11
Windows 7 SP1 soll Drucker per GPO und Sicherheitsgruppen installieren
Guten Morgen,
der Windows 7 Client ist Mitglied in der Domäne.
Domänenfunktionsebene ist Windows Server 2008.
Gesamtstrukturfunktionsebene ist Windows Server 2003.
Der Client ist in einer OU, mit der OU ist eine GPO verknüpft,
im GPP-Teil wird ein Drucker zugewiesen.
Benutzerkonfiguration/Einstellungen/Systemsteuerungseinstellungen/Drucker
XP SP3 mit CSE (KB943729) verarbeitet das sauber, an der GPO hakt es also nicht.
gpresult auf dem Windows 7 Client zeigt auch, dass die GPO verarbeitet wurde.
Im Eventlog steht dann:
ID 4098
Das Benutzer "ghd-20-prn01"-Einstellungselement im Gruppenrichtlinienobjekt "TST-Drucker zuweisen {6001F352-ACCF-46C6-B322-CF009C241B32}" wurde nicht übernommen, da ein Fehler mit Fehlercode "0x80070bcb Der angegebene Druckertreiber wurde nicht im System gefunden und muss heruntergeladen werden." aufgetreten ist. Dieser Fehler wurde unterdrückt.
Das ist die Meldung, ob man dem Drucker vertraut, weil der Treiber vom Server heruntergeladen werden muss etc.
Das soll man mit einer weiteren GPO unterbinden können:
Benutzerkonfiguration/Richtlinien/Administrative Vorlagen/Systemsteuerung/Drucker/Point-and-Print-Einschränkungen: deaktiviert
Und jetzt kommt der Kasus Knaxus: Windows 7 ignoriert das wohl im Bereich Benutzerkonfiguration, Lösung soll sein es einfach in der Computerkonfiguration einzustellen. Aber den Punkt gibt es dort nicht! Warum ist nicht so richtig klar. Nahe liegen, könnte, dass die Domain-Controller Windows Server 2008 (nicht R2) und auch die Domänenfunktionsebene nur 2008 (nicht R2) ist.
Was nun?
der Windows 7 Client ist Mitglied in der Domäne.
Domänenfunktionsebene ist Windows Server 2008.
Gesamtstrukturfunktionsebene ist Windows Server 2003.
Der Client ist in einer OU, mit der OU ist eine GPO verknüpft,
im GPP-Teil wird ein Drucker zugewiesen.
Benutzerkonfiguration/Einstellungen/Systemsteuerungseinstellungen/Drucker
XP SP3 mit CSE (KB943729) verarbeitet das sauber, an der GPO hakt es also nicht.
gpresult auf dem Windows 7 Client zeigt auch, dass die GPO verarbeitet wurde.
Im Eventlog steht dann:
ID 4098
Das Benutzer "ghd-20-prn01"-Einstellungselement im Gruppenrichtlinienobjekt "TST-Drucker zuweisen {6001F352-ACCF-46C6-B322-CF009C241B32}" wurde nicht übernommen, da ein Fehler mit Fehlercode "0x80070bcb Der angegebene Druckertreiber wurde nicht im System gefunden und muss heruntergeladen werden." aufgetreten ist. Dieser Fehler wurde unterdrückt.
Das ist die Meldung, ob man dem Drucker vertraut, weil der Treiber vom Server heruntergeladen werden muss etc.
Das soll man mit einer weiteren GPO unterbinden können:
Benutzerkonfiguration/Richtlinien/Administrative Vorlagen/Systemsteuerung/Drucker/Point-and-Print-Einschränkungen: deaktiviert
Und jetzt kommt der Kasus Knaxus: Windows 7 ignoriert das wohl im Bereich Benutzerkonfiguration, Lösung soll sein es einfach in der Computerkonfiguration einzustellen. Aber den Punkt gibt es dort nicht! Warum ist nicht so richtig klar. Nahe liegen, könnte, dass die Domain-Controller Windows Server 2008 (nicht R2) und auch die Domänenfunktionsebene nur 2008 (nicht R2) ist.
