Druckersuche in Office entfernen?
ich versuche eine Domäne so sicher wie es nur geht zu konfigurieren.
Auf einem XP ist ein Office 2003 installiert. In dem GPO sind alle möglichen Suchen deaktiviert und der Zugriff auf das AD ist auch nicht möglich.
Jetzt gibt es in den Office-Programmen allerdings den Punkt "Drucker suchen".
Damit bekomme ich auch Zugriff auf das AD.
Gibt es eine Möglichkeit das zu unterbinden, oder evtl. den Button "Drucker suchen" zu entfernen.
Für Eure Hilfe, vielen Dank im voraus.
Auf einem XP ist ein Office 2003 installiert. In dem GPO sind alle möglichen Suchen deaktiviert und der Zugriff auf das AD ist auch nicht möglich.
Jetzt gibt es in den Office-Programmen allerdings den Punkt "Drucker suchen".
Damit bekomme ich auch Zugriff auf das AD.
Gibt es eine Möglichkeit das zu unterbinden, oder evtl. den Button "Drucker suchen" zu entfernen.
Für Eure Hilfe, vielen Dank im voraus.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 88556
Url: https://administrator.de/forum/druckersuche-in-office-entfernen-88556.html
Ausgedruckt am: 23.12.2024 um 07:12 Uhr
16 Kommentare
Neuester Kommentar
[...] so sicher wie es nur geht zu konfigurieren.
Bist du sicher, daß in einem solchen Fall nicht Microsoft SteadyState nicht das Tool der Wahl wäre? Was ist denn genau dein Ziel?geTuemII
Hallo Puster2,
geTuemII
Ich möchte verhindern, das ein Benutzer in dieser Domäne über die Druckersuche in MS Office das Active Directory ausliest.
das war mir schon klar. Meine Frage zielte auf den größeren Zusammenhang. Falls es dir zb. darum geht, eine öffentlich zugängliche Maschine möglichst abzuschotten, würde ich gleich SteadyState nehmen.geTuemII
Hallo,
bin jetzt nicht wirklich eine AD Experte, aber was passiert dennn wenn du denn Kunden PC in ein sparates VLAN steckst und nur einen Drucker (soweit erforderlich) anbindest, evtl. den Drucker lokal anschließen.
Ich weiß nicht ob der Verusch einen Rechner der in einer Domäne steckt, diesen von dieser Domäne zu isolieren so erfolgversprechend ist. Ich würde das von der Netzwerk Seite her angehen.
brammer
bin jetzt nicht wirklich eine AD Experte, aber was passiert dennn wenn du denn Kunden PC in ein sparates VLAN steckst und nur einen Drucker (soweit erforderlich) anbindest, evtl. den Drucker lokal anschließen.
Ich weiß nicht ob der Verusch einen Rechner der in einer Domäne steckt, diesen von dieser Domäne zu isolieren so erfolgversprechend ist. Ich würde das von der Netzwerk Seite her angehen.
brammer
Moin,
also ich seh da mehrere Möglichkeiten.
Erstens gibt es für Office ADMs, die sich vortrefflich anpassen lassen und da lässt sich bestimmt auch die Druckersuche unterbinden.
Zweitens: Ab Server 2003/R2 kann man so ziemlich alles so konfigurieren, dass, wenn jemand auf irgendwas keinen Zugriff hat, er es auch nicht sehen kann. Wenn das die Möglichkeit der Wahl wäre, würde ich da mal nach suchen.
Drittens: Den Kunden wird doch wohl klar sein, dass es in einer ASP-Umgebung keine Exklusiv-Server mit individueller Bauchpinselung und one-server-per-user-Modell gibt. Also heißt die Firma Meyer 1002562, Müller 1002588 und Schulze 1002631. Die Drucker heißen dann also HP-Farblaser auf S1002562 und Kyo7000 auf S1002588. S steht jeweils für Server oder so.
Damit weiß Schulze also nicht, dass Meyer auch Kunde ist.
Insgesamt ist das aber eher unsauber gelöst.
