Ressourcenverwaltung Active Directory (windows domäne) Drucker
Wie kann ich im AD bzw. exchange2010 eine Ressourcenverwaltung so einrichten, dass ein User überall auf allen vernetzten Drucken in der Firma drucken kann?
Oder geht dies nur mit Räumen und Firmenfahrzeugen?
Danke
Viele Grüße
i.i
Oder geht dies nur mit Räumen und Firmenfahrzeugen?
Danke
Viele Grüße
i.i
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 290373
Url: https://administrator.de/contentid/290373
Ausgedruckt am: 22.11.2024 um 12:11 Uhr
9 Kommentare
Neuester Kommentar
Das geht nicht, du kannst hier Ressourcen wie Räume, Fahrzeuge, Verträge etc. verwalten, aber nicht bereitstellen.
Ist aber auch gar nicht notwendig. Wenn die Drucker in AD freigeben sind, dann kann sowieso jeder berechtigter User sich den gewünschten Drucker installieren. Man muss nur dafür sorgen, dass im AD aussagekräftige Name wie "Laser A3 Buchhaltung" vergeben werden und nicht kryptische Namen wie "Xer2304".
LG Günther
Ist aber auch gar nicht notwendig. Wenn die Drucker in AD freigeben sind, dann kann sowieso jeder berechtigter User sich den gewünschten Drucker installieren. Man muss nur dafür sorgen, dass im AD aussagekräftige Name wie "Laser A3 Buchhaltung" vergeben werden und nicht kryptische Namen wie "Xer2304".
LG Günther
N'Abend.
Um auf die Eingangsfrage zurückzukommen:
Exchange?
Hat hier nix zu suchen und nix mit Druckern zu tun.
AD ebenfalls nur bedingt - die Drucker musst du auf einem Server im Netz installieren und entsprechend freigeben.
Über die Funktionen des AD, hier z.B. GPO/GPP, kannst du diese Drucker dann automatisiert an deine User verteilen.
Cheers,
jsysde
Zitat von @DerWoWusste:
Nutzer müssen auf die in den Group policy preferences angelegte Druckerverteilung bauen.
Nö. Point & Print Restrictions per GPO entsprechend gesetzt und dann können/dürfen auch User sich Netzwerkdrucker selbst installieren.Nutzer müssen auf die in den Group policy preferences angelegte Druckerverteilung bauen.
Um auf die Eingangsfrage zurückzukommen:
Exchange?
Hat hier nix zu suchen und nix mit Druckern zu tun.
AD ebenfalls nur bedingt - die Drucker musst du auf einem Server im Netz installieren und entsprechend freigeben.
Über die Funktionen des AD, hier z.B. GPO/GPP, kannst du diese Drucker dann automatisiert an deine User verteilen.
Cheers,
jsysde
Moin jsysde.
Point & Print Restrictions per GPO entsprechend gesetzt und dann können/dürfen auch User sich Netzwerkdrucker selbst installieren.
Klar, das ist bekannt, ist aber nicht der richtige Weg. Man lässt nicht zu, dass Hans und Franz sich installieren, was sie wollen, Treiber sind gefährlich. Man kann ja gerne alle Drucker zuweisen, aber eben nur die bekannten und nicht generell weltweit alle.
N'Abend.
Denn das hier
Cheers,
jsysde
Zitat von @DerWoWusste:
Klar, das ist bekannt, ist aber nicht der richtige Weg. Man lässt nicht zu, dass Hans und Franz sich installieren, was sie wollen
Das kann ich so nicht gelten lassen - ich kenne einige Firmen, die das so handhaben, dass ich die User ihre Drucker selbst installieren, wenn sie sie benötigen. Und ich sehe da auch kein Problem/Risiko.Klar, das ist bekannt, ist aber nicht der richtige Weg. Man lässt nicht zu, dass Hans und Franz sich installieren, was sie wollen
Denn das hier
Treiber sind gefährlich.
musst du mir mal erklären.Man kann ja gerne alle Drucker zuweisen, aber eben nur die bekannten und nicht generell weltweit alle.
Weltweit sicher nicht, man sollte differenzieren. Und auch ich bin ein Freund von fest zugewiesenen Druckern per GPO/GPP, basierend auf AD-Site, AD-Group etc. Aber dennoch sehe ich keine Gefahr darin, den Usern das Installieren von freigegebenen Druckern zu erlauben, zumal ich ja den Daumen drauf habe und entscheide, welchen Treiber sie bekommen.Cheers,
jsysde
Treiber sind gefährlich.
musst du mir mal erklären.Und das gelingt ihm sicherlich, wenn er es nur will. Wenn Du in den point and print restrictions eine Print-Server-IP einträgst von der Treiber installiert werden dürfen - wie stellst du sicher, dass der Nutzer sich nicht direkt mit seinem mitgebrachten eigenen Laptop verbindet, dem Laptop die IP des Servers gibt und seinem PC sonst was unterschiebt? Eine Identitätsprüfung ist dort nicht vorgesehen, der Schutz ist doch nur Schein.
