16
Druckersuche in Office entfernen?
ich versuche eine Domäne so sicher wie es nur geht zu konfigurieren.
Auf einem XP ist ein Office 2003 installiert. In dem GPO sind alle möglichen Suchen deaktiviert und der Zugriff auf das AD ist auch nicht möglich.
Jetzt gibt es in den Office-Programmen allerdings den Punkt "Drucker suchen".
Damit bekomme ich auch Zugriff auf das AD.
Gibt es eine Möglichkeit das zu unterbinden, oder evtl. den Button "Drucker suchen" zu entfernen.
Für Eure Hilfe, vielen Dank im voraus.
Auf einem XP ist ein Office 2003 installiert. In dem GPO sind alle möglichen Suchen deaktiviert und der Zugriff auf das AD ist auch nicht möglich.
Jetzt gibt es in den Office-Programmen allerdings den Punkt "Drucker suchen".
Damit bekomme ich auch Zugriff auf das AD.
Gibt es eine Möglichkeit das zu unterbinden, oder evtl. den Button "Drucker suchen" zu entfernen.
Für Eure Hilfe, vielen Dank im voraus.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 88556
Url: https://administrator.de/contentid/88556
Ausgedruckt am: 22.11.2024 um 21:11 Uhr
16 Kommentare
Neuester Kommentar
[...] so sicher wie es nur geht zu konfigurieren.
Bist du sicher, daß in einem solchen Fall nicht Microsoft SteadyState nicht das Tool der Wahl wäre? Was ist denn genau dein Ziel?geTuemII
Ich möchte verhindern, das ein Benutzer in dieser Domäne über die Druckersuche in MS Office das Active Directory ausliest. Denn das kann der Benutzer ja im Moment leider noch.
Puster2
Puster2
Hallo Puster2,
geTuemII
Ich möchte verhindern, das ein Benutzer in dieser Domäne über die Druckersuche in MS Office das Active Directory ausliest.
das war mir schon klar. Meine Frage zielte auf den größeren Zusammenhang. Falls es dir zb. darum geht, eine öffentlich zugängliche Maschine möglichst abzuschotten, würde ich gleich SteadyState nehmen.geTuemII
Halle geTuemII,
es geht darum die Benutzer einer Domäne so voneinander abzuschotten, dass sie sich gegenseitig nicht bemerken können.
Es sollen sich auf diesem Server (es ist eine ASP-Lösung) mehrere verschiedene Kunden anmelden können, die jedoch voneineinader nichts wissen dürfen.
Puster2
es geht darum die Benutzer einer Domäne so voneinander abzuschotten, dass sie sich gegenseitig nicht bemerken können.
Es sollen sich auf diesem Server (es ist eine ASP-Lösung) mehrere verschiedene Kunden anmelden können, die jedoch voneineinader nichts wissen dürfen.
Puster2
Und wenn ihr die Drucker nicht im AD hinterlegt?
Wir haben das schon probiert ohne die Drucker im AD zu veröffentlichen. Das Ergebnis ist leider das gleiche.
Hallo,
bin jetzt nicht wirklich eine AD Experte, aber was passiert dennn wenn du denn Kunden PC in ein sparates VLAN steckst und nur einen Drucker (soweit erforderlich) anbindest, evtl. den Drucker lokal anschließen.
Ich weiß nicht ob der Verusch einen Rechner der in einer Domäne steckt, diesen von dieser Domäne zu isolieren so erfolgversprechend ist. Ich würde das von der Netzwerk Seite her angehen.
brammer
bin jetzt nicht wirklich eine AD Experte, aber was passiert dennn wenn du denn Kunden PC in ein sparates VLAN steckst und nur einen Drucker (soweit erforderlich) anbindest, evtl. den Drucker lokal anschließen.
Ich weiß nicht ob der Verusch einen Rechner der in einer Domäne steckt, diesen von dieser Domäne zu isolieren so erfolgversprechend ist. Ich würde das von der Netzwerk Seite her angehen.
brammer
Moin,
also ich seh da mehrere Möglichkeiten.
Erstens gibt es für Office ADMs, die sich vortrefflich anpassen lassen und da lässt sich bestimmt auch die Druckersuche unterbinden.
