Ressourcenverwaltung Active Directory (windows domäne) Drucker

Hi.

Jeder Admin kann sich Drucker installiere, soweit stimme ich zu. Nutzer müssen auf die in den Group policy preferences angelegte Druckerverteilung bauen.

N'Abend.
Nö. Point & Print Restrictions per GPO entsprechend gesetzt und dann können/dürfen auch User sich Netzwerkdrucker selbst installieren.

Um auf die Eingangsfrage zurückzukommen:
Exchange?
Hat hier nix zu suchen und nix mit Druckern zu tun.

AD ebenfalls nur bedingt - die Drucker musst du auf einem Server im Netz installieren und entsprechend freigeben.
Über die Funktionen des AD, hier z.B. GPO/GPP, kannst du diese Drucker dann automatisiert an deine User verteilen.

Cheers,
jsysde

Moin jsysde.
Klar, das ist bekannt, ist aber nicht der richtige Weg. Man lässt nicht zu, dass Hans und Franz sich installieren, was sie wollen, Treiber sind gefährlich. Man kann ja gerne alle Drucker zuweisen, aber eben nur die bekannten und nicht generell weltweit alle.

N'Abend.
Das kann ich so nicht gelten lassen - ich kenne einige Firmen, die das so handhaben, dass ich die User ihre Drucker selbst installieren, wenn sie sie benötigen. Und ich sehe da auch kein Problem/Risiko.

Denn das hier
musst du mir mal erklären.

Weltweit sicher nicht, man sollte differenzieren. Und auch ich bin ein Freund von fest zugewiesenen Druckern per GPO/GPP, basierend auf AD-Site, AD-Group etc. Aber dennoch sehe ich keine Gefahr darin, den Usern das Installieren von freigegebenen Druckern zu erlauben, zumal ich ja den Daumen drauf habe und entscheide, welchen Treiber sie bekommen.

Cheers,
jsysde

Klar. Manche Treiber starten im Kontext des Systemkontos (hängt vom Treiber ab). Schafft der schwache User es, einen bösartigen Treiber zu installieren, ist er plötzlich Admin und übernimmt den Rechner.
Und das gelingt ihm sicherlich, wenn er es nur will. Wenn Du in den point and print restrictions eine Print-Server-IP einträgst von der Treiber installiert werden dürfen - wie stellst du sicher, dass der Nutzer sich nicht direkt mit seinem mitgebrachten eigenen Laptop verbindet, dem Laptop die IP des Servers gibt und seinem PC sonst was unterschiebt? Eine Identitätsprüfung ist dort nicht vorgesehen, der Schutz ist doch nur Schein.
Wenn du hingegen Printer über GPOs verteilst, dann verteilst Du da Active Directory Objekte (die Drucker werden veröffentlicht) und die haben eindeutige IDs.

Edit: ok, ich muss abschwächen, denn natürlich ist nicht überall erlaubt, Kernel-Mode-Printertreiber zu installieren - per default ist das bei OS höher als xp nämlich aus - könnte jedoch angeschaltet worden sein, falls jemand uralt-Druckertreiber vertreibt.

Wie auch immer, dem Nutzer die Möglichkeit zu geben, zu installieren, was er will, würde ich nie machen, wenn es anders geht. Und sonderlich inkomfortabel ist es der andere Weg nun nicht.

N'Abend.
Wie sollte er das anstellen?
Er kann und darf ja keine anderen Treiber installieren, als die, die auf dem Printserver zur Verfügung stehen.

Nö.

Selbst, wenn ich keine IP-Adresse eintrage:
- Privater Laptop des User ist nicht in der Domain, ergo kann er dort freigegebene Drucker(treiber) nicht installieren - wenn er es versucht, wird die Installation nicht klappen, da er sich mit lokalen Daten des Laptop authentifizieren muss
- Auf Domain-Laptops hat der User keine Rechte und kann auf eben diesen keine "bösen" Treiber installieren um o.g. Szenario nachzustellen

Zum ersten kann der User die IP nicht ändern, weil ihm auch dafür schlicht die Rechte fehlen.
Zweitens knallt es im Netz, mein Monitoring schlägt Alarm und ich habe die Situation ganz schnell wieder unter Kontrolle.

Wie gesagt, bin ich ein sehr großer Fan von zentraler Verteilung (nicht nur von Druckern).
Dennoch sehe ich hier nur ein sehr theoretisches, konstruiertes Risiko - wenn ich das als Maßstab anlege, schalte ich morgen die komplette Infrastruktur ab und gehe nach Hause, weil ich es ja sowieso nicht sicher betreiben kann. Mal von der Tatsache abgesehen, dass allein das Auffinden/Erstellen eines "bösen" Druckertreibers 99,9% der "schwachen" User vor ein unlösbares Problem stellen würde - und der verbleibende Rest findet, wenn er es auf diesem Weg versuchen und scheitern sollte, andere Wege...

Cheers,
jsysde

Aber sicher. Probier's aus. Haben wir damals alles gemacht, bei der Erstellung des Konzeptes.
Nein. Die Point and Print restrictions stellen die Firmen ja gerade deshalb vom default weg, damit Leute ohne Adminrechte installieren können. Er geht einfach auf \\printserver\ (was zur IP des direkt angeschlossenen Laptops aufgelöst wird) und schon sieht er den freigegebenen Drucker doppelklickt ihn und drauf ist der Treiber.
Ich rede von einem eigenen, privaten Laptop, da hat er alle Rechte.
Nein, direkte Verkabelung, dein Netz merkt nichts davon.
Ja, wenn man vom Volldepp ausgeht - der kommt ja noch nicht einmal auf die Idee, sowas zu tun. Aber denk mal an folgende Zielsetzung: geteilter Abteilungslaptop, alles schwache Nutzer. Einer möchte Admin werden um die anderen Konten anzuzapfen und sieht seine Chance darin, einen Kernelmodetreiber unterzumogeln. Es ist nicht allzu abwegig (aber ich habe es selbst relativiert bzgl. Kernelmodetreiber, siehe Edit oben).

Falls Du es nach den Erklärungen immer noch für konstruiert hältst, sei es dir unbenommen. Es gibt immer gefährlichere Dinge, jedoch gehe ich Risiken aus dem Weg. Und dieses kleine Risiko brauche ich nicht einzugehen.