30
GPO + Printserver + Verteilung
Hallo zusammen,
folgende Lage:
Printserver ___PS läuft schon paar Jahre. Auf diesem sind alle Drucker hinterlegt und freigegeben.
Dazu gibt es eine GPO "Drucker" direkt im Stammverzeichnis. Auf dem Printserver stelle ich diesen mit Hilfe der Gruppenrichtlinienbereitstellung und der Gruppe "Drucker" -> Benutzer zu.
Funktioniert seit Jahren. Jeder User, egal an welchem Client oder Server, bekommt somit alle Drucker zugewiesen.
Nun hatte aber vor, das die User nur noch die Drucker sehen, die sie wirklich benötigen.
Ich habe also im AD eine OU Drucker angelegt. Darin habe ich für jeden Drucker eine Sicherheitsgruppe angelegt:
Drucker
PRN_Drucker1
PRN_Drucker2
PRN_Drucker3
u.s.w.
Jede Sicherheitsgruppe PRN__ enthält die Mitglieder. Zum Beispiel Gruppe _MA_Lohnlohnbuchhaltung, _MA_Verwaltung u.s.w.
Dann habe ich für jeden Drucker eine gleichnamige GPO gemacht: PRN_Drucker1, PRN_Drucker2.....
Benutzerkonfiguration -> Einstellungen -> Systemsteuerungseinstellungen -> Drucker -> Neu
"Allgemein"
Freigegebener Drucker -> entsprechenden Drucker über Freigabe gesucht -> hinzugefügt.
"Gemeinsame Optionen"
Im Sicherheitskontext .... Angehakt
Element entfernen, wenn es nicht mehr.... Angehakt
Zielgruppenadressierung -> Benutzer ist Mitglied der Sicherheitsgruppe PRN_
Das habe ich für jeden der 13 Drucker gemacht.
Danach habe ich alle PRN_GPOs an das Stammverzeichnis gebammelt und die alte GPO "Drucker" deaktiviert.
Nun zum Problem...funktioniert nicht. Egal welchen Testuser ich nehme, kein ihm zugewiesener Drucker oder einfach ein paar von den 13.
Was ich schon probiert habe:
1. Loopback -> Zusammenführen in den jeweiligen PRN_GPO aktiviert
2. Auf dem Printserver bei jedem Drucker unter Sicherheit -> "Jeder" raus und dafür die jeweilige OU "PRN_" des Druckers raus
3. repadmin /syncrepl auf den DC´s
4. gpupdate /force auf den Server und Clients
Wie gesagt, bei meinen Testuser sollten nur 2 Drucker erscheinen auf dem Terminalserver, auf die er Zugriff hätte. Kommen aber andere Drucker. Wenn ich die manuell hinzufüge, werden diese installiert, erscheinen aber nicht unter Geräte und Drucker.
Mit gpresult /r bringt er mir aber das er nur die 2 Drucker auswählt. Keine weitere Fehlermeldung.
Bei meinem 2. Testuser kam der Fehler 0X800700005.
Ich habe jetzt, da keiner mehr drucken konnte, erst einmal die alte GPO wieder aktiviert und auf dem Printserver bei jeden Drucker unter Sicherheit wieder "Jeder" hinzugefügt.
Kann mir jemand bei meinem Problem helfen? Ich möchte einfach nur für jeden User die Drucker auf den Servern/Clients bereitstellen, die er wirklich braucht.
Drucker auf denen er keinen Zugriff hat sollen gar nicht erst erscheinen und der Druck soll abgelehnt werden.
Danke für Ratschläge. Gruß Madison
folgende Lage:
Printserver ___PS läuft schon paar Jahre. Auf diesem sind alle Drucker hinterlegt und freigegeben.
Dazu gibt es eine GPO "Drucker" direkt im Stammverzeichnis. Auf dem Printserver stelle ich diesen mit Hilfe der Gruppenrichtlinienbereitstellung und der Gruppe "Drucker" -> Benutzer zu.
Funktioniert seit Jahren. Jeder User, egal an welchem Client oder Server, bekommt somit alle Drucker zugewiesen.
Nun hatte aber vor, das die User nur noch die Drucker sehen, die sie wirklich benötigen.
Ich habe also im AD eine OU Drucker angelegt. Darin habe ich für jeden Drucker eine Sicherheitsgruppe angelegt:
Drucker
PRN_Drucker1
PRN_Drucker2
PRN_Drucker3
u.s.w.
