madison
Goto Top

GPO + Printserver + Verteilung

Hallo zusammen,

folgende Lage:

Printserver ___PS läuft schon paar Jahre. Auf diesem sind alle Drucker hinterlegt und freigegeben.
Dazu gibt es eine GPO "Drucker" direkt im Stammverzeichnis. Auf dem Printserver stelle ich diesen mit Hilfe der Gruppenrichtlinienbereitstellung und der Gruppe "Drucker" -> Benutzer zu.
Funktioniert seit Jahren. Jeder User, egal an welchem Client oder Server, bekommt somit alle Drucker zugewiesen.

Nun hatte aber vor, das die User nur noch die Drucker sehen, die sie wirklich benötigen.

Ich habe also im AD eine OU Drucker angelegt. Darin habe ich für jeden Drucker eine Sicherheitsgruppe angelegt:

Drucker
PRN_Drucker1
PRN_Drucker2
PRN_Drucker3
u.s.w.

Jede Sicherheitsgruppe PRN__ enthält die Mitglieder. Zum Beispiel Gruppe _MA_Lohnlohnbuchhaltung, _MA_Verwaltung u.s.w.


Dann habe ich für jeden Drucker eine gleichnamige GPO gemacht: PRN_Drucker1, PRN_Drucker2.....

Benutzerkonfiguration -> Einstellungen -> Systemsteuerungseinstellungen -> Drucker -> Neu

"Allgemein"
Freigegebener Drucker -> entsprechenden Drucker über Freigabe gesucht -> hinzugefügt.

"Gemeinsame Optionen"
Im Sicherheitskontext .... Angehakt
Element entfernen, wenn es nicht mehr.... Angehakt
Zielgruppenadressierung -> Benutzer ist Mitglied der Sicherheitsgruppe PRN_

Das habe ich für jeden der 13 Drucker gemacht.

Danach habe ich alle PRN_GPOs an das Stammverzeichnis gebammelt und die alte GPO "Drucker" deaktiviert.

Nun zum Problem...funktioniert nicht. Egal welchen Testuser ich nehme, kein ihm zugewiesener Drucker oder einfach ein paar von den 13.

Was ich schon probiert habe:

1. Loopback -> Zusammenführen in den jeweiligen PRN_GPO aktiviert
2. Auf dem Printserver bei jedem Drucker unter Sicherheit -> "Jeder" raus und dafür die jeweilige OU "PRN_" des Druckers raus
3. repadmin /syncrepl auf den DC´s
4. gpupdate /force auf den Server und Clients

Wie gesagt, bei meinen Testuser sollten nur 2 Drucker erscheinen auf dem Terminalserver, auf die er Zugriff hätte. Kommen aber andere Drucker. Wenn ich die manuell hinzufüge, werden diese installiert, erscheinen aber nicht unter Geräte und Drucker.
Mit gpresult /r bringt er mir aber das er nur die 2 Drucker auswählt. Keine weitere Fehlermeldung.

Bei meinem 2. Testuser kam der Fehler 0X800700005.

Ich habe jetzt, da keiner mehr drucken konnte, erst einmal die alte GPO wieder aktiviert und auf dem Printserver bei jeden Drucker unter Sicherheit wieder "Jeder" hinzugefügt.


Kann mir jemand bei meinem Problem helfen? Ich möchte einfach nur für jeden User die Drucker auf den Servern/Clients bereitstellen, die er wirklich braucht.
Drucker auf denen er keinen Zugriff hat sollen gar nicht erst erscheinen und der Druck soll abgelehnt werden.

Danke für Ratschläge. Gruß Madison

Content-ID: 509604

Url: https://administrator.de/forum/gpo-printserver-verteilung-509604.html

Ausgedruckt am: 23.12.2024 um 04:12 Uhr

Bitboy
Bitboy 29.10.2019 um 15:00:20 Uhr
Goto Top
Moin,

gpresult /h
auf dem Client schon versucht? Kommt die GPO überhaupt an?