Zweitens: Ab Server 2003/R2 kann man so ziemlich alles so konfigurieren, dass, wenn jemand auf irgendwas keinen Zugriff hat, er es auch nicht sehen kann. Wenn das die Möglichkeit der Wahl wäre, würde ich da mal nach suchen.
Drittens: Den Kunden wird doch wohl klar sein, dass es in einer ASP-Umgebung keine Exklusiv-Server mit individueller Bauchpinselung und one-server-per-user-Modell gibt. Also heißt die Firma Meyer 1002562, Müller 1002588 und Schulze 1002631. Die Drucker heißen dann also HP-Farblaser auf S1002562 und Kyo7000 auf S1002588. S steht jeweils für Server oder so.
Damit weiß Schulze also nicht, dass Meyer auch Kunde ist.
Insgesamt ist das aber eher unsauber gelöst.
Rein über's AD müsste sich das aber auch lösen lassen: Wenn ein User auf die OU=Meyer, OU=Drucker bzw. gleich auf die obere Meyer keinen Zugriff hat, sondern nur auf seine eigene OU=Schulze, sollte es doch möglich sein, dass das nicht zu sehen ist. Hast Du das schon probiert? Kann man das wirklich sehen?
Bonkers
also ich seh da mehrere Möglichkeiten.
Erstens gibt es für Office ADMs, die sich vortrefflich anpassen lassen und da lässt sich bestimmt auch die Druckersuche unterbinden.
Zweitens: Ab Server 2003/R2 kann man so ziemlich alles so konfigurieren, dass, wenn jemand auf irgendwas keinen Zugriff hat, er es auch nicht sehen kann. Wenn das die Möglichkeit der Wahl wäre, würde ich da mal nach suchen.
Drittens: Den Kunden wird doch wohl klar sein, dass es in einer ASP-Umgebung keine Exklusiv-Server mit individueller Bauchpinselung und one-server-per-user-Modell gibt. Also heißt die Firma Meyer 1002562, Müller 1002588 und Schulze 1002631. Die Drucker heißen dann also HP-Farblaser auf S1002562 und Kyo7000 auf S1002588. S steht jeweils für Server oder so.
Damit weiß Schulze also nicht, dass Meyer auch Kunde ist.
Insgesamt ist das aber eher unsauber gelöst.
Rein über's AD müsste sich das aber auch lösen lassen: Wenn ein User auf die OU=Meyer, OU=Drucker bzw. gleich auf die obere Meyer keinen Zugriff hat, sondern nur auf seine eigene OU=Schulze, sollte es doch möglich sein, dass das nicht zu sehen ist. Hast Du das schon probiert? Kann man das wirklich sehen?
Bonkers
Hallo Brammer, hallo Bonkers
vielen Dank für Eure Tipps. Ich werd mir jetzt das mit den ADM's aus dem ORK anschauen, ob ich das damit hinbekomme. Ein VLAN soll allerdings nicht gemacht werden.
Ich werd auf alle Fälle schreiben was dabei herausgekommen ist.
Auch Dir vielen Dank für Deine Hilfe.
Ich werd Euch informieren ob es funktioniert hat.
vielen Dank für Eure Tipps. Ich werd mir jetzt das mit den ADM's aus dem ORK anschauen, ob ich das damit hinbekomme. Ein VLAN soll allerdings nicht gemacht werden.
Ich werd auf alle Fälle schreiben was dabei herausgekommen ist.
Auch Dir vielen Dank für Deine Hilfe.
Ich werd Euch informieren ob es funktioniert hat.
Hallo nochmal.
Ich habe über die Office-ADM's wirklich die Möglichkeit einzelne Schaltflächen zu entfernen. Allerdings müssen diese über ihre ID's bezeichnet werden.
Weiss zufällig jemand wie ich die Schaltflächen-ID herausbekomm?
Danke im voraus.
Ich habe über die Office-ADM's wirklich die Möglichkeit einzelne Schaltflächen zu entfernen. Allerdings müssen diese über ihre ID's bezeichnet werden.
Weiss zufällig jemand wie ich die Schaltflächen-ID herausbekomm?
Danke im voraus.
