Jul 28, 2016

4761

Druck-Server im Active Directory

Wir sind gerade dabei, einen neuen Druckserver mit Windows Server 2012 R2 aufzubauen. Der Server ist installiert, die Rolle "Print and Document Services" hinzugefügt und die Drucker und Treiber bereits installiert. So weit, so gut.

Jetzt geht es darum, die Drucker in unserem AD auf unsere Clients und Server via GPO zu deployen und hier bin ich bereits auf mehreren zweiten Seiten von Goolge-Suchen angekommen...

was wir bisher versucht haben...
Anscheinend redet das Internet immer wieder von diesen 2 Optionen:

1. Auf dem Druckserver im Print Management Rechtsklick auf einen Drucker, Deploy with GPO..., entsprechende GPO auswählen, Deploy-Scope auswählen (in unserem Fall per machine), Add, Deploy, OK.
Das hat folgenden Auswirkungen:
- Die GPO wurde vom Druckserver editiert und enthält nun die Drucker unter Computer Configuration / Policies / Windows Settings / Printer Connections
- Der Drucker und seine IP werden direkt an den Client gegeben, der Druckserver dient also nicht wirklich als Druck-Server.
- Die Treiber werden an den Client verteilt, was das Benutzen von speziellen Features, wie andere Papier-Fächer und beidseitigen Druck, unterstützt.

Hier kommt es zu folgenden Problemen:
- Obwohl die GPO laut gpresult auf den Clients angewandt wird, werden die Drucker nicht installiert. Es gibt keine Fehlermeldungen im gpresult oder eventlog, weder auf dem Client noch auf dem Druckserver. Wenn ich aber manuell im Exlorer zum Druckserver und seinen Druckern navigiere, kann ich dir Drucker problemlos hinzufügen und bekomme ich eine Admin-Prompt, den Treiber zu installieren. Nur ist das eben nicht im Sinne eines automatisierten Deployments
- User müssen das Recht haben, Treiber zu installieren. Nur wenn ein Treiber installiert ist, kann der Drucker von der GPO hinzugefügt werden. Der Treiber wird aber in keinem Fall automatisiert installiert. Das Definieren von Point and Print Restrictions via GPO hat keine Auswirkungen darauf.
- Hier habe ich mehrmals gelesen, dass man die GPO im "logged-in user's context" laufen lassen müsse. Problem nur, dass ich diese Option nicht setzen kann, weil ich die Printer Connections Option in der GPMC auf dem DC gar nicht sehe. Man müsse die "Print and Document Services" installieren, damit die Option auftaucht. Aber nicht umsonst ist der DC der DC und nicht der Druckserver, oder?
- Das "Language and Format Preset" auf dem Client oder Server bestimmt, mit welchem Papier-Format gedruckt wird. Druckt man z.B. von unserem Englisch-Sprachigen Admin-WTS, ist als Format standardmäßig "Letter"-Format eingestellt, was dazu führt, dass sich der Drucker an 6 A4 Blättern reproduzierbar verschluckt.

2. Die Drucker manuell einer GPO auf dem DC hinzuzufügen, unter Computer Configuration / Preferences / Control Panel Settings / Printers.
Das hat folgende Auswirkungen:
- Man kann den Druckserver und seine IP als Anlaufpunkt für die Clients angeben.
- Die Drucker werden in jedem Fall auf dem Client zu Geräten und Druckern hinzugefügt.

Hier kommt es zu folgenden Problemen:
- Es werden keine Treiber installiert. Mehrere Papier-Fächer oder doppelseitiger Druck ist nicht möglich. Das Definieren von "Point and Print Restrictions" hat keine Auswirkungen.

tldr
Um meine eigentliche Frage zu stellen: Wie (zur Hölle) deployt man Drucker in einem AD richtig und so dass es hinterher funktioniert?

Please also mark the comments that contributed to the solution of the article

Content-Key: 311090

Url: https://administrator.de/contentid/311090

Printed on: April 19, 2024 at 11:04 o'clock

16 Comments

Latest comment

Moin,

hast du die Drucker den Computer oder den User zugewiesen?

Gruß Krämer

Die Optionen 1 und 2 beziehen sich auf "per Machine", also Computer Configuration Einstellungen. Die ensprechde GPO ist dementsprechend an die Computer-OUs gelinkt.