Was nun?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 203779
Url: https://administrator.de/forum/windows-7-sp1-soll-drucker-per-gpo-und-sicherheitsgruppen-installieren-203779.html
Ausgedruckt am: 26.12.2024 um 01:12 Uhr
11 Kommentare
Neuester Kommentar
Guten Morgen,
haben Deine User die Berechtigung Druckertreiber auf dem System zu installieren?
haben Deine User die Berechtigung Druckertreiber auf dem System zu installieren?
Hallo,
ich weiß nicht, ob ich mich damit gleich komplett disqualifiziere, ich habe in einer Umgebung alle Drucker den Geräten, nicht den Usern zugeteilt. Das funktioniert zuverlässig...
Hat natürlich ggf den Nachteil, dass man entweder allen alle Drucker zuweist (was die einfache Lösung ist), oder ein wenig Aufwand für einzelne MAs betreiben muss (wenn diese "umziehen")...
Grüße,
Andreas
ich weiß nicht, ob ich mich damit gleich komplett disqualifiziere, ich habe in einer Umgebung alle Drucker den Geräten, nicht den Usern zugeteilt. Das funktioniert zuverlässig...
Hat natürlich ggf den Nachteil, dass man entweder allen alle Drucker zuweist (was die einfache Lösung ist), oder ein wenig Aufwand für einzelne MAs betreiben muss (wenn diese "umziehen")...
Grüße,
Andreas
Die Testuser sind normale Domänen-Benutzer, unter XP funktioniert das prima und ich möchte das auch gern weiter in die Richtung entwickeln, dass hier nicht jeder irgendwie mit Admin-Rechten rumläuft, damit die mal einen Drucker installieren können.
Die Zuweisung der Drucker an die Geräte macht in diesem Fall wahrlich keinen Sinn, dann würde ich es lieber lassen wie es ist und jede Drucker-Administration von den Admins machen lassen. Die ständigen Umzüge von Arbeitsplätzen und sensible Druckbereiche, sei es aus Kosten (Profi-Farbdrucker) oder Berechtigungsgründen (spezielles Papier oder Perso-/Rechtsabteilung) ...
Mir kam ja die Idee "einfach" die Domänenfunktionsebene hochzustufen, aber dafür müsste ich ja zumindest alle DCs auf R2 aktualisieren (30 Standorte über Deutschland verteilt, viele Standorte ohne eigenen Backup-DC vor Ort und miese WAN-Anbindung). Je länger ich darüber nachdenke was da alles dran hängt, "nur" um auf Windows 7 komfortabel Drucker zu verteilen, umso irrsinniger finde ich diese Lösung ... Muss doch einen Workaround geben?!!
Die Zuweisung der Drucker an die Geräte macht in diesem Fall wahrlich keinen Sinn, dann würde ich es lieber lassen wie es ist und jede Drucker-Administration von den Admins machen lassen. Die ständigen Umzüge von Arbeitsplätzen und sensible Druckbereiche, sei es aus Kosten (Profi-Farbdrucker) oder Berechtigungsgründen (spezielles Papier oder Perso-/Rechtsabteilung) ...
Mir kam ja die Idee "einfach" die Domänenfunktionsebene hochzustufen, aber dafür müsste ich ja zumindest alle DCs auf R2 aktualisieren (30 Standorte über Deutschland verteilt, viele Standorte ohne eigenen Backup-DC vor Ort und miese WAN-Anbindung). Je länger ich darüber nachdenke was da alles dran hängt, "nur" um auf Windows 7 komfortabel Drucker zu verteilen, umso irrsinniger finde ich diese Lösung ... Muss doch einen Workaround geben?!!
Vielleicht hilft das?
http://technet.microsoft.com/de-de/library/cc725938(v=ws.10).aspx
http://technet.microsoft.com/de-de/library/cc725938(v=ws.10).aspx
Benutzerkonfiguration/Richtlinien/Administrative Vorlagen/Systemsteuerung/Drucker/Point-and-Print-Einschränkungen: deaktiviert
... ist wie oben beschrieben ja bereits gesetzt, interessiert den Win 7 Client nur leider nicht.