Wenn du hingegen Printer über GPOs verteilst, dann verteilst Du da Active Directory Objekte (die Drucker werden veröffentlicht) und die haben eindeutige IDs.
Edit: ok, ich muss abschwächen, denn natürlich ist nicht überall erlaubt, Kernel-Mode-Printertreiber zu installieren - per default ist das bei OS höher als xp nämlich aus - könnte jedoch angeschaltet worden sein, falls jemand uralt-Druckertreiber vertreibt.
Wie auch immer, dem Nutzer die Möglichkeit zu geben, zu installieren, was er will, würde ich nie machen, wenn es anders geht. Und sonderlich inkomfortabel ist es der andere Weg nun nicht.
N'Abend.
Er kann und darf ja keine anderen Treiber installieren, als die, die auf dem Printserver zur Verfügung stehen.
- Privater Laptop des User ist nicht in der Domain, ergo kann er dort freigegebene Drucker(treiber) nicht installieren - wenn er es versucht, wird die Installation nicht klappen, da er sich mit lokalen Daten des Laptop authentifizieren muss
- Auf Domain-Laptops hat der User keine Rechte und kann auf eben diesen keine "bösen" Treiber installieren um o.g. Szenario nachzustellen
Zweitens knallt es im Netz, mein Monitoring schlägt Alarm und ich habe die Situation ganz schnell wieder unter Kontrolle.
Dennoch sehe ich hier nur ein sehr theoretisches, konstruiertes Risiko - wenn ich das als Maßstab anlege, schalte ich morgen die komplette Infrastruktur ab und gehe nach Hause, weil ich es ja sowieso nicht sicher betreiben kann. Mal von der Tatsache abgesehen, dass allein das Auffinden/Erstellen eines "bösen" Druckertreibers 99,9% der "schwachen" User vor ein unlösbares Problem stellen würde - und der verbleibende Rest findet, wenn er es auf diesem Weg versuchen und scheitern sollte, andere Wege...
Cheers,
jsysde
Zitat von @DerWoWusste:
Klar. Treiber starten im Kontext des Systemkontos (hängt vom Treiber ab). Schafft der schwache User es, einen bösartigen Treiber zu installieren, ist er plötzlich Admin und übernimmt den Rechner.
Wie sollte er das anstellen?Klar. Treiber starten im Kontext des Systemkontos (hängt vom Treiber ab). Schafft der schwache User es, einen bösartigen Treiber zu installieren, ist er plötzlich Admin und übernimmt den Rechner.
Er kann und darf ja keine anderen Treiber installieren, als die, die auf dem Printserver zur Verfügung stehen.
Und das gelingt ihm sicherlich, wenn er es nur will.
Nö.Wenn Du in den point and print restrictions eine Print-Server-IP einträgst von der Treiber installiert werden dürfen - wie stellst du sicher, dass der Nutzer sich nicht direkt mit seinem mitgebrachten eigenen Laptop verbindet
Selbst, wenn ich keine IP-Adresse eintrage:- Privater Laptop des User ist nicht in der Domain, ergo kann er dort freigegebene Drucker(treiber) nicht installieren - wenn er es versucht, wird die Installation nicht klappen, da er sich mit lokalen Daten des Laptop authentifizieren muss
- Auf Domain-Laptops hat der User keine Rechte und kann auf eben diesen keine "bösen" Treiber installieren um o.g. Szenario nachzustellen
dem Laptop die IP des Servers gibt und seinem PC sonst was unterschiebt?
Zum ersten kann der User die IP nicht ändern, weil ihm auch dafür schlicht die Rechte fehlen.Zweitens knallt es im Netz, mein Monitoring schlägt Alarm und ich habe die Situation ganz schnell wieder unter Kontrolle.
Wenn du hingegen Printer über GPOs verteilst, dann verteilst Du da Active Directory Objekte (die Drucker werden veröffentlicht) und die haben eindeutige IDs.
Wie gesagt, bin ich ein sehr großer Fan von zentraler Verteilung (nicht nur von Druckern).Dennoch sehe ich hier nur ein sehr theoretisches, konstruiertes Risiko - wenn ich das als Maßstab anlege, schalte ich morgen die komplette Infrastruktur ab und gehe nach Hause, weil ich es ja sowieso nicht sicher betreiben kann. Mal von der Tatsache abgesehen, dass allein das Auffinden/Erstellen eines "bösen" Druckertreibers 99,9% der "schwachen" User vor ein unlösbares Problem stellen würde - und der verbleibende Rest findet, wenn er es auf diesem Weg versuchen und scheitern sollte, andere Wege...
