20
Netzwerkdrucker ohne Adminrechte verbinden
Hallo zusammen,
es nervt mich schon länger, dass hier Netzwerkdrucker auf Workstations nur mit Admin-Rechten verbunden werden können.
Also habe ich mich dem Thema mal angenommen. Die Drucker können leider nicht per GPO zugeordnet werden, das wäre meine liebste Variante, aber da gäbe es zu viele Ausnahmen, das wäre lästig.
Also dachte ich, sollen die Drucker einfach ohne Admin-Rechte installiert werden können.
Zwei Einstellungen in den Gruppenrichtlinien eingetragen.
Computerkonfiguration - Richtlinien - Administrative Vorlagen - System - Treiberinstallation
Hier Treiberinstallation für diese Geräteklassen zulassen - aktiviert
eingetragene GUIs:
4d36e971-e325-11ce-bfc1-08002be10318 (Multifunction Devices)
4658ee7e-f050-11d1-b6bd-00c04fa372a7 (Printers, Bus-specific class drivers)
4d36e973-e325-11ce-bfc1-08002be10318 (Network Client)
Hatte ich irgendwo gefunden, dass diese drei nötig wären. Macht soweit auch Sinn.
Was es für GUIs gibt steht hier: https://learn.microsoft.com/en-us/windows-hardware/drivers/install/syste .... Da wüsste ich aber nicht, was sonst noch Sinn machen könnte.
Außerdem unter
Computerkonfiguration - Richtlinien - Administrative Vorlagen - Drucker bei Point-and-Print den Printserver als genehmigten Server eingetragen
Trotzdem will der Client das Admin-Kennwort.
Was fehlt dem noch?
es nervt mich schon länger, dass hier Netzwerkdrucker auf Workstations nur mit Admin-Rechten verbunden werden können.
Also habe ich mich dem Thema mal angenommen. Die Drucker können leider nicht per GPO zugeordnet werden, das wäre meine liebste Variante, aber da gäbe es zu viele Ausnahmen, das wäre lästig.
Also dachte ich, sollen die Drucker einfach ohne Admin-Rechte installiert werden können.
Zwei Einstellungen in den Gruppenrichtlinien eingetragen.
Computerkonfiguration - Richtlinien - Administrative Vorlagen - System - Treiberinstallation
Hier Treiberinstallation für diese Geräteklassen zulassen - aktiviert
eingetragene GUIs:
4d36e971-e325-11ce-bfc1-08002be10318 (Multifunction Devices)
4658ee7e-f050-11d1-b6bd-00c04fa372a7 (Printers, Bus-specific class drivers)
4d36e973-e325-11ce-bfc1-08002be10318 (Network Client)
Hatte ich irgendwo gefunden, dass diese drei nötig wären. Macht soweit auch Sinn.
Was es für GUIs gibt steht hier: https://learn.microsoft.com/en-us/windows-hardware/drivers/install/syste .... Da wüsste ich aber nicht, was sonst noch Sinn machen könnte.
Außerdem unter
Computerkonfiguration - Richtlinien - Administrative Vorlagen - Drucker bei Point-and-Print den Printserver als genehmigten Server eingetragen
Trotzdem will der Client das Admin-Kennwort.
Was fehlt dem noch?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 668933
Url: https://administrator.de/contentid/668933
Ausgedruckt am: 21.11.2024 um 16:11 Uhr
20 Kommentare
Neuester Kommentar
Hallo,
Eigentlich alles.
Welches OS ist das/die Ziele?
Welche Drucker sind es denn (Hersteller, Modell, Anschluss, PCL oder Epson Sprache?)
Gibt es PrintServer?
Warum geht keine GPO?
Mal einen Neuen Client ohne Altlasten probiert?
Wo hast du was gelesen und wo kommen deine Weisheiten her?
Gruss,
Peter
Eigentlich alles.
Welches OS ist das/die Ziele?
Welche Drucker sind es denn (Hersteller, Modell, Anschluss, PCL oder Epson Sprache?)
Gibt es PrintServer?
Warum geht keine GPO?
Mal einen Neuen Client ohne Altlasten probiert?
Wo hast du was gelesen und wo kommen deine Weisheiten her?
