pcpanik
Goto Top

Druckerwarteschlange - Aufträge anderer Benutzer ausblenden

Hallo zusammen,

Es gibt in unserem Hause den Einwand, dass Druckaufträge der verbundenen Drucker in den Warteschlangen datenschutzrechtlich nicht konform für alle Anwender in der Remotedesktop Umgebung und auf anderen Netzwerkdruckern, sichtbar seien. Also die Dokumentennamen, die Gedruckt werden und von wem.

Ich hab das schon öfters bei Anwendern gesehen, dass sie die Anzahl der Dokumente in den Warteschlangen einzelner Drucker sehen und bei Anzeige besagte Informationen verfügbar sind. Verwalten kann ein Anwender die Drucke einer anderen Person nicht.

In wie weit das Datenschutzrechtlich wirklich relevant ist kann ich nicht beurteilen.
Aber ich wurde um das Abschalten der Sichtbarkeit der laufenden Druckaufträge der verbundenen Drucker gebeten.

Ich hätte das jetzt zunächst mit Berechtigungen der Drucker oder unter Berechtigungen unter \Windows\System32\Spool\Printers in Verbindung gebracht. Ich habe stichprobenartig kontrolliert, ob in der Sicherheit der Drucker bei "JEDER" auch nur das Drucken-Recht steht. Und ERSTELLER-BESITZER zusätzlich das Drucke-Verwalten. Das scheint zu passen.

Wir haben einen Zentralen Druckdienst, der auf Etagendrucker verweist, per MS Printserver im AD Verzeichnis freigebene Drucker _und_ per Netzwerk angebundene aber an bestimmte PCs verbundene Drucker im Haus.

Tatsächlich weiß ich nicht, was ich in den DACLs konfigurieren müsste damit User nur ihre eigenen Aufträge, aber nicht die der anderern sehen.
Weiß da jamend mehr?

Oder bin ich da ganz falsch unterwegs und es gibt dazu ein GPO?

Content-ID: 1291816102

Url: https://administrator.de/forum/druckerwarteschlange-auftraege-anderer-benutzer-ausblenden-1291816102.html

Ausgedruckt am: 20.12.2024 um 08:12 Uhr

SeaStorm
SeaStorm 22.09.2021 um 15:05:28 Uhr
Goto Top
Hi

IMHO ist seit Server 2012 nur ein allgemeiner Name für normale User zu sehen
https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/window ...


When printing to a Windows Server 2012 print queue, only users with administrator permissions on the print queue (full system administrator or delegated print administrator, see Assign Delegated Print Administrator and Printer Permission Settings in Windows Server 2012) will see readable document names when viewing the print queue. Users can still view the queue from their client computer and will see their own document name in full, but for other user’s print jobs they will see Print Document for the document name. Additionally, in most cases in the event log on the server, the document name will also appear as Print Document. However, in some job failure cases, the document name will be listed in the failure event.> When printing to a Windows Server 2012 print queue, only users with administrator permissions on the print queue (full system administrator or delegated print administrator, see Assign Delegated Print Administrator and Printer Permission Settings in Windows Server 2012) will see readable document names when viewing the print queue. Users can still view the queue from their client computer and will see their own document name in full, but for other user’s print jobs they will see Print Document for the document name. Additionally, in most cases in the event log on the server, the document name will also appear as Print Document. However, in some job failure cases, the document name will be listed in the failure event.

Was habt ihr denn für eine Version?
Fabezz
Fabezz 22.09.2021 um 18:46:34 Uhr
Goto Top
Hi,
mach dich DSVGO technisch sicher und Dreh den Spieß um.

Arbeitsanweisung wie zum Beispiel: private oder nicht geschäftsrelevante Dokumente dürfen intern nicht gedruckt werden.
Somit bist du Safe. Gleichzusetzen mit E-Mails.

Grüße
Drohnald
Drohnald 23.09.2021 um 14:44:31 Uhr
Goto Top
Arbeitsanweisung wie zum Beispiel: private oder nicht geschäftsrelevante Dokumente dürfen intern nicht gedruckt werden.
Somit bist du Safe. Gleichzusetzen mit E-Mails.
Geschäftlich relevant bedeutet nicht, dass jeder alles wissen darf.
Sobald das Dokument z.B. "Abmahnung Fabezz" heißt und das jeder lesen könnte, wäre der Datenschutzverstoß bereits begangen, denn das geht ausschließlich die direkt Betroffenen etwas an.

Gerade getestet (Server 2019):
Wenn User nur das Recht "Drucken" haben, dann wird wie von SeaStorm nur "Dokument Drucken" angezeigt als Name. Der SAM-Accountname bleibt allerdings sichtbar.
pcpanik
pcpanik 15.11.2021 aktualisiert um 08:48:49 Uhr
Goto Top
Entschuldigung, dass ich nicht auf eure Antworten reagiert habe, aber ich war leider längere Zeit außer Gefecht gesetzt. face-sad

Zitat von @SeaStorm:

Was habt ihr denn für eine Version?

Der Server ist 2016. Und ich wüsste nicht, dass unsere Anwender hier Druck-Administratoren wären ... muss das mal untersuchen. Danke für diesen Hinweis. Es ist seltsam, dass es halt auf der Remotedesktop-Umgebung so ist. Muss ich hier für jeden Drucker einzeln die Berechtigungen setzen?

Zitat von @Drohnald:

Arbeitsanweisung wie zum Beispiel: private oder nicht geschäftsrelevante Dokumente dürfen intern nicht gedruckt werden.
Somit bist du Safe. Gleichzusetzen mit E-Mails.
Geschäftlich relevant bedeutet nicht, dass jeder alles wissen darf.
Sobald das Dokument z.B. "Abmahnung Fabezz" heißt und das jeder lesen könnte, wäre der Datenschutzverstoß bereits begangen, denn das geht ausschließlich die direkt Betroffenen etwas an.

Genauso ist es und genau um solche Dinge geht es. Das mit DSGVO erschlagen wollen ist also nicht der praktikable Weg.