Rein über's AD müsste sich das aber auch lösen lassen: Wenn ein User auf die OU=Meyer, OU=Drucker bzw. gleich auf die obere Meyer keinen Zugriff hat, sondern nur auf seine eigene OU=Schulze, sollte es doch möglich sein, dass das nicht zu sehen ist. Hast Du das schon probiert? Kann man das wirklich sehen?
Bonkers
also ich seh da mehrere Möglichkeiten.
Erstens gibt es für Office ADMs, die sich vortrefflich anpassen lassen und da lässt sich bestimmt auch die Druckersuche unterbinden.
Zweitens: Ab Server 2003/R2 kann man so ziemlich alles so konfigurieren, dass, wenn jemand auf irgendwas keinen Zugriff hat, er es auch nicht sehen kann. Wenn das die Möglichkeit der Wahl wäre, würde ich da mal nach suchen.
Drittens: Den Kunden wird doch wohl klar sein, dass es in einer ASP-Umgebung keine Exklusiv-Server mit individueller Bauchpinselung und one-server-per-user-Modell gibt. Also heißt die Firma Meyer 1002562, Müller 1002588 und Schulze 1002631. Die Drucker heißen dann also HP-Farblaser auf S1002562 und Kyo7000 auf S1002588. S steht jeweils für Server oder so.
Damit weiß Schulze also nicht, dass Meyer auch Kunde ist.
Insgesamt ist das aber eher unsauber gelöst.
Rein über's AD müsste sich das aber auch lösen lassen: Wenn ein User auf die OU=Meyer, OU=Drucker bzw. gleich auf die obere Meyer keinen Zugriff hat, sondern nur auf seine eigene OU=Schulze, sollte es doch möglich sein, dass das nicht zu sehen ist. Hast Du das schon probiert? Kann man das wirklich sehen?
Bonkers
Die Button-ID müsste die Original-Bezeichnung der Funktion sein, d.h., das, was etwa auch in der Registry steht. Im Falle des Speichern-unter-Buttons also etwa "SaveAs".
Wo Du allerdings das wieder herbekommst... Registry, Tuning-Tools, die sagen, was sie machen, Programmierer müssten das wissen, oder hier: http://beqiraj.com vielleicht. Ansonsten: Wie genau heißt denn die Schaltfläche oder Funktion (auch auf deutsch), die nicht funktionieren soll? Welcher Button genau ist das?
Wo Du allerdings das wieder herbekommst... Registry, Tuning-Tools, die sagen, was sie machen, Programmierer müssten das wissen, oder hier: http://beqiraj.com vielleicht. Ansonsten: Wie genau heißt denn die Schaltfläche oder Funktion (auch auf deutsch), die nicht funktionieren soll? Welcher Button genau ist das?
Hallo Puster2,
könntest du bitte noch den entsprechenden Registry-Pfad für andere Wissbegierige posten und dann den Beitrag auf gelöst setzen. Danke!
geTuemII
könntest du bitte noch den entsprechenden Registry-Pfad für andere Wissbegierige posten und dann den Beitrag auf gelöst setzen. Danke!
geTuemII
Hallo "Puster2",
ich hing an dem gleichen Problem, allerdings hatte ich versucht zu verhindern die Funktion durch einen maneullen
Registry Eintrag zu ändern. Sprich diese Einschränkung über die GPOs des AD zu machen. Bei WinXP geht das nämlich. Aber offensichtlich nicht bei W2003 ( nicht R2 !!). Es gibt da zwar was..
http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/reg ...
aber das hat keine Auswirkung . Man kann das zwar scripten um Registry Einträge an Server automatsiert zu ändern, aber eigentlich sollte das in der PGO gemacht werden
Gruss
C-M
ich hing an dem gleichen Problem, allerdings hatte ich versucht zu verhindern die Funktion durch einen maneullen
Registry Eintrag zu ändern. Sprich diese Einschränkung über die GPOs des AD zu machen. Bei WinXP geht das nämlich. Aber offensichtlich nicht bei W2003 ( nicht R2 !!). Es gibt da zwar was..
http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/reg ...
aber das hat keine Auswirkung . Man kann das zwar scripten um Registry Einträge an Server automatsiert zu ändern, aber eigentlich sollte das in der PGO gemacht werden
Gruss
C-M