10
Kann man selbst eine lokale Gruppe erstellen, die nur das Recht besitzt, Drucker anzulegen?
Hallo zusammen,
ich müsste mal wieder auf euer geballtes IT Fachwissen zugreifen
Gibt es eine Möglichkeit, eine lokale Gruppe zu erstellen, die nur das Recht hat, Drucker zu erstellen?
Wir haben hier eine etwas seltsame Printserver Konstellation, bei der die Drucker über ein Script angelegt werden.
Nun wollte ich den Usern keine lokalen Adminrechte geben, oder sie zu Power Usern machen.
Ein Runas kommt nicht in Frage, da wir die Zugangsdaten nicht unbedingt in dem Script hinterlegen möchten.
Dankeschön
ich müsste mal wieder auf euer geballtes IT Fachwissen zugreifen
Gibt es eine Möglichkeit, eine lokale Gruppe zu erstellen, die nur das Recht hat, Drucker zu erstellen?
Wir haben hier eine etwas seltsame Printserver Konstellation, bei der die Drucker über ein Script angelegt werden.
Nun wollte ich den Usern keine lokalen Adminrechte geben, oder sie zu Power Usern machen.
Ein Runas kommt nicht in Frage, da wir die Zugangsdaten nicht unbedingt in dem Script hinterlegen möchten.
Dankeschön
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 111314
Url: https://administrator.de/contentid/111314
Ausgedruckt am: 22.11.2024 um 11:11 Uhr
10 Kommentare
Neuester Kommentar
Moin Moin
Gruß L.
Wir haben hier eine etwas seltsame Printserver Konstellation, bei der die Drucker über ein Script angelegt werden.
Was genau soll diese Gruppe können? Drucker auf dem Printserver einrichten?Gruß L.
Japp, genau das :/
Grüße
Grüße
Moin,
"Normalerweise" - werden doch Drucker eines Printservers auch ohne besondere /Adminrechte eingetragen.
Ich vermute den "Bock" bei der Kombination W2k3 Printserver und XP Clients, die einigermaßen "aktuell" sind.
Überprüf mal an einem Client, ob diese Struktur vorhanden ist:
Wenn ja - sollte der User sich mit einem Printer verbinden können - wenn nein - importiere die Reg und nach evtl einem Neustart nochmal mit dem verbinden probieren.
Den geposteten Regkey hab ich im August 2008 "auf" einmal gebraucht. - Vorher gings auch ohne
Gruß
Printserver Konstellation, bei der die Drucker über ein Script angelegt werden.
Das ist doch schon mal gut "Normalerweise" - werden doch Drucker eines Printservers auch ohne besondere /Adminrechte eingetragen.
Ich vermute den "Bock" bei der Kombination W2k3 Printserver und XP Clients, die einigermaßen "aktuell" sind.
Überprüf mal an einem Client, ob diese Struktur vorhanden ist:
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint]
"Restricted"=dword:00000000
"InForest"=dword:00000000
"TrustedServers"=dword:00000000 Wenn ja - sollte der User sich mit einem Printer verbinden können - wenn nein - importiere die Reg und nach evtl einem Neustart nochmal mit dem verbinden probieren.
Den geposteten Regkey hab ich im August 2008 "auf" einmal gebraucht. - Vorher gings auch ohne
Gruß
Was genau soll diese Gruppe können? Drucker auf dem Printserver einrichten?
Moin,
auch wenn das nun evtl. meine eigene Meinung ist - aber auf einem Server darf / sollte genau einer etwas installieren.
Der Admin und sonst keiner - wer aktualisiert denn sonst die Doku und geht gegen "Wildwuchs" vor?
Gruß
Moin,
auch wenn das nun evtl. meine eigene Meinung ist - aber auf einem Server darf / sollte genau einer etwas installieren.
Der Admin und sonst keiner - wer aktualisiert denn sonst die Doku und geht gegen "Wildwuchs" vor?
Gruß
Naja, es ist ein spezieller Printserver...
ich versuchs mal zu erklären:
Also, die User starten eine von 3 speziellen Applikationen über Citrix. Beim Start läuft ein Script, dass die IP des Users ermittelt. Wird eine externe IP Adresse ermittelt, startet ein weiteres Script, dass sich auf ein Nimbus Printsystem verbindet und dort auf eine Druckeingangsqueue zugreift, die von T-Systems angelegt wurde. Diese verbindet sich dann auf eine Ausgangsqueue, die zuvor von dem Script erstellt wurde. Die Eingans-und Ausgangsqueue wird jeweils mit dem Namen des User angelegt deren Ports anschließend auf den gemappten Drucker des Citrix Server verbindet, welcher den lokalen Drucker des eigentlichen Benutzers gemappt hat :D
Eine wilde Konstellation, die aber so sein muss, und noch schwieriger zu erklären ist....