Jede Sicherheitsgruppe PRN__ enthält die Mitglieder. Zum Beispiel Gruppe _MA_Lohnlohnbuchhaltung, _MA_Verwaltung u.s.w.
Dann habe ich für jeden Drucker eine gleichnamige GPO gemacht: PRN_Drucker1, PRN_Drucker2.....
Benutzerkonfiguration -> Einstellungen -> Systemsteuerungseinstellungen -> Drucker -> Neu
"Allgemein"
Freigegebener Drucker -> entsprechenden Drucker über Freigabe gesucht -> hinzugefügt.
"Gemeinsame Optionen"
Im Sicherheitskontext .... Angehakt
Element entfernen, wenn es nicht mehr.... Angehakt
Zielgruppenadressierung -> Benutzer ist Mitglied der Sicherheitsgruppe PRN_
Das habe ich für jeden der 13 Drucker gemacht.
Danach habe ich alle PRN_GPOs an das Stammverzeichnis gebammelt und die alte GPO "Drucker" deaktiviert.
Nun zum Problem...funktioniert nicht. Egal welchen Testuser ich nehme, kein ihm zugewiesener Drucker oder einfach ein paar von den 13.
Was ich schon probiert habe:
1. Loopback -> Zusammenführen in den jeweiligen PRN_GPO aktiviert
2. Auf dem Printserver bei jedem Drucker unter Sicherheit -> "Jeder" raus und dafür die jeweilige OU "PRN_" des Druckers raus
3. repadmin /syncrepl auf den DC´s
4. gpupdate /force auf den Server und Clients
Wie gesagt, bei meinen Testuser sollten nur 2 Drucker erscheinen auf dem Terminalserver, auf die er Zugriff hätte. Kommen aber andere Drucker. Wenn ich die manuell hinzufüge, werden diese installiert, erscheinen aber nicht unter Geräte und Drucker.
Mit gpresult /r bringt er mir aber das er nur die 2 Drucker auswählt. Keine weitere Fehlermeldung.
Bei meinem 2. Testuser kam der Fehler 0X800700005.
Ich habe jetzt, da keiner mehr drucken konnte, erst einmal die alte GPO wieder aktiviert und auf dem Printserver bei jeden Drucker unter Sicherheit wieder "Jeder" hinzugefügt.
Kann mir jemand bei meinem Problem helfen? Ich möchte einfach nur für jeden User die Drucker auf den Servern/Clients bereitstellen, die er wirklich braucht.
Drucker auf denen er keinen Zugriff hat sollen gar nicht erst erscheinen und der Druck soll abgelehnt werden.
Danke für Ratschläge. Gruß Madison
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 509604
Url: https://administrator.de/contentid/509604
Ausgedruckt am: 22.11.2024 um 15:11 Uhr
30 Kommentare
Neuester Kommentar
Moin,
gpresult /h
auf dem Client schon versucht? Kommt die GPO überhaupt an?
Zum Vergleich, mit welchen Einstellungen arbeitet denn die funktionierende GPO?
Grüße
gpresult /h
auf dem Client schon versucht? Kommt die GPO überhaupt an?
Zum Vergleich, mit welchen Einstellungen arbeitet denn die funktionierende GPO?
Grüße
Hallo Madison,
bei deinem Setup brauchst du in den "Gemeinsamen Optionen" eigentlich nur das Item-level targeting.
Ich habe 2 Gruppen pro Drucker bei mir im AD angelegt:
D1 -> In der GPO einen neuen Drucker hinzufügen mit einem Create event, Ducker über fqdn raussuchen (\\servername.domain-name.xya\Druckername). Tageting -> in meinem Fall die IP range (weil mehrere VLANs) und member of security group domain\D1)
D1_Default -> selbes Spiel mit einem Update event + als Standard-Drucker setzen.
Unsere Benutzer haben teilweise mehrere Drucker zugewiesen, deshalb auch die zwei Gruppen damit ich Benutzern Drucker als Standarddrucker setzten kann.
Sollte eigentlich so funktionieren.
LG
Vortex
bei deinem Setup brauchst du in den "Gemeinsamen Optionen" eigentlich nur das Item-level targeting.
Ich habe 2 Gruppen pro Drucker bei mir im AD angelegt:
D1 -> In der GPO einen neuen Drucker hinzufügen mit einem Create event, Ducker über fqdn raussuchen (\\servername.domain-name.xya\Druckername). Tageting -> in meinem Fall die IP range (weil mehrere VLANs) und member of security group domain\D1)
D1_Default -> selbes Spiel mit einem Update event + als Standard-Drucker setzen.
