majorguzilli
Goto Top

Netzwerkdrucker benötigt einmalig Adminrechte

Mahlzeit zusammen,

ich ärgere mich seit einiger Zeit mit einem kleinem Problem rum. Unsere Drucker sind prinzipiell im Netzwerk freigegeben, werden aber nicht alle automatisch hinzugefügt. Jeder Nutzer kann je nachdem an welchem Standort er gerade sitzt, selber die entsprechenden Drucker hinzufügen. Hierfür habe ich ein kleines Tool in C# geschrieben.

Beim Verbinden des Netzwerkdruckers wird folgender Befehl ausgeführt:

rundll32 printui.dll,PrintUIEntry /in /q /u /n \"\\\\" + "DruckServer" + "\\" + Druckername + "\"",  

Das funktioniert an sich auch alles wunderbar, nur leider braucht man beim ersten hinzufügen eines Druckers Adminrechte. Habe ich als Admin einmal irgendeinen Drucker installiert, kann der User ohne Probleme aus jedem beliebigen Standort In- und de-installieren wie er lustig ist.

Jetzt habe ich schon versucht, die Treiber auf die Rechner zu schieben, aber selbst wenn ich die Sharp Treiber vorher händisch auf den Client installiere, will er für den ersten Drucker Adminrechte.

Was mir noch aufgefallen ist, wenn ich Start- Ausführen - >
rundll32 printui.dll PrintUIEntry /s
eintippe, fehlt der Drucker hier, bis ich ihn als Admin einmal mit dem Befehl oben hinzugefügt habe.

Kann ich den Treiber irgendwie via Skript in diesen Treiberpool bekommen?

Content-ID: 43735112887

Url: https://administrator.de/forum/netzwerkdrucker-benoetigt-einmalig-adminrechte-43735112887.html

Ausgedruckt am: 22.12.2024 um 22:12 Uhr

Bingo61
Bingo61 12.09.2023 um 12:50:51 Uhr
Goto Top
Servus,
normal löst man sowas mit Gruppenrichtlinie.
Dazu ist kein C# notwendig.
Wenn der Adminrechte verlangt, hast einen "Knoten" im Printserver.
Am Druckerserver, kannst über Eigenschaften Sicherheit die Befugnisse der User vergeben.
Aber das ist dir sicher bekannt face-smile
NoAiming
NoAiming 12.09.2023 um 13:02:23 Uhr
Goto Top
Moin,

es gibt eine GPO mit der du die Adminrechte bei der Installation von Druckertreibern überflüssig machen kannst.
Computerkonfiguration > Richtlinien > Administrative Vorlagen > Drucker > "..."

LG,
Looser27
Looser27 12.09.2023 um 13:13:58 Uhr
Goto Top
Moin,

sorry, aber auch das Verteilen via GPO ist gruselig, wenn man häufig an anderen Standorten ist:

Gute Lösung finde ich diese hier:

https://www.gruppenrichtlinien.de/artikel/drucker-verteilen-besser-wird- ...

Gruß

Looser
MajorGuzilli
MajorGuzilli 12.09.2023 um 13:30:17 Uhr
Goto Top
Ersteinmal vielen Dank für eure Antworten face-smile

Die Möglichkeit die Drucker über Gruppenrichtlinien zu verteilen, geht ja leider für unseren Fall nur bedingt. Der User soll in der Lage sein, sich zu jeder Zeit von jedem Standort den jeweiligen Drucker zu installieren und auf wieder zu entfernen. Ja, es gibt tatsächlich Leute die von der Baustelle aus etwas an einen Drucker am Standort X drucken :D

@Bingo61
Ich bin mir nicht sicher, meinst du die "Diesen Drucker verwalten" Berechtigung?

@NoAiming
Meinst du die "Point-and-Print Einschränkungen" ? ich hatte sie deaktiviert, das hat leider keine Änderung gebracht
erikro
erikro 12.09.2023 um 13:48:07 Uhr
Goto Top
Moin,

Zitat von @MajorGuzilli:
ich ärgere mich seit einiger Zeit mit einem kleinem Problem rum. Unsere Drucker sind prinzipiell im Netzwerk freigegeben, werden aber nicht alle automatisch hinzugefügt. Jeder Nutzer kann je nachdem an welchem Standort er gerade sitzt, selber die entsprechenden Drucker hinzufügen. Hierfür habe ich ein kleines Tool in C# geschrieben.

Beim Verbinden des Netzwerkdruckers wird folgender Befehl ausgeführt:

rundll32 printui.dll,PrintUIEntry /in /q /u /n \"\\\\" + "DruckServer" + "\\" + Druckername + "\"",  

Warum einfach, wenn es auch kompliziert geht. Besser:

Veröffentliche die freigegebenen Drucker im AD unter einer OU z. B. "Drucker". Dann bringe den Usern bei, wie sie mittels Explorer im AD nach Druckern suchen. Doppelklick auf den Drucker und alles ist gut.

hth

Erik
nachgefragt
nachgefragt 12.09.2023 um 13:56:08 Uhr
Goto Top
Zitat von @Looser27:
sorry, aber auch das Verteilen via GPO ist gruselig
Mark war mir schon vor 10 Jahren direkt symphatisch face-wink

"Die Funktion der "Bereitgestellte Drucker" und die damit verbundene "pushrpintersconnection.exe" ist gelinde gesagt, der letzte Dreck!"
https://www.gruppenrichtlinien.de/artikel/bereitgestellte-drucker-drucke ...
NoAiming
Lösung NoAiming 12.09.2023 um 13:58:41 Uhr
Goto Top
@NoAiming
Meinst du die "Point-and-Print Einschränkungen" ? ich hatte sie deaktiviert, das hat leider keine Änderung gebracht

Es müsste diese hier sein:
printer-gpo

LG
MajorGuzilli
MajorGuzilli 12.09.2023 um 14:11:15 Uhr
Goto Top
@NoAiming
Wahnsinn... da war ich wohl etwas sehr blind auf beiden Augen :D Funktioniert! Genau das habe ich gesucht. Vielen dank!