Gruss,
Peter
Wenn der Client trotz GPO nach Admin fragt, dann würde ich prüfen ob der Client die neue GPO gezogen hat oder nicht?
Dann unter Gruppenrichtlinieneinstellungen
Point-and-Print-Richtlinien
Genehmigte Server: sicherstellen, dass die Richtlinie „Drucker bei Point-and-Print genehmigen“ korrekt konfiguriert ist und der Printserver in der Liste der genehmigten Server aufgeführt ist.
Und bei Benutzerrechte: Überprüfen der Richtlinie „Benutzern erlauben, Drucker zu installieren“, um sicherzustellen, dass diese aktiviert ist.
Dann unter Gruppenrichtlinieneinstellungen
Point-and-Print-Richtlinien
Genehmigte Server: sicherstellen, dass die Richtlinie „Drucker bei Point-and-Print genehmigen“ korrekt konfiguriert ist und der Printserver in der Liste der genehmigten Server aufgeführt ist.
Und bei Benutzerrechte: Überprüfen der Richtlinie „Benutzern erlauben, Drucker zu installieren“, um sicherzustellen, dass diese aktiviert ist.
Zusätzlich kann ich noch anfügen, das die Treiber als Paket deklariert sein müssen am Druckserver.
Sonst klappt das auch nicht. Muss also zusätzlich zu dem ganzen GPO Gedöns um die Print Nightmare Sache gemacht werden.
https://www.windows-faq.de/2017/05/19/point-and-print-probleme-bei-insta ...
Sonst klappt das auch nicht. Muss also zusätzlich zu dem ganzen GPO Gedöns um die Print Nightmare Sache gemacht werden.
https://www.windows-faq.de/2017/05/19/point-and-print-probleme-bei-insta ...
sehr gute Punkt itisnapanto
itisnapanto , daß habe ich komplett vergessen, neue Treiber Installationen brauchen in der Regel Admin Rechte...
Aber ich habe eine überflüssige Frage, wieso sollen Anwender in einer Firma irgendwelche Drucker installieren und verwenden dürfen ?
itisnapanto , daß habe ich komplett vergessen, neue Treiber Installationen brauchen in der Regel Admin Rechte...
Aber ich habe eine überflüssige Frage, wieso sollen Anwender in einer Firma irgendwelche Drucker installieren und verwenden dürfen ?
Das sollen und dürfen sie auch nicht.
Mein Einwand betraf die Verteilung via GPO.
Mein Einwand betraf die Verteilung via GPO.
Das hier sollte doch ausreichen:
https://www.gruppenrichtlinien.de/artikel/printnightmare-3-richtlinien-w ...
https://www.gruppenrichtlinien.de/artikel/printnightmare-3-richtlinien-w ...
Zitat von @kpunkt:
Das hier sollte doch ausreichen:
https://www.gruppenrichtlinien.de/artikel/printnightmare-3-richtlinien-w ...
Das hier sollte doch ausreichen:
https://www.gruppenrichtlinien.de/artikel/printnightmare-3-richtlinien-w ...
Leider nicht . Siehe mein Beitrag oben. Hatte genau diesen Fall letztens noch.
Hm...also ich hab da so einen "komischen" Drucker (HPLJ CP1025nw), der ist unpackaged und hat das Attribut 0 und kann ganz normal als User ausgewählt oder per GPO zugewiesen werden.
Und bei den freigegebenen Servern (ist nur einer) steht alleine die FQDN.
Das Verhalten, das @emeriks da skizziert ist aber auch weird und hört sich doch nach Microsoft an.
Ich glaub, die haben in der Sache schon so viel rumgepatcht, dass es da so allerlei komisches Zeugs geben wird.
Und bei den freigegebenen Servern (ist nur einer) steht alleine die FQDN.
Das Verhalten, das @emeriks da skizziert ist aber auch weird und hört sich doch nach Microsoft an.
Ich glaub, die haben in der Sache schon so viel rumgepatcht, dass es da so allerlei komisches Zeugs geben wird.
OFF TOPIC
Erinnert mich an.
Die Funktion der "Bereitgestellte Drucker" und die damit verbundene "pushrpintersconnection.exe" ist gelinde gesagt, der letzte Dreck!
https://www.gruppenrichtlinien.de/artikel/bereitgestellte-drucker-drucke ...
