "drucken" darf.
Auf einem Windows Computer gehört jedes bekannte Konto zu "Jeder". Bekannt sind aber nur lokale Konten oder die der eigenen Domäne. Wenn da ein Zugriff von einem Standalone-Computer oder einem, welcher zu einer anderen, nicht vetrauten Domäne gehört, erfolgt, dann ist das in diesem Sinne nicht "Jeder".
Also:
- mit einem lokalen Konto des Printservers an einer Freigabe des Servers anmelden
- oder mit einem Domänen-Konto an einer Freigabe des Servers anmelden
z.B.
net use \\Printserver\freigegebenerDrucker /user:domäne\benutzername /persisten:yes
start \\Printserver\freigegebenerDrucker
Erster Befehl fragt nach dem Passwort.
Zweiter Befehl startet das Verbinden des Druckers.
Oder:
Vor dem Verbinden das Passwort mit CMDKEY ablegen
cmdkey /add:Printserver /user:domäne\benutzername /pass:Passwort
E.
Naja... vielleicht war das mal so gedacht.
Microsoft verfolgt doch mit der Cloudstrategie eine ganz eigene Philosophie der eigenen Berechtigungen.
Daher, der Client muss nicht Mitglied der Domäne sein, es genügt, wenn der Benutzer in der Domain bekannt ist und vom Domaincontroller entsprechend ein Ticket erhalten kann.
So wird es auch mit den Systemen gemacht, welche nur ans AzureAD angebunden sind, aber dennoch lokal auf Ressourcen zugreifen sollen.
Hier geht leider nicht hervor, ob die Benutzer in der Domain bekannt sind, daher stelle ich das hier einfach mal zur Information.
Grüße
ToWa