fraggle666
Goto Top

Kann man selbst eine lokale Gruppe erstellen, die nur das Recht besitzt, Drucker anzulegen?

Hallo zusammen,

ich müsste mal wieder auf euer geballtes IT Fachwissen zugreifen face-smile

Gibt es eine Möglichkeit, eine lokale Gruppe zu erstellen, die nur das Recht hat, Drucker zu erstellen?
Wir haben hier eine etwas seltsame Printserver Konstellation, bei der die Drucker über ein Script angelegt werden.
Nun wollte ich den Usern keine lokalen Adminrechte geben, oder sie zu Power Usern machen.

Ein Runas kommt nicht in Frage, da wir die Zugangsdaten nicht unbedingt in dem Script hinterlegen möchten.

Dankeschön

Content-ID: 111314

Url: https://administrator.de/forum/kann-man-selbst-eine-lokale-gruppe-erstellen-die-nur-das-recht-besitzt-drucker-anzulegen-111314.html

Ausgedruckt am: 24.12.2024 um 00:12 Uhr

Logan000
Logan000 13.03.2009 um 10:39:25 Uhr
Goto Top
Moin Moin

Wir haben hier eine etwas seltsame Printserver Konstellation, bei der die Drucker über ein Script angelegt werden.
Was genau soll diese Gruppe können? Drucker auf dem Printserver einrichten?

Gruß L.
fraggle666
fraggle666 13.03.2009 um 10:41:58 Uhr
Goto Top
Japp, genau das :/

Grüße
60730
60730 13.03.2009 um 10:42:05 Uhr
Goto Top
Moin,

Printserver Konstellation, bei der die Drucker über ein Script angelegt werden.
Das ist doch schon mal gut face-wink
"Normalerweise" - werden doch Drucker eines Printservers auch ohne besondere /Adminrechte eingetragen.

Ich vermute den "Bock" bei der Kombination W2k3 Printserver und XP Clients, die einigermaßen "aktuell" sind.


Überprüf mal an einem Client, ob diese Struktur vorhanden ist:
Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint]
"Restricted"=dword:00000000  
"InForest"=dword:00000000  
"TrustedServers"=dword:00000000  

Wenn ja - sollte der User sich mit einem Printer verbinden können - wenn nein - importiere die Reg und nach evtl einem Neustart nochmal mit dem verbinden probieren.

Den geposteten Regkey hab ich im August 2008 "auf" einmal gebraucht. - Vorher gings auch ohne

Gruß
60730
60730 13.03.2009 um 10:52:07 Uhr
Goto Top
Was genau soll diese Gruppe können? Drucker auf dem Printserver einrichten?
Zitat von @fraggle666:
Japp, genau das :/

Grüße

Moin,

auch wenn das nun evtl. meine eigene Meinung ist - aber auf einem Server darf / sollte genau einer etwas installieren.
Der Admin und sonst keiner - wer aktualisiert denn sonst die Doku und geht gegen "Wildwuchs" vor?

Gruß
fraggle666
fraggle666 13.03.2009 um 10:56:14 Uhr
Goto Top
Naja, es ist ein spezieller Printserver...

ich versuchs mal zu erklären:

Also, die User starten eine von 3 speziellen Applikationen über Citrix. Beim Start läuft ein Script, dass die IP des Users ermittelt. Wird eine externe IP Adresse ermittelt, startet ein weiteres Script, dass sich auf ein Nimbus Printsystem verbindet und dort auf eine Druckeingangsqueue zugreift, die von T-Systems angelegt wurde. Diese verbindet sich dann auf eine Ausgangsqueue, die zuvor von dem Script erstellt wurde. Die Eingans-und Ausgangsqueue wird jeweils mit dem Namen des User angelegt deren Ports anschließend auf den gemappten Drucker des Citrix Server verbindet, welcher den lokalen Drucker des eigentlichen Benutzers gemappt hat :D

Eine wilde Konstellation, die aber so sein muss, und noch schwieriger zu erklären ist....

Also Fakt ist, ich würde mir gerne auf diesem "Printserver" eine lokale Gruppe erstellen, in die ich dann alle Citrix User reinpacke, die die entsprechenden Programme starten müssen.
Diese Gruppe muss dann das Recht haben, auf dem Server diese Drucker zu erstellen.

Verwirrend?

Also ich war sehr verwirrt als ich das ganze zum ersten mal sah :D
60730
60730 13.03.2009 um 11:13:19 Uhr
Goto Top
Puh,

dann "probier" folgendes.

lege eine neue Gruppe im AD an und mach einen "TestDAU" als Mitglied rein.

Dieser gibts du rechte auf:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Ports
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Print\Printers

und probierst es.
Und "wenn" es dann funktioniert - sorge unbedingt dafür, dass die neuen Keys regelmäßig wieder gelöscht werden.
(am besten nach dem Abmelden des betreffenden Users)

gruß
fraggle666
fraggle666 13.03.2009 um 11:31:17 Uhr
Goto Top
Auf die Idee bin ich noch nicht gekommen!
Das probier ich gleich mal...

Danke dir face-smile
fraggle666
fraggle666 13.03.2009 um 12:49:10 Uhr
Goto Top
Hm, die Keys alleine reichen wohl noch nicht aus.
Ich muss mal die komplette Registry durchforsten, oder eventuell mit Netinstall analysieren, welche Schlüssel bei einem neuanlegen geändert werden.

Aber das war auf jeden Fall mal ein toller Schubs in die richtige Richtung face-smile
60730
60730 13.03.2009 um 13:11:06 Uhr
Goto Top
Servus,

naja - ich hätt ja auch "mitdenken" können face-wink
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Devices
fehlt noch in der Liste und ohne Rechte in:
%windir%\system32\spool\drivers
wirds wohl eher auch nicht klappern face-wink
Gruß
fraggle666
fraggle666 16.03.2009 um 17:16:03 Uhr
Goto Top
Also...hat leider nicht geklappt :/
Aber unser Server Admin hat keine Probleme damit, dass die entsprechenden User in die Admin Gruppe aufgenommen werden, da Sie sich nicht direkt anmelden. Nunja, wenn er das so sieht, soll es mir auch recht sein ^^

War trotzdem ein interessanter Ausflug in die Registry, Danke dir Timo!