9
Terminalserver Drucker-Zugriffe einschränken
Hallo administrator.de-community,
ich wende mich mit einem Thema an euch, bei dem ich einfach nicht weiter komme.
Folgendes Szenario:
Ich verwalte 6 Terminalserver (2008R2 Standard), auf denen jeweils lokal ~60 Etikettendrucker über TCP/IP installiert sind.
Nun sollen nur die Drucker für User sichtbar/nutzbar sein, die auch wirklich in dem Bereich stehen.
Ich habe den Lösungsansatz mit verschiedenen AD-Gruppen zur Zugriffssteuerung versucht, was auch soweit funktioniert, indem dass ein "nicht berechtigter" User beim Versuch auf einen Drucker zuzugreifen diese Fehlermeldung "Operation could not be completed (error 0x00000005). Access denied." bekommt.
Leider ist das nur "geringfügig" das, was ich möchte.
Am "Schönsten" wäre es, wenn User überhaupt nur die Drucker (im Control Panel) "sehen" könnten, die sie auch wirklich benutzen dürfen.
Bei dem aktuellen Setup kommt es dadurch nämlich dennoch zu diversen Fehlverhalten unserer Software, die von den Usern am Server genutzt wird.
Ich danke euch im Voraus für eure Hilfe!!
ich wende mich mit einem Thema an euch, bei dem ich einfach nicht weiter komme.
Folgendes Szenario:
Ich verwalte 6 Terminalserver (2008R2 Standard), auf denen jeweils lokal ~60 Etikettendrucker über TCP/IP installiert sind.
Nun sollen nur die Drucker für User sichtbar/nutzbar sein, die auch wirklich in dem Bereich stehen.
Ich habe den Lösungsansatz mit verschiedenen AD-Gruppen zur Zugriffssteuerung versucht, was auch soweit funktioniert, indem dass ein "nicht berechtigter" User beim Versuch auf einen Drucker zuzugreifen diese Fehlermeldung "Operation could not be completed (error 0x00000005). Access denied." bekommt.
Leider ist das nur "geringfügig" das, was ich möchte.
Am "Schönsten" wäre es, wenn User überhaupt nur die Drucker (im Control Panel) "sehen" könnten, die sie auch wirklich benutzen dürfen.
Bei dem aktuellen Setup kommt es dadurch nämlich dennoch zu diversen Fehlverhalten unserer Software, die von den Usern am Server genutzt wird.
Ich danke euch im Voraus für eure Hilfe!!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 300020
Url: https://administrator.de/contentid/300020
Ausgedruckt am: 24.11.2024 um 20:11 Uhr
9 Kommentare
Neuester Kommentar
Moin,
guck dir das mal bitte an und vergleiche das mit deinem Lösungsweg: https://support.microsoft.com/en-us/kb/218994
guck dir das mal bitte an und vergleiche das mit deinem Lösungsweg: https://support.microsoft.com/en-us/kb/218994
Hi,
Du hast sie direkt auf dem TS als TCP/IP-Drucker installiert? Falls ja, dann sieht jeder jeden Drucker.
Hast Du noch einen Windows Server, der "nichts zu tun hat"? z.B. einen Fileserver?
Falls ja, so könntest Du diesen als Printserver einrichten. Dort die Drucker als lokale TCP/IP-Drucker installieren und im Netzwerk freigeben.
Dann könntest Du auf dem TS den Benutzern nur jene Drucker verbinden welche sie jeweils benötigen. Die vebundenen Netzwerkdrucker der anderen, parallel angemeldeten Benutzer sehen sie dann nicht.
E.
Du hast sie direkt auf dem TS als TCP/IP-Drucker installiert? Falls ja, dann sieht jeder jeden Drucker.
Hast Du noch einen Windows Server, der "nichts zu tun hat"? z.B. einen Fileserver?
Falls ja, so könntest Du diesen als Printserver einrichten. Dort die Drucker als lokale TCP/IP-Drucker installieren und im Netzwerk freigeben.
Dann könntest Du auf dem TS den Benutzern nur jene Drucker verbinden welche sie jeweils benötigen. Die vebundenen Netzwerkdrucker der anderen, parallel angemeldeten Benutzer sehen sie dann nicht.
E.
Hi,
zuerst, danke für deine Antwort!
Diese Lösung hätte ich auch schon angedacht, wäre die ja die Beste.
Nur leider, liegt der Teufel im Detail - folgendes:
Die Software, über die gedruckt wird (Uralt-Ding), hat zur Druckerauswahl ein Dropdown-Menü, und wenn ich den Drucker von einem Druckerserver auf den Terminalserver verbinde, dann ergibt sich eine neue, längere Namensgestaltung: \\Druckerserver\Drucker.
Das Dropdown-Menü ist aber leider so kurz gestaltet, dass dann nicht mehr erkennbar ist, auf welchem Drucker gedruckt wird
zuerst, danke für deine Antwort!
Diese Lösung hätte ich auch schon angedacht, wäre die ja die Beste.