... ist wie oben beschrieben ja bereits gesetzt, interessiert den Win 7 Client nur leider nicht.
Unter
Computerkonfiguration/Richtlinien/Administrative Vorlagen//Drucker/Point-and-Print-Einschränkungen
gibts die auch nochmal... Vielleicht ein Ansatz?
Computerkonfiguration/Richtlinien/Administrative Vorlagen//Drucker/Point-and-Print-Einschränkungen
gibts die auch nochmal... Vielleicht ein Ansatz?
Hi Drop-D,
der Grund ist tatsächlich, dass die Point-and-Printeinschränkungen mit Windows 7 in die Computerkonfiguration gewandert sind.
Wird hier von Nils Kaczenski schön erklärt.
Um dies in den GPOs unterzukriegen, benötigst du entweder einen W2K8 R2 DC oder aber einen Windows 7/8 PC, auf welchen du die passenden RSAT installierst.
Damit werden auch alle GPOs sicht- und nutzbar, die mit älteren Versionen von Windows nicht können.
Dann schaltest du die Gruppenrichtlinienverwaltung auf diesem PC ein (Funktion hinzufügen) und administrierst deine GPOs vom Client aus.
Gruß Goscho
Edit
PS: Du benötigst für die neueren GPOs keinen aktuelleren DC, musst also nicht deswegen zwangsweise auf W2K8 R2 DCs umsteigen. Windows 7/8 PCs fühlen sich auch in W2K3-Domänen pudelwohl und verarbeiten die an sie gerichteten GPOs zuverlässig.
der Grund ist tatsächlich, dass die Point-and-Printeinschränkungen mit Windows 7 in die Computerkonfiguration gewandert sind.
Wird hier von Nils Kaczenski schön erklärt.
Um dies in den GPOs unterzukriegen, benötigst du entweder einen W2K8 R2 DC oder aber einen Windows 7/8 PC, auf welchen du die passenden RSAT installierst.
Damit werden auch alle GPOs sicht- und nutzbar, die mit älteren Versionen von Windows nicht können.
Dann schaltest du die Gruppenrichtlinienverwaltung auf diesem PC ein (Funktion hinzufügen) und administrierst deine GPOs vom Client aus.
Gruß Goscho
Edit
PS: Du benötigst für die neueren GPOs keinen aktuelleren DC, musst also nicht deswegen zwangsweise auf W2K8 R2 DCs umsteigen. Windows 7/8 PCs fühlen sich auch in W2K3-Domänen pudelwohl und verarbeiten die an sie gerichteten GPOs zuverlässig.
Okay, wir AD-Verantwortlichen sind da etwas nervös was wohl auf dem / den DCs passiert, wenn man mit einem Win 7 Client + RSAT 2k8R2 an den GPOs der Domäne fummelt.
Ich nehme an er legt das dann nur im Sysvol mit ab?! Die Clients, die das kennen, verarbeiten es, aber auf dem Server selbst kann man es weder sehen, noch ändern!?
Gefühlt ja erstmal nicht so richtig sexy, aber muss ich bei Gelegenheit auf jeden Fall austesten.
Danke goscho!
Überlegen derzeit ob wir doch auf 2008 R2 gehen oder gar direkt den Sprung auf 2k12 machen ...
Ich nehme an er legt das dann nur im Sysvol mit ab?! Die Clients, die das kennen, verarbeiten es, aber auf dem Server selbst kann man es weder sehen, noch ändern!?
Gefühlt ja erstmal nicht so richtig sexy, aber muss ich bei Gelegenheit auf jeden Fall austesten.
Danke goscho!
Überlegen derzeit ob wir doch auf 2008 R2 gehen oder gar direkt den Sprung auf 2k12 machen ...
Zwischenbericht:
Ich habe die Point-and-Print-Einschränkungen ja in der Benutzerkonfiguration deaktiviert. In der Computerkonfigation war dieser Punkt aber in unserer 2008er (nicht R2) Domäne nicht verfügbar.