Drucker verteilen - Besser wird es nicht
https://www.gruppenrichtlinien.de/artikel/drucker-verteilen-besser-wird- ...
Erinnert mich an.
Die Funktion der "Bereitgestellte Drucker" und die damit verbundene "pushrpintersconnection.exe" ist gelinde gesagt, der letzte Dreck!
https://www.gruppenrichtlinien.de/artikel/bereitgestellte-drucker-drucke ...
Drucker verteilen - Besser wird es nicht
https://www.gruppenrichtlinien.de/artikel/drucker-verteilen-besser-wird- ...
Gut sie sollen und dürfen das nicht. Verstanden.
Hast du also jetzt festellen können, daß die GPO vom client gezogen wurde oder nicht ?
Dann wissen wir, die GPO ist da aber der Client will nicht.
Hast du also jetzt festellen können, daß die GPO vom client gezogen wurde oder nicht ?
Dann wissen wir, die GPO ist da aber der Client will nicht.
Sorry, zusammen, dass ich mich erst jetzt melde.
Die Drucker sind alle über einen Printserver (Windows Server 2022) bereitgestellt. Clients haben alle Win10 oder 11.
Es gibt mehrere unterschiedliche Drucker und nicht jeder braucht jeden Drucker und das kann ich noch nichtmal an der Abteilung (Gruppe) anhängen - auch weil manche Mitarbeiter in zeitweise in anderen Abteilungen mitmachen und dann deren Drucker brauchen. Das müsste dann ständig auf User-Ebene gepflegt werden, nicht einmal auf Gruppen-Ebene. Das wäre ziemlicher Aufwand. Es wäre also dann im Endeffekt so, dass jeder jeden Drucker bekommt. Wäre nicht so das Problem macht es aber unübersichtlich - für die User, die wollen das auch nicht. Die hätten dann so 30 Drucker zur Auswahl - lästig.
Bisher ist es so, einer ruft "ich bräuchte diesen Drucker" und dann schalte ich mich auf und verbinde den. Ist kein Drama und das kommt auch nicht oft vor, aber ich dachte eben, soll er sich den eben selbst schnell connecten und gut.
Die GPO wurde lt. gpresult erfolgreich gezogen - neuen Client habe ich noch nicht ausprobiert. Es gibt auch eine Änderung, habe ich erst heute gemerkt. Vorher kam sofort bei Klick auf "Verbinden" die Admin-Abfrage - jetzt sucht er zuerst nach Treibern (schätze lokal), findet dort keine und dann kommt die Abfrage - also erst später. Wenn ein gleicher Drucker bereits installiert war, kann er den auch verbinden - das war vorher nicht so.
Das mit den hinterlegten MSI-Druckertreibern könnte ein Hinweis und Knackpunkt sein. Die meisten sind so Labor-Etiketten-Drucker und für die gibts keine MSI-Druckertreiber.
Die Drucker sind alle über einen Printserver (Windows Server 2022) bereitgestellt. Clients haben alle Win10 oder 11.
Es gibt mehrere unterschiedliche Drucker und nicht jeder braucht jeden Drucker und das kann ich noch nichtmal an der Abteilung (Gruppe) anhängen - auch weil manche Mitarbeiter in zeitweise in anderen Abteilungen mitmachen und dann deren Drucker brauchen. Das müsste dann ständig auf User-Ebene gepflegt werden, nicht einmal auf Gruppen-Ebene. Das wäre ziemlicher Aufwand. Es wäre also dann im Endeffekt so, dass jeder jeden Drucker bekommt. Wäre nicht so das Problem macht es aber unübersichtlich - für die User, die wollen das auch nicht. Die hätten dann so 30 Drucker zur Auswahl - lästig.
Bisher ist es so, einer ruft "ich bräuchte diesen Drucker" und dann schalte ich mich auf und verbinde den. Ist kein Drama und das kommt auch nicht oft vor, aber ich dachte eben, soll er sich den eben selbst schnell connecten und gut.
Die GPO wurde lt. gpresult erfolgreich gezogen - neuen Client habe ich noch nicht ausprobiert. Es gibt auch eine Änderung, habe ich erst heute gemerkt. Vorher kam sofort bei Klick auf "Verbinden" die Admin-Abfrage - jetzt sucht er zuerst nach Treibern (schätze lokal), findet dort keine und dann kommt die Abfrage - also erst später. Wenn ein gleicher Drucker bereits installiert war, kann er den auch verbinden - das war vorher nicht so.
