andre.as
Goto Top

Probleme mit Anwendung der GPO bei Domänen-Benutzer

Hallo,

irgendwie werden die Einstellungen, welche ich über die GPO gesetzt habe, nicht von den Domänen-Benutzer übernommen sondern nur von den Domänen-Admins.

Ich habe ein neues Gruppenrichtlinienobjekt angelegt, die Domäne zugewiesen, die Option "erzwingen" gesetzt. Unter Sicherheitsfilterung habe ich alle Benutzer hinzugefügt.

Im Gruppenrichtlinienobjekt sind bereitsgestellte Drucker, die Windows-Firewall und die Sicherheitsoption "Anmelden als Stapelverarbeitungsauftrag" gesetzt.

Wenn ich den Client starte und unter rsop.msc schaue, werden die voreingestellten Richtlinien nicht übernommen, manche erst gar nicht angezeigt.

Wo liegt der Fehler?

Grüße

UPDATE:

Hier noch ein Bild.
Firewall und Anmelden als Stapelverarbeitungsauftrag werden korrekt übernommen. Drucker nicht.

694b9219672e55bf54888ccf0ab0fe53

Content-Key: 187653

Url: https://administrator.de/contentid/187653

Ausgedruckt am: 28.03.2024 um 18:03 Uhr

Mitglied: d4shoerncheN
d4shoerncheN 09.07.2012 um 09:38:26 Uhr
Goto Top
Hallo,

am Client einmal "gpupdate /force" ausgeführt? Auf welchem OS liegt die AD?

Gruß
Mitglied: Onitnarat
Onitnarat 09.07.2012 um 09:43:20 Uhr
Goto Top
Wo hast Du denn die Einstellungen definiert? Unter Benutzer- oder unter Computerkonfiguration?
Mitglied: andre.as
andre.as 09.07.2012 aktualisiert um 09:47:05 Uhr
Goto Top
Hallo,

der DC/AD ist auf einem ESXI (VMWare) mit dem OS Windows Server 2008 Enterprise R2 installiert.

gpupdate /force gibt an, dass die Richtlinien erfolgreich geupdatet wurden. Leider aber keine Besserung ersichtlich.

Der Client ist ein normaler Computer mit Windows 7 64bit. Domänen-Benutzer nimmt die Richtlinien nicht an, gleicher PC mit Domänen-Admin schon.

Ich vermute dass der Fehler eher in der Zuordnung des Gruppenrichtlinienobjekt liegt...

@Onitnarat:
In beidem... Unter Computer ist der Punkt "Anmelden als Stapelverarbeitung" hinterlegt. Unter Benutzer die Einstellung zur Windows-Firewall und zu den Druckern.

Komischerweise sehe ich am Client mit rsop.msc jedoch z.B. den Punkt unter Bereitgestellte Drucker unter Benutzerkonfiguration erst gar nicht.
Mitglied: Marcel.Palme
Marcel.Palme 09.07.2012 um 10:54:45 Uhr
Goto Top
Hallo,

der Benutzer ist auch Mitglied der OU auf die du das GPO anwendest?

MfG
Mitglied: andre.as
andre.as 09.07.2012 um 11:01:23 Uhr
Goto Top
Ja ;) sollte alles soweit passen
Mitglied: Onitnarat
Onitnarat 09.07.2012 um 11:10:07 Uhr
Goto Top
Was sagt denn der "Gruppenrichtlinienergebnisassistent" wenn Du Benutzer und und Rechner eingibst?
Mitglied: andre.as
andre.as 09.07.2012 um 11:22:26 Uhr
Goto Top
Gruppenrichtlinienobjekte

Angewendete Gruppenrichtlinienobjekte

Name Verknüpfungsstandort Revision
Default Domain Policy domäne.local AD (54), Sysvol (54)
Windows SBS CSE Policy domäne.local AD (3), Sysvol (3)