OK. Das sollte - wenn keine anderen Fehler vorliegen - funktionieren. Benutze ich auch produktiv. Es kann aber mitunter höllisch lange dauern, bis die Treiber installiert sind und die Drucker angezeigt werden / verwendbar sind.

Gruß Krämer

PS: Ich gehe mal davon aus, das die Sicherheitseinstellungen der Drucker das benutzen durch die entsprechenden Benutzer zulassen!?

Wenn der Treiber manuell auf dem System installiert wurde, funktionieren die Drucker in vollem Funktionsumfang. Wir wollen nur nicht manuell auf jedem System die Drucker-Treiber installieren. Vor allem weil es doch theoretisch reichen sollte, wenn die Treiber nur auf dem Druckserver installiert sind und dieser als Vermittler die Druckaufträge annimmt und weiterleitet.

Die Point and Print Restrictions wurden bereits in allen möglichen Einstellungen durchgestet, wenn du das meinst, hat aber anscheinend keinen Einfluss, ob ein Treiber installiert wird und oder ob ein User einen Drucker benutzen/hinzufügen kann.

Die Treiber werden auch auf den Clients installiert. das passiert normalerweise automatisch. Es kann mitunter aber sehr lange dauern. Habt ihr das schonmal getestet? Also habe ihr mal gewartet? Und wenn ja wie lange?

Gruß

Mahlzeit,

ich gehe stark davon aus, dass du die Point-and-Print-Einstellungen nicht so angepasst hast, dass Treiber ohne Adminrechte installiert werden können.
Guck mal hier rein.

Seit gestern Nachmittag ist auf einen unserer Test-Clients die GPO angewandt, im gpresult wird sie auch ohne Fehler aufgeführt.

Das System lief zwar nicht über Nacht, aber war insgesamt schon ca. 8 Stunden mit der GPO in Betrieb. Bisher sind keine Drucker im Geräte-Manager zu finden.

Wie lange dauert denn so eine durchschnittliche Drucker-Treiber-Installation? Das sollten doch nicht mehr als 15 Minuten sein, oder?

Sorry für den Fail-Comment, der sollte eigenlich an den Kommentar darüber gerichtet sein.

Und doch, die Point and Print Restrictions sind wie in dem Artikel beschrieben konfiguriert. Ein Nicht-Admin-Userkonto hat auch auf dem entsprechenden Client das Recht, Druckertreiber zu installieren, nur es passiert nicht automatisch.

Aber weil ich gerade in dem Artikel so oft Windows 7 gelesen habe, nebenbei, unsere betroffenen Clients laufen mit Windows 10. Eigenlich dürfte das keine Auswirkungen haben, aber sollte es wirklich daran liegen, wäre ich auch nicht überrascht. ^^

Du schreibst, das die Gruppenrichtlinie angewandt wird, es aber weder Fehler in der Ereignisanzeige noch installierte Drucker gibt.
Einer von diesen drei Punkten kann nicht stimmen.
Da es recht einfach ist, sich anzusehen, welche Drucker in der Systemsteuerung zu finden sind, setze ich diesen Punkt mal als korrekt.
Wenn man sich die Ereignisanzeige gewissenhaft angesehen hat, sollte es auch stimmen, das dort keine Fehler angezeigt werden.
Das heißt also, das die Gruppenrichtlinie entweder nicht angewendet wird, diese keine zu installierenden Drucker enthält oder aber die betroffenen Rechner irgendwie ausgeschlossen wurden.

Poste doch bitte hier einmal ein gpresult /r vom Client

Gruß Krämer

Etwaige Firmen- oder Infrastruktur-bezogenen Daten habe ich durch "---" ersetzt.

Die besagte GPO ist die generic-printers, siehe hier:

Betriebssystem Microsoft (R) Windows (R) Gruppenrichtlinienergebnis-Tool v2.0
¸ 2016 Microsoft Corporation. All rights reserved.