Zum Vergleich, mit welchen Einstellungen arbeitet denn die funktionierende GPO?

Grüße
NordicMike
NordicMike 29.10.2019 um 15:32:42 Uhr
Goto Top
Ließ mal das orangene durch und überprüfe ob das bei Dir der Fall ist

Hier
ITvortex
ITvortex 29.10.2019 aktualisiert um 15:50:55 Uhr
Goto Top
Hallo Madison,

bei deinem Setup brauchst du in den "Gemeinsamen Optionen" eigentlich nur das Item-level targeting.
Ich habe 2 Gruppen pro Drucker bei mir im AD angelegt:

D1 -> In der GPO einen neuen Drucker hinzufügen mit einem Create event, Ducker über fqdn raussuchen (\\servername.domain-name.xya\Druckername). Tageting -> in meinem Fall die IP range (weil mehrere VLANs) und member of security group domain\D1)

D1_Default -> selbes Spiel mit einem Update event + als Standard-Drucker setzen.
Unsere Benutzer haben teilweise mehrere Drucker zugewiesen, deshalb auch die zwei Gruppen damit ich Benutzern Drucker als Standarddrucker setzten kann.

Sollte eigentlich so funktionieren.

LG
Vortex
Hubert.N
Hubert.N 29.10.2019 um 16:32:05 Uhr
Goto Top
Moin

Ich fahre da eigentlich immer ein ganz anderes Design...

Problem: Die Verarbeitung von Richtlinien mit Zielgruppenadressierung nimmt relativ viel Zeit in Anspruch. Bei 13 Objekten in der GPO dauert es schon mal einen Moment, bis die abgearbeitet sind.

Genau aus diesem Grund baue ich also lieber die OU-Struktur entsprechend auf und verknüpfe dann einzelne GPOs direkt mit den OUs. Natürlich mit Loopbackverarbeitung und Übernahme für authentifizierte Benutzer (was die PCs dann ja einschließt). Funktioniert einwandfrei und geht bedeutend schneller.

Gruß
Madison
Madison 30.10.2019 um 06:54:10 Uhr
Goto Top
Hallo, hab den Beitrag durchgelesen und nachgeschaut. Authentifizierte Benutzer haben Leserecht und dürfen die GPO übernehmen.

gpo_auth

Sollte meines Erachtens passen, oder?
Madison
Madison 30.10.2019 um 07:02:24 Uhr
Goto Top
Servus,

mal kommt sie an und mal nicht. Wenn ich sie direkt ins Root werfe kommt sie an, wenn ich die GPO an eine OU bastel, dann mag er nicht so richtig. Hab das an der User OU gehängt und zum Test auch an die jeweilige Computer OU. Aber Benutzereinstellungen ziehen ja eh nicht an einer Computer OU.

Hier sind die alten Einstellungen die Funktionieren. GPO "Drucker" im Root und mittels Printserver-Bereistellung für Benutzer bereitgestellt.
Hier hat halt jeder alle Drucker, das wollte ich mal richten.

dpo_drucker
Madison
Madison 30.10.2019 um 07:06:03 Uhr
Goto Top
Hallo ITvortex,

das war mein Plan. Habe mal hier nachgelesen: www.tech-faq.net/drucker-per-gruppenrichtlinien-installieren/

Sollte genau das sein, was du umgesetzt hast. So wollte ich das auch machen. Habe deshalb für jeden Drucker 2 Sicherheitsgruppen angelegt:

PRN_XXX
PRN_XXX_DEFAULT

Im ersten Schritt wollte ich erst einmal versuchen, das jeder nur die Drucker hat, die er zugewiesen bekommt.
Der zweite Schritt sollte dann für alle RDS User sein, damit die Benutzer je nach Bereich bzw. Standort ihren Standarddrucker bekommen.