In meiner 2008 R2 - Testumgebung bin ich nun auf folgendes gestoßen:
1. ist die Point-and-Print-Einschränkungen unter Windows 7 nicht in die Computerkonfiguration "gewandert" - es gibt nun eben sowohl die Computer- als auch die Benutzerkonfigurations-Einstellung
2. es genügt NICHT die Point-and-Print-Einschränkungen nur in der Computerkonfiguration einzustellen. Die Policy konnte erst ausgeführt und der Drucker installiert werden, als ich es in der Computer- UND Benutzerkonfiguration deaktiviert habe
De Facto funktioniert es so aber einwandfrei!
Ich habe die Point-and-Print-Einschränkungen ja in der Benutzerkonfiguration deaktiviert. In der Computerkonfigation war dieser Punkt aber in unserer 2008er (nicht R2) Domäne nicht verfügbar.
In meiner 2008 R2 - Testumgebung bin ich nun auf folgendes gestoßen:
1. ist die Point-and-Print-Einschränkungen unter Windows 7 nicht in die Computerkonfiguration "gewandert" - es gibt nun eben sowohl die Computer- als auch die Benutzerkonfigurations-Einstellung
2. es genügt NICHT die Point-and-Print-Einschränkungen nur in der Computerkonfiguration einzustellen. Die Policy konnte erst ausgeführt und der Drucker installiert werden, als ich es in der Computer- UND Benutzerkonfiguration deaktiviert habe
De Facto funktioniert es so aber einwandfrei!
Zitat von @Drop-D:
Okay, wir AD-Verantwortlichen sind da etwas nervös was wohl auf dem / den DCs passiert, wenn man mit einem Win 7 Client + RSAT 2k8R2 an den GPOs der Domäne fummelt.
Ich nehme an er legt das dann nur im Sysvol mit ab?! Die Clients, die das kennen, verarbeiten es, aber auf dem Server selbst kann man es weder sehen, noch ändern!?
Gefühlt ja erstmal nicht so richtig sexy, aber muss ich bei Gelegenheit auf jeden Fall austesten.
Okay, wir AD-Verantwortlichen sind da etwas nervös was wohl auf dem / den DCs passiert, wenn man mit einem Win 7 Client + RSAT 2k8R2 an den GPOs der Domäne fummelt.
Ich nehme an er legt das dann nur im Sysvol mit ab?! Die Clients, die das kennen, verarbeiten es, aber auf dem Server selbst kann man es weder sehen, noch ändern!?
Gefühlt ja erstmal nicht so richtig sexy, aber muss ich bei Gelegenheit auf jeden Fall austesten.
Ich finde es sexier, auf dem Client die Adminconsole zu starten, als mich wegen jedem Quark per RDP mit einem DC verbinden zu müssen.
Oder hast du keine eigene Admin-Maschine mit Windows 7/8?
Zwischenbericht:
Ich habe die Point-and-Print-Einschränkungen ja in der Benutzerkonfiguration deaktiviert. In der Computerkonfigation war
dieser Punkt aber in unserer 2008er (nicht R2) Domäne nicht verfügbar.
Das stimmt so nicht!Ich habe die Point-and-Print-Einschränkungen ja in der Benutzerkonfiguration deaktiviert. In der Computerkonfigation war
dieser Punkt aber in unserer 2008er (nicht R2) Domäne nicht verfügbar.
Diese Einstellungen sind nur auf dem 2008-er DC nicht verfügbar.
Deine Vorbehalte gegenüber RSAT sind nicht begründet.
Wegen ein paar Windows-7-GPOs gleich die ganze Domäne umzustellen, ist ziemlich aufwändig.
Was machst du nach der Umstellung auf 2008 R2, wenn dann die ersten Windows 8 Clients kommen und nach neuen GPOs schreien?