Abgelehnte Gruppenrichtlinienobjekte
Name Verknüpfungsstandort Grund: abgelehnt
xxx Server Policy domäne.local Zugriff verweigert (Sicherheitsfilterung)
xxx User Policy domäne.local Zugriff verweigert (Sicherheitsfilterung)

hm...
Mitglied: andre.as
andre.as 10.07.2012 um 08:43:14 Uhr
Goto Top
UPDATE

Hab noch ein Bild mit ein paar Informationen beigefügt.
Ein Teil funktioniert jetzt ;)
Mitglied: Marcel.Palme
Marcel.Palme 10.07.2012 um 08:57:14 Uhr
Goto Top
Hallo,

vieleicht hilft dir der Artikel von MS weiter

http://technet.microsoft.com/de-de/library/cc722179.aspx

MfG

Marcel
Mitglied: andre.as
andre.as 10.07.2012 um 09:20:07 Uhr
Goto Top
Ja, bei diesem Artikel bin ich auch schon gelandet. Ich lad jetzt mal das "Automated Installation Kit (AIK) for Windows Vista SP1 and Windows Server 2008" herunter und versuch es mit der pushprinterconnections.exe

Komisch ist aber, dass ich die Drucker an meinem PC einwandfrei sehe und auch bestens drauf drucken kann. Außer dass ich Admin bin ist an meinem Computer nichts anders...
Mitglied: Marcel.Palme
Marcel.Palme 10.07.2012 um 09:43:12 Uhr
Goto Top
Hast du schon mal über die druckerverwaltung von deinem Printserver versucht das gpo zu ändern? - wie im artikel beschrieben?
eigentlich dürfte das keine rolle spielen da das GPO auf Computer angewendet wird aber hast du mal versucht alle auth. benutzer in die Sicherheitsgruppe mit ein zu tragen?
Mitglied: andre.as
andre.as 10.07.2012 um 10:08:49 Uhr
Goto Top
Auch mit der pushprinterconnections.exe scheint es nicht zu gehen. Ich habe jetzt nebst dem Computer auch noch den Benutzer in die Sicherheitsgruppe eingefügt und zum Testen dem Computer und dem Benutzer volle Rechte auf das Gruppenrichtlinienobjekt gegeben. Keine Besserung.

Im Technet-Artikel habe ich aber diesen Abschnitt entdeckt.
Um diese Verfahren auszuführen, muss die Druckserverfunktion installiert sein und Sie müssen Mitglied der Gruppe Administratoren sein. Sie müssen auch Schreibzugriff auf das Gruppenrichtlinienobjekt haben, wenn Sie es für die Druckerverwaltung verwenden möchten.

Was für ein Recht brauch ein Domänenbenutzer um ein Drucker anlegen zu dürfen?
Mitglied: Marcel.Palme
Marcel.Palme 10.07.2012 um 10:47:48 Uhr
Goto Top
So hab das Problem mal bei mir nachgestellt und es funktioniert ;)

Ausgangssituation

DC 2008R2 und Druckserver
neue GPO erstellt - keine Änderungen an irgendeiner Einstellung
im Druckserver rechtsklick auf Drucker mit GPO bereitstellen
neue zuvor erstellte GPO ausgewählt
hacken bei computer
gpo mit ou verknüpft
pc neustart
funktioniert
Mitglied: andre.as
andre.as 10.07.2012 um 10:57:27 Uhr
Goto Top
Ich habe jetzt zum Test den Benutzer in die Gruppe "Domänen-Admins" aufgenommen und schwupps die wupps sind die Drucker da. Es muss also an fehlenden Rechten liegen... Aber alle User als Admin laufen zu lassen ist ja nicht sinngemäß.

Somit stellt sich für mich die Frage: Was für Rechte braucht ein Domänen-Benutzer um ein Drucker anlegen zu dürfen?
Mitglied: Marcel.Palme
Marcel.Palme 10.07.2012 um 11:07:45 Uhr
Goto Top
mhm mal so ne frage.. die nutzer können sich die Drucker uber die Druckerverwaltung aber selbst anbinden oder
Mitglied: andre.as
andre.as 10.07.2012 um 11:11:34 Uhr
Goto Top
Wenn ich die Drucker über die GPO verteile muss keine manuelle Anbindung erfolgen. Es gibt auch keine sichtbare Freigabe der Drucker.