Unsere Benutzer haben teilweise mehrere Drucker zugewiesen, deshalb auch die zwei Gruppen damit ich Benutzern Drucker als Standarddrucker setzten kann.
Sollte eigentlich so funktionieren.
LG
Vortex
Moin
Ich fahre da eigentlich immer ein ganz anderes Design...
Problem: Die Verarbeitung von Richtlinien mit Zielgruppenadressierung nimmt relativ viel Zeit in Anspruch. Bei 13 Objekten in der GPO dauert es schon mal einen Moment, bis die abgearbeitet sind.
Genau aus diesem Grund baue ich also lieber die OU-Struktur entsprechend auf und verknüpfe dann einzelne GPOs direkt mit den OUs. Natürlich mit Loopbackverarbeitung und Übernahme für authentifizierte Benutzer (was die PCs dann ja einschließt). Funktioniert einwandfrei und geht bedeutend schneller.
Gruß
Ich fahre da eigentlich immer ein ganz anderes Design...
Problem: Die Verarbeitung von Richtlinien mit Zielgruppenadressierung nimmt relativ viel Zeit in Anspruch. Bei 13 Objekten in der GPO dauert es schon mal einen Moment, bis die abgearbeitet sind.
Genau aus diesem Grund baue ich also lieber die OU-Struktur entsprechend auf und verknüpfe dann einzelne GPOs direkt mit den OUs. Natürlich mit Loopbackverarbeitung und Übernahme für authentifizierte Benutzer (was die PCs dann ja einschließt). Funktioniert einwandfrei und geht bedeutend schneller.
Gruß
Hallo, hab den Beitrag durchgelesen und nachgeschaut. Authentifizierte Benutzer haben Leserecht und dürfen die GPO übernehmen.
Sollte meines Erachtens passen, oder?
Sollte meines Erachtens passen, oder?
Servus,
mal kommt sie an und mal nicht. Wenn ich sie direkt ins Root werfe kommt sie an, wenn ich die GPO an eine OU bastel, dann mag er nicht so richtig. Hab das an der User OU gehängt und zum Test auch an die jeweilige Computer OU. Aber Benutzereinstellungen ziehen ja eh nicht an einer Computer OU.
Hier sind die alten Einstellungen die Funktionieren. GPO "Drucker" im Root und mittels Printserver-Bereistellung für Benutzer bereitgestellt.
Hier hat halt jeder alle Drucker, das wollte ich mal richten.
mal kommt sie an und mal nicht. Wenn ich sie direkt ins Root werfe kommt sie an, wenn ich die GPO an eine OU bastel, dann mag er nicht so richtig. Hab das an der User OU gehängt und zum Test auch an die jeweilige Computer OU. Aber Benutzereinstellungen ziehen ja eh nicht an einer Computer OU.
Hier sind die alten Einstellungen die Funktionieren. GPO "Drucker" im Root und mittels Printserver-Bereistellung für Benutzer bereitgestellt.
Hier hat halt jeder alle Drucker, das wollte ich mal richten.
Hallo ITvortex,
das war mein Plan. Habe mal hier nachgelesen: www.tech-faq.net/drucker-per-gruppenrichtlinien-installieren/
Sollte genau das sein, was du umgesetzt hast. So wollte ich das auch machen. Habe deshalb für jeden Drucker 2 Sicherheitsgruppen angelegt:
PRN_XXX
PRN_XXX_DEFAULT
Im ersten Schritt wollte ich erst einmal versuchen, das jeder nur die Drucker hat, die er zugewiesen bekommt.
Der zweite Schritt sollte dann für alle RDS User sein, damit die Benutzer je nach Bereich bzw. Standort ihren Standarddrucker bekommen.
Hab schon so viele GPOs gebaut die alle funktionieren, aber hier sehe ich den Wald vor lauter Bäume nicht.
das war mein Plan. Habe mal hier nachgelesen: www.tech-faq.net/drucker-per-gruppenrichtlinien-installieren/
Sollte genau das sein, was du umgesetzt hast. So wollte ich das auch machen. Habe deshalb für jeden Drucker 2 Sicherheitsgruppen angelegt:
PRN_XXX
PRN_XXX_DEFAULT
Im ersten Schritt wollte ich erst einmal versuchen, das jeder nur die Drucker hat, die er zugewiesen bekommt.
Der zweite Schritt sollte dann für alle RDS User sein, damit die Benutzer je nach Bereich bzw. Standort ihren Standarddrucker bekommen.
Hab schon so viele GPOs gebaut die alle funktionieren, aber hier sehe ich den Wald vor lauter Bäume nicht.