Natürlich auch herzlichen Dank an alle Anderen für die Vorschläge face-smile
erikro
erikro 12.09.2023 um 15:42:55 Uhr
Goto Top
Zitat von @NoAiming:

@NoAiming
Meinst du die "Point-and-Print Einschränkungen" ? ich hatte sie deaktiviert, das hat leider keine Änderung gebracht

Es müsste diese hier sein:
printer-gpo

LG

Hmmmm, ob das wirklich schlau ist? face-wink

https://www.pcwelt.de/article/1990999/malware-windows-treiber.html
Looser27
Looser27 12.09.2023 um 16:00:54 Uhr
Goto Top
Alternativ:

Such Dir die Typ 4 Druckertreiber für Deine Drucker. Die solltest Du ohne Adminrechte installieren können.
Dirmhirn
Dirmhirn 12.09.2023 um 22:03:25 Uhr
Goto Top
Hi,

die GPO mit den Adminrechten ist auch nur ein "legacy-Feature". Dann solltest du noch eine Liste der erlaubten Printserver verteilen. (KA wie "sicherer" es das wirklich macht.

Die Treiber kann man per Script verteilen. Musst aber alle Druckertreiber einmal installiert haben um die Dateien zu kopieren. Kann ich dir raussuchen, wenn du es noch brauchst.
Drucker kann man dann zb per GPO verteilen.

Sg Dirm
ElmerAcmeee
ElmerAcmeee 13.09.2023 um 08:18:09 Uhr
Goto Top
Moin,
ist das bei jedem Druckertreiber der Fall?
Neben dem von @Looser27 genannte Thema, hat bei uns die Umstellung auf Packaged Treiber geholfen.
Führt die o.g. genannte GPO nicht dazu, dass man "jeden" Druckertreiber installieren kann?
Gruß
MajorGuzilli
MajorGuzilli 13.09.2023 um 09:19:30 Uhr
Goto Top
Zumindest funktioniert die GPO für den Moment und die User schreien hier nicht täglich nach Adminrechten :D
Aber auf lange Sicht, wäre eine Möglichkeit ohne Sicherheitslücke natürlich top.

@Dirmhirn
Das Problem beim verteilen der Druckertreiber ist, dass ich nicht weiß was genau ich verteilen soll und wohin. Wenn ich exakt die Treiberversion installiere, die auch auf dem Domänencontroller installiert ist, wollte er dennoch für die erste Installation Adminrechte. Die Treiber müssen daher in irgendeinem gesonderten Pool liegen, damit er darauf zugreifen kann nehme ich an
Looser27
Looser27 13.09.2023 um 09:36:16 Uhr
Goto Top
Gegen die Sicherheitslücke hilft das Festlegen der Printserver in der selben GPO.

Trotzdem würde ich versuchen, die Drucker über die Printserver zu veröffentlichen um dann den Usern die Möglichkeit via Druckersuche auf dem Desktop das Einbinden mittels Doppelklick zu erlauben.
Somit sparst Du Dir das ständige Verwalten via GPO.
Dirmhirn
Dirmhirn 13.09.2023 aktualisiert um 11:49:40 Uhr
Goto Top
Das funktioniert mit prndrvr.vbs. ist auf allen Windows Versionen vorhanden (ab Vista)

Hier die Codezeile:

cscript "$env:windir\System32\Printing_Admin_Scripts\en-US\prndrvr.vbs" -a -m `"$name`" -h `"$folder`" -i `"$inf`" -e `"Windows x64`""  

@{'Name' = "EPSON Universal Print Driver"; 'Folder' = "e_jfb0de.inf_amd64_c687c81d22fd7694"; 'Inf' = "e_jfb0de.inf"}  


Infos zu den Treibern bekommst du zb im Printer Management-> Drivers über die MMC.
Name des Treibers und den Pfad zu den Dateien. i.A. C:\Windows\System32\DriverStore\FileRepository hier den Ordner kopieren und den namen der inf Datei.

Damit können die Drucker per GPO verbunden werden und die User drucken. Die Treiber am besten vorab alle verteilen. Bei neuen Usern dauerts oft enen Tag, bis SCCM Package und GPO einig werden...

hatte das mal aus einem MS-Thread zum printingnightmare Thema. Damals fiel einem user auf, dass ein paar Dateien im Client gefehlt haben, die aber am Server vorhanden waren. Ein User hat dann das prndrvr.vbs script als Lösung gepostet. Ich glaube mich zu erinnern, wenn der Drucker durch die GPO schon so "halb" installiert wurde, hat es auch gereicht, die fehlenden Dateien zu kopieren.