Eine normale Drucker-Installation an einem Client der nur Domänen-Benutzer-Rechte hat geht nur, wenn über die Benutzerkontensteuerung die Daten des Admins eingetragen werden.
Mitglied: Marcel.Palme
Marcel.Palme 10.07.2012 um 11:19:52 Uhr
Goto Top
ich habe bei mir folgende Richtlinien deaktiviert damit die installation von Treibern problemlos funktioniert

Installation von Druckern, die Kernelmodustreiber verwenden, nicht zulassen Deaktiviert
Nur Point-and-Print für Pakete verwenden Deaktiviert
Point-and-Print für Pakete - Genehmigte Server Deaktiviert
Point-and-Print-Einschränkungen Deaktiviert
Mitglied: andre.as
andre.as 10.07.2012 aktualisiert um 11:47:54 Uhr
Goto Top
Die ganze Sache wir jetzt noch komplizierter... an meinem Testrechner funktioniert es jetzt, gleicher Benutzer ohne Adminrechte. An einem weiteren Rechner funktioniert es leider jedoch nicht. Melde ich mich mit dem Benutzer Admin an, sind die Drucker da. Im anderen Profil nicht. Ich vermute stark, dass jeder Benutzer für kurze Zeit Adminrechte braucht, bis die Drucker verbunden (bzw. die Treiber installiert sind). Anschließend kann man die Rechte wieder einziehen, das Profil kennt ja nun die Drucker und Treiber...
Mitglied: Marcel.Palme
Marcel.Palme 10.07.2012 um 13:17:28 Uhr
Goto Top
mhm das dürfte eben nicht sein da der benutzer ja eigentölich nix damit zu tun hat -- da cumputerkonfig
Mitglied: andre.as
andre.as 10.07.2012 um 14:46:57 Uhr
Goto Top
und weiter gehts...

Ich konnte bislang folgendes Verhalten nachstellen.

- Sobald ein User in die Gruppe "Domänen-Admin" aufgenommen wird, erhält er sofort die Drucker die über die GPO verteilt werden sollen. Drucken problemlos möglich.

- Entzieht man ihm anschließend die Gruppe "Domänen-Admin" wieder, so dass er nur noch in der Gruppe der "Domänen-Benutzer" ist und starten den Rechner neu, sind trotzdem alle Drucker der GPO noch vorhanden.

Was nun jedoch nicht mehr geht ist das Drucken. Hier erscheint auf dem Desktop die Meldung, "Drucken nicht erfolgreich" und in der Druckerwarteschleife heißt es "Zugriff verweigert".

Ich werde jetzt mal prüfen, was für Rechte der User braucht. Wenn ich was rausfinde werde ich es hier natürlich fortführen. Solltet ihr noch eine Idee haben, einfach posten.

Danke.
Mitglied: andre.as
andre.as 10.07.2012 um 15:05:25 Uhr
Goto Top
... weil so schön war jetzt auch noch die Lösung.

Wenn man vor lauter Bäumen (Berechtigungen) den Wald nicht mehr sieht!

- Berechtigungen in der GPO überprüft, waren korrekt gesetzt
- Berechtigungen der Benutzer überprüft, alles ok
- Berechtigungen der Drucker in der Druckerverwaltung...

Stande auf Jeder "Drucken" und Domänen-Admin "Drucken, Drucker verwalten, Dokumente verwalten". Den Domänen-Benutzer hinzugefügt und die Berechtigungen angepasst.

Siehe da, es funktioniert.
Ich hoffe ich konnte jemandem (sollte jemand mal das gleiche Problem haben) weiterhelfen ;)

Danke an alle die mir Ratschläge gegeben haben.

Schöne Grüße