Innerhalb der GPOs gibt es ja verschiedene Möglichkeiten die Drucker zu installieren. Versendest Du die Druckverwaltung um die GPO zu füllen?
Hier
Hier
Genau so habe ich es gemacht, jedoch nicht für Computer, sondern für Benutzer. Das ist die alte Lösung die läuft, mir aber nicht mehr gefällt.
Äh, also mal kommt sie an und mal nicht.
Die GPO muss natürlich an die OU wo die User drin sind, nicht die Gruppen.
Und wenn sie ankommt, funktioniert sie dann?
Die GPO muss natürlich an die OU wo die User drin sind, nicht die Gruppen.
Und wenn sie ankommt, funktioniert sie dann?
So?
Hab ich Probiert mit einer OU. Hab dann einen Testuser angelegt, er hat dann die PGO gezogen aber von den 2 Druckern dich der OU zugewiesen habe, war weit und breit nichts in Sicht. Ich habe dann versucht sie manuell hinzuzufügen. Die Drucker wurden installiert und eingerichtet aber angezeigt hat er sie nicht.
Hab ich Probiert mit einer OU. Hab dann einen Testuser angelegt, er hat dann die PGO gezogen aber von den 2 Druckern dich der OU zugewiesen habe, war weit und breit nichts in Sicht. Ich habe dann versucht sie manuell hinzuzufügen. Die Drucker wurden installiert und eingerichtet aber angezeigt hat er sie nicht.
Was sagt den ein gpresult -r auf einem Client?
Wird die GPO angewandt etc...
Wird die GPO angewandt etc...
Also. Ich hab jetzt die GPO für den Drucker PRN_BBB an die OU BBB gehängt.
XXXX.LOCAL
Benutzer (OU)
BBB (OU) <- PRN_BBB.... GPO
Verwaltung (OU)
..... (OU)
gpresult /r zeigt diese bei Angewendeten Gruppenrichtlinien nicht mit an.
repadmin /synall auf den DC´s gemacht und auch gpupdate /force auf dem RDS
Hab jetzt zig Drucker drin. Manche dreifach. Liegt aber noch daran, das ich die alte "Drucker" GPO mit drin hab.
Aber zumindest sollte die neue GPO mit bei den angewandten auftauchen. Hmmmmm
XXXX.LOCAL
Benutzer (OU)
BBB (OU) <- PRN_BBB.... GPO
Verwaltung (OU)
..... (OU)
gpresult /r zeigt diese bei Angewendeten Gruppenrichtlinien nicht mit an.
repadmin /synall auf den DC´s gemacht und auch gpupdate /force auf dem RDS
Hab jetzt zig Drucker drin. Manche dreifach. Liegt aber noch daran, das ich die alte "Drucker" GPO mit drin hab.
Aber zumindest sollte die neue GPO mit bei den angewandten auftauchen. Hmmmmm
Auch bei den herausgefilterten Objekten nicht?
Im ersten Post schreibs du ja, dass du bei einem Benutzer eine Fehlernummer bekommen hast.
Hast du dir das mal angesehen?
https://social.technet.microsoft.com/Forums/windowsserver/en-US/7d3809c4 ...
Hast du dir das mal angesehen?
https://social.technet.microsoft.com/Forums/windowsserver/en-US/7d3809c4 ...
Nein, nichts herausgefiltert bzw. abgelehnt.
Hab eben mal geschaut. Sollte passen. Hab ich in einer GPO Point and Print Einschränkungen deaktiviert.
Folgendermaßen sind meine Einstellungen im AD:
Die GPO:
Folgendermaßen sind meine Einstellungen im AD:
Die GPO:
I found that both the user and the computer had to have print access in order for the printer to deploy.
Auf die FREIGABE des Druckers müssen sowohl Computer als auch Benutzer Zugriff haben.
Auf die FREIGABE des Druckers müssen sowohl Computer als auch Benutzer Zugriff haben.
Hab ich vorher schon gemacht:
Hab eben noch einmal geschaut. Die PGO kommt bei meinem Testuser nicht an.
Hängt aber an der User-OU wo er sich befindet.
Hab eben noch einmal geschaut. Die PGO kommt bei meinem Testuser nicht an.
Hängt aber an der User-OU wo er sich befindet.
Wenn die Gruppenrichtlinie beim Benutzer nicht ankommt, dann versuch mal die GPO mit einer übergeordneten OU zu verlinken.
Gemacht. hab die GPO jetzt direkt an "Benutzer" OU gehangen.