Die Button-ID müsste die Original-Bezeichnung der Funktion sein, d.h., das, was etwa auch in der Registry steht. Im Falle des Speichern-unter-Buttons also etwa "SaveAs".
Wo Du allerdings das wieder herbekommst... Registry, Tuning-Tools, die sagen, was sie machen, Programmierer müssten das wissen, oder hier: http://beqiraj.com vielleicht. Ansonsten: Wie genau heißt denn die Schaltfläche oder Funktion (auch auf deutsch), die nicht funktionieren soll? Welcher Button genau ist das?
Wo Du allerdings das wieder herbekommst... Registry, Tuning-Tools, die sagen, was sie machen, Programmierer müssten das wissen, oder hier: http://beqiraj.com vielleicht. Ansonsten: Wie genau heißt denn die Schaltfläche oder Funktion (auch auf deutsch), die nicht funktionieren soll? Welcher Button genau ist das?
Also die genaue Schaltflächenbezeichnung ist "Drucker suchen..." oder in Englisch "Find Printer..."
Das findest Du unter "Datei\Drucken...\Drucker suchen..."
Jetzt hab ich bei MS auf der Office-Seite gelesen das die Menüs und Schaltflächen ID's haben, die aus Zahlen bestehen. So sagen MS z.B. das der "Save As..."-Button die ID 3 hat. Diese ID muss man beim sperren verwenden.
Und hier scheitert es bisher.
Das findest Du unter "Datei\Drucken...\Drucker suchen..."
Jetzt hab ich bei MS auf der Office-Seite gelesen das die Menüs und Schaltflächen ID's haben, die aus Zahlen bestehen. So sagen MS z.B. das der "Save As..."-Button die ID 3 hat. Diese ID muss man beim sperren verwenden.
Und hier scheitert es bisher.
Die Frage hat sich geklärt.
Man kann die Druckersuche über einen Registry deaktivieren und es funktioniert wunderbar.
Nochmals vielen Dank an alle die geholfen haben.
Gruss
Manuel
Man kann die Druckersuche über einen Registry deaktivieren und es funktioniert wunderbar.
Nochmals vielen Dank an alle die geholfen haben.
Gruss
Manuel
Hallo Puster2,
könntest du bitte noch den entsprechenden Registry-Pfad für andere Wissbegierige posten und dann den Beitrag auf gelöst setzen. Danke!
geTuemII
könntest du bitte noch den entsprechenden Registry-Pfad für andere Wissbegierige posten und dann den Beitrag auf gelöst setzen. Danke!
geTuemII
HallogeTuemII,
das ist kein Problem.
Im Key:
HK_Current_User\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
Einen neuen Key anlegen:
Typ: DWORD-Wert
Name NoAddPrinter
Wert: 1
Damit wird die Funktion unterbunden.
Gruss
Puster2
das ist kein Problem.
Im Key:
HK_Current_User\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
Einen neuen Key anlegen:
Typ: DWORD-Wert
Name NoAddPrinter
Wert: 1
Damit wird die Funktion unterbunden.
Gruss
Puster2
Hallo "Puster2",
ich hing an dem gleichen Problem, allerdings hatte ich versucht zu verhindern die Funktion durch einen maneullen
Registry Eintrag zu ändern. Sprich diese Einschränkung über die GPOs des AD zu machen. Bei WinXP geht das nämlich. Aber offensichtlich nicht bei W2003 ( nicht R2 !!). Es gibt da zwar was..
http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/reg ...
aber das hat keine Auswirkung
. Man kann das zwar scripten um Registry Einträge an Server automatsiert zu ändern, aber eigentlich sollte das in der PGO gemacht werden
Gruss
C-M
ich hing an dem gleichen Problem, allerdings hatte ich versucht zu verhindern die Funktion durch einen maneullen
Registry Eintrag zu ändern. Sprich diese Einschränkung über die GPOs des AD zu machen. Bei WinXP geht das nämlich. Aber offensichtlich nicht bei W2003 ( nicht R2 !!). Es gibt da zwar was..
http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/reg ...
aber das hat keine Auswirkung
. Man kann das zwar scripten um Registry Einträge an Server automatsiert zu ändern, aber eigentlich sollte das in der PGO gemacht werdenGruss
C-M