In meiner 2008 R2 - Testumgebung bin ich nun auf folgendes gestoßen:
1. ist die Point-and-Print-Einschränkungen unter Windows 7 nicht in die Computerkonfiguration "gewandert" - es gibt
nun eben sowohl die Computer- als auch die Benutzerkonfigurations-Einstellung
2. es genügt NICHT die Point-and-Print-Einschränkungen nur in der Computerkonfiguration einzustellen. Die Policy konnte
erst ausgeführt und der Drucker installiert werden, als ich es in der Computer- UND Benutzerkonfiguration deaktiviert habe
De Facto funktioniert es so aber einwandfrei!
Hier muss ich dir erneut widersprechen.1. ist die Point-and-Print-Einschränkungen unter Windows 7 nicht in die Computerkonfiguration "gewandert" - es gibt
nun eben sowohl die Computer- als auch die Benutzerkonfigurations-Einstellung
2. es genügt NICHT die Point-and-Print-Einschränkungen nur in der Computerkonfiguration einzustellen. Die Policy konnte
erst ausgeführt und der Drucker installiert werden, als ich es in der Computer- UND Benutzerkonfiguration deaktiviert habe
De Facto funktioniert es so aber einwandfrei!
Für Windows 7 reicht die Einstellung der Computer-Richtlinie.
Solltest du aber noch Vista-Clients haben, so muss für diese die Benutzer-Konfiguration angepasst werden.
Ich kann das mit Sicherheit sagen, weil ich dies hier bei mir (W2K3-Domäne) und bei Kunden (W2K8-Domänen) auch so eingerichtet habe.
In meinem Netz ist nur die Computer-GPO bzgl. Point-and-Print konfiguriert und trotzdem können Standarduser auf Windows 7-PCs Druckertreiber installieren.
RSAT statt RDP seh ich auch so, aber das müssen dann auch alle machen und der Mensch ist ja Gewohnheits-Tier.
Jetzt den anderen vorzuschreiben, sie haben RSAT zu nutzen ist hier kein technisches Problem
Die Kollegen wollen sich ja nicht "ihre Kiste zumüllen" ...
Windows 8 und neue GPOs sind auch ein Argument. geb ich Dir Recht.
Point-and-Print habe ich frisch einen 2008 R2 mit Testdomäne hochgezogen, 1 Win 7 Sp1 Client in die Domäne gehängt, Hol-Dir-den-Drucker-GPO auf seine OU, bricht er mit dem alten Fehler ab. Deaktivier ich Point-and-Print in der Computerkonfiguration, bricht er immer noch mit dem Fehler ab. Frustriert hab ich nochmal gegoogelt und jemand schrieb, er musste es AUCH in der Benutzerkonfig deaktivieren. gpupdate /force hat er sich den Drucker sofort gezogen! Vorher keine Chance. Was ich nun noch nicht probiert habe ist, was passiert wenn ich es NUR in der Benutzerkonfig deaktiviere. Quasi so, wie es in der Live-Domain eben auch nicht funktioniert ...
Jetzt den anderen vorzuschreiben, sie haben RSAT zu nutzen ist hier kein technisches Problem
Die Kollegen wollen sich ja nicht "ihre Kiste zumüllen" ...Windows 8 und neue GPOs sind auch ein Argument. geb ich Dir Recht.
Point-and-Print habe ich frisch einen 2008 R2 mit Testdomäne hochgezogen, 1 Win 7 Sp1 Client in die Domäne gehängt, Hol-Dir-den-Drucker-GPO auf seine OU, bricht er mit dem alten Fehler ab. Deaktivier ich Point-and-Print in der Computerkonfiguration, bricht er immer noch mit dem Fehler ab. Frustriert hab ich nochmal gegoogelt und jemand schrieb, er musste es AUCH in der Benutzerkonfig deaktivieren. gpupdate /force hat er sich den Drucker sofort gezogen! Vorher keine Chance. Was ich nun noch nicht probiert habe ist, was passiert wenn ich es NUR in der Benutzerkonfig deaktiviere. Quasi so, wie es in der Live-Domain eben auch nicht funktioniert ...