Nun wird sie auch angewendet, jedoch mit der Fehlermeldung 0x80070005.
Dazu hatte ich schon gegoogelt und deshalb auch eine GPO die das Point-to-Print deaktiviert. Diese GPO wird erfolgreich angewandt.
Trotzdem immer noch Fehler.
Nun wird sie auch angewendet, jedoch mit der Fehlermeldung 0x80070005.
Dazu hatte ich schon gegoogelt und deshalb auch eine GPO die das Point-to-Print deaktiviert. Diese GPO wird erfolgreich angewandt.
Trotzdem immer noch Fehler.
Gut, die GPO kommt ja schonmal beim Client an.
Nun kommt das Berechtigungsproblem
Ist "Im Sicherheitskontext des Users ausführen" noch aktiv?
Nun kommt das Berechtigungsproblem
Ist "Im Sicherheitskontext des Users ausführen" noch aktiv?
Was passiert den wenn du mit einem User via UNC Pfad einen Drucker hinzufügst?
Brauchst du dafür Adminrechte?
Brauchst du dafür Adminrechte?
Nein, diese Option hab ich raus genommen.
Mach die Option nochmal rein.
Alternativ versuch mal dem Computerkonto direkt Rechte auf die Druckerfreigabe zu geben statt über "Domain Computers"
Alternativ versuch mal dem Computerkonto direkt Rechte auf die Druckerfreigabe zu geben statt über "Domain Computers"
Wenn ich den UNC Pfad zum Drucker eingebe dann komm ich zum Drucker ohne Anmeldung. Das funktioniert.
Hab auch noch einmal die Option "Im Sicherheitskontext des....." aktiviert. Keine Änderung. Immer noch der Fehler.
Hab auch noch einmal die Option "Im Sicherheitskontext des....." aktiviert. Keine Änderung. Immer noch der Fehler.
Das komische ist, es ist eine Benutzer GPO.
Wenn die an "Benutzer" OU hängt zieht er die GPO nicht, hänge ich sie an meine "RDS" OU für Computer, dann zieht er sie.
Nach wie vor aber Error 0x800700005.
Wenn die an "Benutzer" OU hängt zieht er die GPO nicht, hänge ich sie an meine "RDS" OU für Computer, dann zieht er sie.
Nach wie vor aber Error 0x800700005.
Hab ich auch schon getestet. Bringt leider keinen Erfolg:
Ich habe jetzt noch eine Gruppenrichtmodellierung durchgeführt. Einmal für Benutzer und einmal für meinen Testuser Printer:
Da wird alles als erfolgreich gepostet.
Melde ich mich am Terminalserver mit dem Benutzer an kommt wieder nix.
Ich verstehe auch nicht wieso er die GPO nur zieht, wenn ich sie an die OU der RDS_Server hänge. Verknüpft nur mit Benutzer OU zieht er sie nicht.
Ich hab schon so viele GPO´s gemacht und die funktionieren und diese hier ist total zum Verzweifeln. =(
Ich habe jetzt noch eine Gruppenrichtmodellierung durchgeführt. Einmal für Benutzer und einmal für meinen Testuser Printer:
Da wird alles als erfolgreich gepostet.
Melde ich mich am Terminalserver mit dem Benutzer an kommt wieder nix.
Ich verstehe auch nicht wieso er die GPO nur zieht, wenn ich sie an die OU der RDS_Server hänge. Verknüpft nur mit Benutzer OU zieht er sie nicht.
Ich hab schon so viele GPO´s gemacht und die funktionieren und diese hier ist total zum Verzweifeln. =(
Hab noch einmal alle PGO durchschaut. 3 davon Loopback mit Ersetzen. Habe das geändert in Zusammenführen.
Jetzt wird wenigstens die GPO bei dem Benutzer genommen wenn ich diese der OU zuweise.
Was mir auffällt, das er einige GPO´s doppelt nimmt. Ist das normal?
Aber wenigstens wieder einen Schritt weiter. Jetzt muss das nur noch mit den Zugriffsrechten geklärt werden, das der Fehler 0x800070005 verschwindet und alles funktioniert.
Jetzt wird wenigstens die GPO bei dem Benutzer genommen wenn ich diese der OU zuweise.
Was mir auffällt, das er einige GPO´s doppelt nimmt. Ist das normal?
Aber wenigstens wieder einen Schritt weiter. Jetzt muss das nur noch mit den Zugriffsrechten geklärt werden, das der Fehler 0x800070005 verschwindet und alles funktioniert.