Das mit den hinterlegten MSI-Druckertreibern könnte ein Hinweis und Knackpunkt sein. Die meisten sind so Labor-Etiketten-Drucker und für die gibts keine MSI-Druckertreiber.
Das ist gut wir kommen weiter. Ich krieg langsam eine Vorstellung von deiner Arbeitsumgebung.
Also, sind wir jetzt da, der client darf hat aber hat keine Treiber und sucht sie vergiblich...
Sag mal, wieviel clienten hast du denn ?
Also, sind wir jetzt da, der client darf hat aber hat keine Treiber und sucht sie vergiblich...
Sag mal, wieviel clienten hast du denn ?
Das sind gar nicht so viele - ca. 40. Und wenn heute einer von Abteilung A kurz bei einem Projekt bei Abteilung B mitmacht, dann braucht der den dortigen Drucker, sonst muss er wegen ein paar Etiketten hin- und herlaufen.
Ich denke, er findet den Druckertreiber auf dem Server. Denn nach der Admin-Abfrage fängt er sofort an zu installieren.
Ich denke, er findet den Druckertreiber auf dem Server. Denn nach der Admin-Abfrage fängt er sofort an zu installieren.
Eigentlich, ein Printserver ist tatsächlich dafür gedacht, die Druckertreiber zentral bereitzustellen, sodass die Clients über den Server die benötigten Treiber beziehen können, ohne sie manuell installieren zu müssen.
Bitte bestätige, daß genau das nicht funktioniert und wenn ja, was du für eine Fehlermeldung bekommst.
Und wenn es hart auf hart kommt, bei 40 clienten kann man zu Fuß. Wir sind aber nocht nicht da und sollen auch nicht.
Bitte bestätige, daß genau das nicht funktioniert und wenn ja, was du für eine Fehlermeldung bekommst.
Und wenn es hart auf hart kommt, bei 40 clienten kann man zu Fuß. Wir sind aber nocht nicht da und sollen auch nicht.
Ich habe keine Fehlermeldung - nur die Frage nach dem Admin-Passwort.
Und klar geht das zu Fuß (oder per RDP), kommt auch - wie schon geschrieben - nicht so oft vor. Aber wie das so ist, das ist ja wie Weihnachten immer ganz überraschend, dass User A heute woanders mitmacht und dann muss das JETZT gemacht werden. Idealerweise, wenn ich mal später komme, früher gegangen bin oder frei habe. Da passiert nix, aber ich hätte das gerne vereinfacht.
Und klar geht das zu Fuß (oder per RDP), kommt auch - wie schon geschrieben - nicht so oft vor. Aber wie das so ist, das ist ja wie Weihnachten immer ganz überraschend, dass User A heute woanders mitmacht und dann muss das JETZT gemacht werden. Idealerweise, wenn ich mal später komme, früher gegangen bin oder frei habe. Da passiert nix, aber ich hätte das gerne vereinfacht.
ah die Frage nach dem Admin-Passwort kommt immer noch, nur verzögert als vorher.
Okay dann bitte folgendes bestätigen:
1. Gruppenrichtlinien für "Point and Print" ist korrekt konfiguriert. Also Bei den GPO "Point and Print Einschränkungen" ist aktiviert genehmigte Server ist konfiguriert, also du hast den Printserver als genehmigten Server eingetragen. Bei den Sicherheitseinstellungen hast du die Berechtigungen auf „Kein Sicherheitsdialog anzeigen“ gesetzt und du hast erlaubt den Benutzern, Drucker ohne Admin-Rechte zu installieren. Du muss die betroffenen Clients neu starten, damit sie die aktualisierte Richtlinie übernehmen wird oder einen gpo update zwingen.
2. Du hast die Treiberpakete auf dem Printserver bereitgestellt, richtig ? Denn wenn die Treiber auf dem Printserver nicht als Paket deklariert sind, könnte das zu Problemen führen.