Also Fakt ist, ich würde mir gerne auf diesem "Printserver" eine lokale Gruppe erstellen, in die ich dann alle Citrix User reinpacke, die die entsprechenden Programme starten müssen.
Diese Gruppe muss dann das Recht haben, auf dem Server diese Drucker zu erstellen.
Verwirrend?
Also ich war sehr verwirrt als ich das ganze zum ersten mal sah :D
ich versuchs mal zu erklären:
Also, die User starten eine von 3 speziellen Applikationen über Citrix. Beim Start läuft ein Script, dass die IP des Users ermittelt. Wird eine externe IP Adresse ermittelt, startet ein weiteres Script, dass sich auf ein Nimbus Printsystem verbindet und dort auf eine Druckeingangsqueue zugreift, die von T-Systems angelegt wurde. Diese verbindet sich dann auf eine Ausgangsqueue, die zuvor von dem Script erstellt wurde. Die Eingans-und Ausgangsqueue wird jeweils mit dem Namen des User angelegt deren Ports anschließend auf den gemappten Drucker des Citrix Server verbindet, welcher den lokalen Drucker des eigentlichen Benutzers gemappt hat :D
Eine wilde Konstellation, die aber so sein muss, und noch schwieriger zu erklären ist....
Also Fakt ist, ich würde mir gerne auf diesem "Printserver" eine lokale Gruppe erstellen, in die ich dann alle Citrix User reinpacke, die die entsprechenden Programme starten müssen.
Diese Gruppe muss dann das Recht haben, auf dem Server diese Drucker zu erstellen.
Verwirrend?
Also ich war sehr verwirrt als ich das ganze zum ersten mal sah :D
Puh,
dann "probier" folgendes.
lege eine neue Gruppe im AD an und mach einen "TestDAU" als Mitglied rein.
Dieser gibts du rechte auf:
und probierst es.
Und "wenn" es dann funktioniert - sorge unbedingt dafür, dass die neuen Keys regelmäßig wieder gelöscht werden.
(am besten nach dem Abmelden des betreffenden Users)
gruß
dann "probier" folgendes.
lege eine neue Gruppe im AD an und mach einen "TestDAU" als Mitglied rein.
Dieser gibts du rechte auf:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Ports
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Print\Printers
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Print\Printers
und probierst es.
Und "wenn" es dann funktioniert - sorge unbedingt dafür, dass die neuen Keys regelmäßig wieder gelöscht werden.
(am besten nach dem Abmelden des betreffenden Users)
gruß
Auf die Idee bin ich noch nicht gekommen!
Das probier ich gleich mal...
Danke dir
Das probier ich gleich mal...
Danke dir
Hm, die Keys alleine reichen wohl noch nicht aus.
Ich muss mal die komplette Registry durchforsten, oder eventuell mit Netinstall analysieren, welche Schlüssel bei einem neuanlegen geändert werden.
Aber das war auf jeden Fall mal ein toller Schubs in die richtige Richtung
Ich muss mal die komplette Registry durchforsten, oder eventuell mit Netinstall analysieren, welche Schlüssel bei einem neuanlegen geändert werden.
Aber das war auf jeden Fall mal ein toller Schubs in die richtige Richtung
Servus,
naja - ich hätt ja auch "mitdenken" können
Gruß
naja - ich hätt ja auch "mitdenken" können
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Devices
fehlt noch in der Liste und ohne Rechte in:%windir%\system32\spool\drivers
wirds wohl eher auch nicht klappern Gruß
Also...hat leider nicht geklappt :/
Aber unser Server Admin hat keine Probleme damit, dass die entsprechenden User in die Admin Gruppe aufgenommen werden, da Sie sich nicht direkt anmelden. Nunja, wenn er das so sieht, soll es mir auch recht sein ^^
War trotzdem ein interessanter Ausflug in die Registry, Danke dir Timo!
Aber unser Server Admin hat keine Probleme damit, dass die entsprechenden User in die Admin Gruppe aufgenommen werden, da Sie sich nicht direkt anmelden. Nunja, wenn er das so sieht, soll es mir auch recht sein ^^
War trotzdem ein interessanter Ausflug in die Registry, Danke dir Timo!