Nur leider, liegt der Teufel im Detail - folgendes:
Die Software, über die gedruckt wird (Uralt-Ding), hat zur Druckerauswahl ein Dropdown-Menü, und wenn ich den Drucker von einem Druckerserver auf den Terminalserver verbinde, dann ergibt sich eine neue, längere Namensgestaltung: \\Druckerserver\Drucker.
Das Dropdown-Menü ist aber leider so kurz gestaltet, dass dann nicht mehr erkennbar ist, auf welchem Drucker gedruckt wird
Du könntest dem Druckserver einen kurzen Alias geben, z.B. "PS1" oder nur "PS".
Dann wäre der UNC gleich kürzer: \\PS\Drucker1
Würde das reichen?
Beachte: Windows Server müssen erst für Aliase vorbereitet werden.
https://technet.microsoft.com/de-de/library/ff660057%28v=ws.10%29.aspx
danach den Server-Dienst durchstarten
Dann wäre der UNC gleich kürzer: \\PS\Drucker1
Würde das reichen?
Beachte: Windows Server müssen erst für Aliase vorbereitet werden.
https://technet.microsoft.com/de-de/library/ff660057%28v=ws.10%29.aspx
danach den Server-Dienst durchstarten
Das ist leider nicht möglich, da wir aufgrund internen Richtlinien an eine strikte Namensgebung gebunden sind 
Der Servername wird doch deswegen nicht geändert.
Wir haben auch feste Namenskonventionen. Aber wenn Softwarehersteller zu blöde sind, ihre Software vernünftig zu programmieren, dann muss man als Admin öfters mal mit pragmatischen Ansätzen ran.
Also: Entweder ist der Zustand mit den vielen sichtbaren Druckern ein Problem oder er ist keins. Wenn er keins ist: Schön dass wir darüber geschrieben haben. Wenn er eins ist, dann hast Du jetzt einen Lösungsansatz.
E.
Wir haben auch feste Namenskonventionen. Aber wenn Softwarehersteller zu blöde sind, ihre Software vernünftig zu programmieren, dann muss man als Admin öfters mal mit pragmatischen Ansätzen ran.
Also: Entweder ist der Zustand mit den vielen sichtbaren Druckern ein Problem oder er ist keins. Wenn er keins ist: Schön dass wir darüber geschrieben haben. Wenn er eins ist, dann hast Du jetzt einen Lösungsansatz.
E.
Hallo zusammen,
Geht hier sowohl auf einem 2008R2 als auch 2012R2 einwandfrei.
Es gibt also eigentlich kein Problem
Frohes Osterfest.
Grüße Uwe
p.s. wenn man es unbedingt braucht kann man ein Dropdown mit einem kleinen AutoIt-Skript auch on-the-fly größer machen
, entsprechende Message über das Message-API an das Control gesendet, fertig.
Ich habe den Lösungsansatz mit verschiedenen AD-Gruppen zur Zugriffssteuerung versucht,
also das das Ausblenden nicht funktionieren soll, kann ich so nicht bestätigen. Wenn ich den Druckern jeweils die korrekten User zuweise oder sie in einer Gruppe stecke und diese auf den Drucker berechtige, sehen die User auch wirklich nur die Drucker auf denen sie Druck-Rechte haben. Man sollte natürlich das Recht für "Jeder" in den Drucker-ACLs entfernen.Geht hier sowohl auf einem 2008R2 als auch 2012R2 einwandfrei.
Es gibt also eigentlich kein Problem
Frohes Osterfest.
Grüße Uwe
p.s. wenn man es unbedingt braucht kann man ein Dropdown mit einem kleinen AutoIt-Skript auch on-the-fly größer machen
, entsprechende Message über das Message-API an das Control gesendet, fertig.
Wies richtig geht steht in dem Artikel den ich verlinkt habe. Bei mir funktioniert das auch einwandfrei
Hallo,
Hab den (Test-) Drucker jetzt nochmal komplett neu installiert, und hab's mit einem anderen Benutzer versucht (neues Profil erstellt..), mit dem klappts - wie "gewünscht"
Hab mir dann auch noch die effektiven Berechtigungen angesehen, da hat der eine User komischerweise Vollzugriff, obwohl er nicht in der definierten Gruppe ist (Gruppe Jeder etc ist weg..) - wohl noch irgendwo eine andere, übergeordnete Gruppe im Spiel..
Danke für eure Hilfe und frohe Ostern!
Hab den (Test-) Drucker jetzt nochmal komplett neu installiert, und hab's mit einem anderen Benutzer versucht (neues Profil erstellt..), mit dem klappts - wie "gewünscht"
Hab mir dann auch noch die effektiven Berechtigungen angesehen, da hat der eine User komischerweise Vollzugriff, obwohl er nicht in der definierten Gruppe ist (Gruppe Jeder etc ist weg..) - wohl noch irgendwo eine andere, übergeordnete Gruppe im Spiel..
Danke für eure Hilfe und frohe Ostern!