Cheers,
jsysde
Und das gelingt ihm sicherlich, wenn er es nur will.
Nö.Privater Laptop des User ist nicht in der Domain, ergo kann er dort freigegebene Drucker(treiber) nicht installieren - wenn er es versucht, wird die Installation nicht klappen, da er sich mit lokalen Daten des Laptop authentifizieren muss
Nein. Die Point and Print restrictions stellen die Firmen ja gerade deshalb vom default weg, damit Leute ohne Adminrechte installieren können. Er geht einfach auf \\printserver\ (was zur IP des direkt angeschlossenen Laptops aufgelöst wird) und schon sieht er den freigegebenen Drucker doppelklickt ihn und drauf ist der Treiber.Zum ersten kann der User die IP nicht ändern, weil ihm auch dafür schlicht die Rechte fehlen.
Ich rede von einem eigenen, privaten Laptop, da hat er alle Rechte.Zweitens knallt es im Netz, mein Monitoring schlägt Alarm
Nein, direkte Verkabelung, dein Netz merkt nichts davon.Mal von der Tatsache abgesehen, dass allein das Auffinden/Erstellen eines "bösen" Druckertreibers 99,9% der "schwachen" User vor ein unlösbares Problem stellen würde
Ja, wenn man vom Volldepp ausgeht - der kommt ja noch nicht einmal auf die Idee, sowas zu tun. Aber denk mal an folgende Zielsetzung: geteilter Abteilungslaptop, alles schwache Nutzer. Einer möchte Admin werden um die anderen Konten anzuzapfen und sieht seine Chance darin, einen Kernelmodetreiber unterzumogeln. Es ist nicht allzu abwegig (aber ich habe es selbst relativiert bzgl. Kernelmodetreiber, siehe Edit oben).Dennoch sehe ich hier nur ein sehr theoretisches, konstruiertes Risiko...
Falls Du es nach den Erklärungen immer noch für konstruiert hältst, sei es dir unbenommen. Es gibt immer gefährlichere Dinge, jedoch gehe ich Risiken aus dem Weg. Und dieses kleine Risiko brauche ich nicht einzugehen.
Moin.
"Same Forest" greift nicht mehr auf Systemen ab 2008 und neuer, das hatte ich wohl verdrängt.
Zwar muss ich mich, wenn ich per \\laptopname auf meinen privaten Laptop zugreife, einen lokalen User/Passwort von eben diesem Laptop eingeben (einfach, damit der Zugriff überhaupt klappt), aber dann ist der Treiber auch ruck-zuck drauf (und zur Freude aller: Ich kann dann auch tatsächlich über diese Verbindung drucken).
Ich glaube, das lasse ich mal weiters unkommentiert...
Cheers,
jsysde
Zitat von @DerWoWusste:
Nein. Die Point and Print restrictions stellen die Firmen ja gerade deshalb vom default weg, damit Leute ohne Adminrechte installieren können. Er geht einfach auf \\printserver\ (was zur IP des direkt angeschlossenen Laptops aufgelöst wird) und schon sieht er den freigegebenen Drucker doppelklickt ihn und drauf ist der Treiber.
Nein. Die Point and Print restrictions stellen die Firmen ja gerade deshalb vom default weg, damit Leute ohne Adminrechte installieren können. Er geht einfach auf \\printserver\ (was zur IP des direkt angeschlossenen Laptops aufgelöst wird) und schon sieht er den freigegebenen Drucker doppelklickt ihn und drauf ist der Treiber.
Ich rede von einem eigenen, privaten Laptop, da hat er alle Rechte.
Nein, direkte Verkabelung, dein Netz merkt nichts davon.
Ok, tested - you're right."Same Forest" greift nicht mehr auf Systemen ab 2008 und neuer, das hatte ich wohl verdrängt.
Zwar muss ich mich, wenn ich per \\laptopname auf meinen privaten Laptop zugreife, einen lokalen User/Passwort von eben diesem Laptop eingeben (einfach, damit der Zugriff überhaupt klappt), aber dann ist der Treiber auch ruck-zuck drauf (und zur Freude aller: Ich kann dann auch tatsächlich über diese Verbindung drucken).
Ja, wenn man vom Volldepp ausgeht
Hmm...Ich glaube, das lasse ich mal weiters unkommentiert...
Cheers,
jsysde