Am 28.07.2016 um 14:57:19 erstellt



RSOP-Daten fr ---\testuser1 auf ---: Protokollmodus
-----------------------------------------------------------

Betriebssystemkonfiguration: Mitglied der Dom„ne/Arbeitsgruppe
Betriebssystemversion:       10.0.10586
Standortname:                ---
Roamingprofil:Nicht zutreffend
Lokales Profil:              C:\Users\testuser1
Langsame Verbindung?         Nein


COMPUTEREINSTELLUNGEN
----------------------

    Letzte Gruppenrichtlinienanwendung:   28.07.2016, um 14:28:28
    Gruppenrichtlinieanwendung von:       ---
    Schwellenwert fr langsame Verbindung:500 kbps
    Dom„nenname:                          ---
    Dom„nentyp:                           Windows 2008 oder h”her

    Angewendete Gruppenrichtlinienobjekte
    --------------------------------------
        os-Windows10-corporate_identity
        os-Windows10-file_sync
        os-Windows10-remote_execution_policy
        os-Windows10-disallow_MS_Accounts
        os-Windows10-disable_OneDrive
        os-Windows10-demote_Administrator
        c-icmp_exceptions
        c-network_security
        c-power_settings
        generic-printers
        c-RemoteDesktop
        c-RemoteAssistance
        c-RemoteManagement
        os-Windows10-restrict_Cortana
        os-Windows10-privacy_settings
        generic-loopback
        os-Windows10-start_menu
        os-Windows10-Store
        generic-time_service
        os-Windows10-update
        c-RemoteAdministration
        os-Windows10-logon_options
        generic-certificates
        os-Windows10-disable_offlinesync

    Folgende herausgefilterte Gruppenrichtlinien werden nicht angewendet.
    ----------------------------------------------------------------------
        Richtlinien der lokalen Gruppe
            Filterung:  Nicht angewendet (Leer)

    Der Computer ist Mitglied der folgenden Sicherheitsgruppen
    ----------------------------------------------------------
        Administratoren
        Jeder
        Benutzer
        NETZWERK
        Authentifizierte Benutzer
        Diese Organisation
        ---
        Domain Computers
        Von der Authentifizierungsstelle best„tigte ID
        Systemverbindlichkeitsstufe

Das gpresult sieht tatsächlich sauber aus.
Hast du mal getestet, was passiert, wenn du dich als Domänenadmin an einem Client anmeldest? Werden die Drucker dann installiert?

Gruß Krämer

Ja, mit Domänenadmin, Domänenuser, lokalem Admin, lokalem User, gpupdate, gpupdate /force, gpupdate /force && shutdown /r /t 0. ^^

Sorry, aber ich ich frage mal zur Sicherheit:

Zitat von @Kraemer:

Werden die Drucker dann installiert?

Zitat von @skullbringer:
Ja, ...

Da du gpupdate etc aufführst, denke ich, das deine Antwort nein heißen müsste und sich das ja auf die Frage, ob du das schon mal getestet hast, bezieht?

Gruß Krämer

Ja, habe ich ausprobiert.
Und nein, sie werden nicht installiert. ;)

Zum Thema "Ereignisanzeige gewissenhaft ansehen" - Ich habe doch noch einige nicht besonders aussagekräftige Error-Codes im drölften Untermenü des Eventviewers gefunden.

Unter Ereignisanzeige / Anwendungs- und Dienstprogramme / Microsoft / Windows / PrintService / Administrator:

Die Gruppenrichtlinie konnte die Pro-Computerverbindung "<Pfad zum Drucker>" nicht hinzufügen. Fehlercode: 0x6BA. Dieses Problem kann auftreten, wenn der Name der Druckerverbindung falsch ist oder die Druckwarteschlange keine Verbindung mit dem Druckerserver herstellen kann.  

Die gleiche Meldung gibt es auch noch mit dem Error-Code: 0x52E

Edit: Und aus den Google-Suchergebnissen werde ich nicht wirklich schlau...

Edit: Ein Nicht-Admin-User bekommt die gleiche Fehlermeldung auch noch mit folgenden Error-Codes: 0xBCB, 0x5

FYI:
Nach langem hin und her mit dem Microsoft Support hat sich herausgestellt, dass das Deployment von Druckern via GPO in Windows 10 Pro kaputt ist.

Wir sind noch dabei zu klären, ob das mal wieder gewollte Kastration im Vergleich zur Enterprise Edition ist oder ob MS gepfuscht hat.

German Question Windows Server Microsoft

Hotly discussed

Check of ZFW Firewallgleixnerd - 3 Comments

How to set up and configure a Linux GRE tunnelAlexWisha - 3 Comments

WIREGUARD VPN ON UDM PRO BEHIND FRITZBOX - HANDSHAKE DID NOT COMPLETEjstricker - 3 Comments

End of Support dates for Office 2016, 2019 Apps und Productivity ServersDani - 1 Comment