3. Richtlinie für Treiberinstallation konfigurieren; In der GPO: Computerkonfiguration > Richtlinien > Administrative Vorlagen > System > Treiberinstallation; die Richtlinie aktivieren: „Treiberinstallation für diese Geräteklassen zulassen“ und sicherstellen, dass die Geräteklassen für Drucker eingetragen sind (z.B. GUID für Drucker). Siehe KB5005652
gpupdate /force
gpresult /h result.html, um zu prüfen, ob die gewünschte GPO erfolgreich angewendet wurde.
"Bitte beachten Sie, dass meine Beiträge auf meiner Erfahrung sowie der Nutzung von Suchmaschinen und Fach-KI-Agenten basieren. Ich erhebe keinen Anspruch auf absolute Richtigkeit und übernehme keine Haftung für die Inhalte. Jeder Hinweis und jede Ergänzung sind willkommen!"
1. Gruppenrichtlinien für "Point and Print" ist korrekt konfiguriert. Also Bei den GPO "Point and Print Einschränkungen" ist aktiviert genehmigte Server ist konfiguriert, also du hast den Printserver als genehmigten Server eingetragen. Bei den Sicherheitseinstellungen hast du die Berechtigungen auf „Kein Sicherheitsdialog anzeigen“ gesetzt und du hast erlaubt den Benutzern, Drucker ohne Admin-Rechte zu installieren. Du muss die betroffenen Clients neu starten, damit sie die aktualisierte Richtlinie übernehmen wird oder einen gpo update zwingen.
2. Du hast die Treiberpakete auf dem Printserver bereitgestellt, richtig ? Denn wenn die Treiber auf dem Printserver nicht als Paket deklariert sind, könnte das zu Problemen führen.
3. Richtlinie für Treiberinstallation konfigurieren; In der GPO: Computerkonfiguration > Richtlinien > Administrative Vorlagen > System > Treiberinstallation; die Richtlinie aktivieren: „Treiberinstallation für diese Geräteklassen zulassen“ und sicherstellen, dass die Geräteklassen für Drucker eingetragen sind (z.B. GUID für Drucker). Siehe KB5005652
gpupdate /force
gpresult /h result.html, um zu prüfen, ob die gewünschte GPO erfolgreich angewendet wurde.
"Bitte beachten Sie, dass meine Beiträge auf meiner Erfahrung sowie der Nutzung von Suchmaschinen und Fach-KI-Agenten basieren. Ich erhebe keinen Anspruch auf absolute Richtigkeit und übernehme keine Haftung für die Inhalte. Jeder Hinweis und jede Ergänzung sind willkommen!"
auch weil manche Mitarbeiter in zeitweise in anderen Abteilungen mitmachen und dann deren Drucker brauchen. Das müsste dann ständig auf User-Ebene gepflegt werden, nicht einmal auf Gruppen-Ebene. Das wäre ziemlicher Aufwand.
Ich werf jetzt mal Follow-Me in den Raum.
Muss man halt entscheiden lassen, ob man die möglichen Initialkosten ausgeben will, oder ob's beim opragmatischen Ansatz bleibt.
Ich werf jetzt mal Follow-Me in den Raum.
Muss man halt entscheiden lassen, ob man die möglichen Initialkosten ausgeben will, oder ob's beim opragmatischen Ansatz bleibt.
Hi,
solange die Treiberzahl überschaubar ist, kannst du alle Drucktreiber auf alle Clients verteilen, dann können die ohne Installation Drucker verbinden.
Geht aber nur mit PCL-Treibern, soweit ich weiß.
Sg Dirm
solange die Treiberzahl überschaubar ist, kannst du alle Drucktreiber auf alle Clients verteilen, dann können die ohne Installation Drucker verbinden.
Geht aber nur mit PCL-Treibern, soweit ich weiß.
Sg Dirm
solange die Treiberzahl überschaubar ist, kannst du alle Drucktreiber auf alle Clients verteilen, dann können die ohne Installation Drucker verbinden.
Das hat geklappt. Hab jedem User per GPO einen von jeder Sorte per GPO installiert (sind nur 2 Typen). Und jetzt klappt das. Wenn ein User einen anderen verbinden möchte, ploppt kurz "Treiber suchen" auf er findet den offenbar und verbindet den Drucker.
Damit hätte ich das vom Tisch - danke nochmal an alle.