Hab schon so viele GPOs gebaut die alle funktionieren, aber hier sehe ich den Wald vor lauter Bäume nicht.
NordicMike
NordicMike 30.10.2019 aktualisiert um 07:17:47 Uhr
Goto Top
Innerhalb der GPOs gibt es ja verschiedene Möglichkeiten die Drucker zu installieren. Versendest Du die Druckverwaltung um die GPO zu füllen?

Hier
Madison
Madison 30.10.2019 um 07:22:46 Uhr
Goto Top
Genau so habe ich es gemacht, jedoch nicht für Computer, sondern für Benutzer. Das ist die alte Lösung die läuft, mir aber nicht mehr gefällt.
Bitboy
Bitboy 30.10.2019 um 09:14:42 Uhr
Goto Top
Äh, also mal kommt sie an und mal nicht.
Die GPO muss natürlich an die OU wo die User drin sind, nicht die Gruppen.

Und wenn sie ankommt, funktioniert sie dann?
Madison
Madison 30.10.2019 um 09:39:34 Uhr
Goto Top
So?

gpo2

Hab ich Probiert mit einer OU. Hab dann einen Testuser angelegt, er hat dann die PGO gezogen aber von den 2 Druckern dich der OU zugewiesen habe, war weit und breit nichts in Sicht. Ich habe dann versucht sie manuell hinzuzufügen. Die Drucker wurden installiert und eingerichtet aber angezeigt hat er sie nicht.
ITvortex
ITvortex 30.10.2019 um 10:01:17 Uhr
Goto Top
Was sagt den ein gpresult -r auf einem Client?

Wird die GPO angewandt etc...
Madison
Madison 30.10.2019 um 10:16:15 Uhr
Goto Top
Also. Ich hab jetzt die GPO für den Drucker PRN_BBB an die OU BBB gehängt.

XXXX.LOCAL
Benutzer (OU)
BBB (OU) <- PRN_BBB.... GPO
Verwaltung (OU)
..... (OU)

gpresult /r zeigt diese bei Angewendeten Gruppenrichtlinien nicht mit an.
repadmin /synall auf den DC´s gemacht und auch gpupdate /force auf dem RDS

Hab jetzt zig Drucker drin. Manche dreifach. Liegt aber noch daran, das ich die alte "Drucker" GPO mit drin hab.
Aber zumindest sollte die neue GPO mit bei den angewandten auftauchen. Hmmmmm
ITvortex
ITvortex 30.10.2019 um 10:18:58 Uhr
Goto Top
Zitat von @Madison:

gpresult /r zeigt diese bei Angewendeten Gruppenrichtlinien nicht mit an.

Auch bei den herausgefilterten Objekten nicht?
Bitboy
Bitboy 30.10.2019 um 10:32:32 Uhr
Goto Top
Im ersten Post schreibs du ja, dass du bei einem Benutzer eine Fehlernummer bekommen hast.
Hast du dir das mal angesehen?
https://social.technet.microsoft.com/Forums/windowsserver/en-US/7d3809c4 ...
Madison
Madison 30.10.2019 um 10:53:06 Uhr
Goto Top
Nein, nichts herausgefiltert bzw. abgelehnt.
Madison
Madison 30.10.2019 um 11:21:49 Uhr
Goto Top
Hab eben mal geschaut. Sollte passen. Hab ich in einer GPO Point and Print Einschränkungen deaktiviert.

Folgendermaßen sind meine Einstellungen im AD:

gpo5


Die GPO:

gpo3
Bitboy
Bitboy 30.10.2019 um 12:00:35 Uhr
Goto Top
I found that both the user and the computer had to have print access in order for the printer to deploy.

Auf die FREIGABE des Druckers müssen sowohl Computer als auch Benutzer Zugriff haben.
Madison
Madison 30.10.2019 aktualisiert um 12:37:57 Uhr
Goto Top
Hab ich vorher schon gemacht:

gpo6


Hab eben noch einmal geschaut. Die PGO kommt bei meinem Testuser nicht an.
Hängt aber an der User-OU wo er sich befindet.
ITvortex
ITvortex 30.10.2019 um 13:53:39 Uhr
Goto Top
Wenn die Gruppenrichtlinie beim Benutzer nicht ankommt, dann versuch mal die GPO mit einer übergeordneten OU zu verlinken.
Madison
Madison 30.10.2019 um 14:10:05 Uhr
Goto Top
Gemacht. hab die GPO jetzt direkt an "Benutzer" OU gehangen.

Nun wird sie auch angewendet, jedoch mit der Fehlermeldung 0x80070005.

gpo7

Dazu hatte ich schon gegoogelt und deshalb auch eine GPO die das Point-to-Print deaktiviert. Diese GPO wird erfolgreich angewandt.
Trotzdem immer noch Fehler.
Bitboy
Bitboy 30.10.2019 um 14:15:06 Uhr
Goto Top
Gut, die GPO kommt ja schonmal beim Client an.
Nun kommt das Berechtigungsproblem

Ist "Im Sicherheitskontext des Users ausführen" noch aktiv?
ITvortex
ITvortex 30.10.2019 um 14:18:43 Uhr
Goto Top
Was passiert den wenn du mit einem User via UNC Pfad einen Drucker hinzufügst?
Brauchst du dafür Adminrechte?
Madison
Madison 30.10.2019 um 19:30:31 Uhr
Goto Top
Nein, diese Option hab ich raus genommen.
Bitboy
Bitboy 31.10.2019 um 09:18:54 Uhr
Goto Top
Mach die Option nochmal rein.
Alternativ versuch mal dem Computerkonto direkt Rechte auf die Druckerfreigabe zu geben statt über "Domain Computers"
Madison
Madison 01.11.2019 um 06:26:12 Uhr
Goto Top
Wenn ich den UNC Pfad zum Drucker eingebe dann komm ich zum Drucker ohne Anmeldung. Das funktioniert.

Hab auch noch einmal die Option "Im Sicherheitskontext des....." aktiviert. Keine Änderung. Immer noch der Fehler.
Madison
Madison 01.11.2019 um 06:59:25 Uhr
Goto Top
Das komische ist, es ist eine Benutzer GPO.

Wenn die an "Benutzer" OU hängt zieht er die GPO nicht, hänge ich sie an meine "RDS" OU für Computer, dann zieht er sie.

Nach wie vor aber Error 0x800700005.
NordicMike
NordicMike 01.11.2019 um 07:48:52 Uhr
Goto Top
Schau mal hier

0x800700005

Überprüf das mal bei Dir
Madison
Madison 01.11.2019 um 08:13:23 Uhr
Goto Top
Hab ich auch schon getestet. Bringt leider keinen Erfolg:

gp10


Ich habe jetzt noch eine Gruppenrichtmodellierung durchgeführt. Einmal für Benutzer und einmal für meinen Testuser Printer:

gpo11

Da wird alles als erfolgreich gepostet.

Melde ich mich am Terminalserver mit dem Benutzer an kommt wieder nix.

Ich verstehe auch nicht wieso er die GPO nur zieht, wenn ich sie an die OU der RDS_Server hänge. Verknüpft nur mit Benutzer OU zieht er sie nicht.

Ich hab schon so viele GPO´s gemacht und die funktionieren und diese hier ist total zum Verzweifeln. =(
Madison
Madison 01.11.2019 um 09:30:00 Uhr
Goto Top
Hab noch einmal alle PGO durchschaut. 3 davon Loopback mit Ersetzen. Habe das geändert in Zusammenführen.
Jetzt wird wenigstens die GPO bei dem Benutzer genommen wenn ich diese der OU zuweise.

Was mir auffällt, das er einige GPO´s doppelt nimmt. Ist das normal?

gporesult

Aber wenigstens wieder einen Schritt weiter. Jetzt muss das nur noch mit den Zugriffsrechten geklärt werden, das der Fehler 0x800070005 verschwindet und alles funktioniert.