andreb88
Goto Top

Drucker via GPO automatisch löschen wenn sich User nicht mehr in der Sicherheitsgruppe befindet

Guten Morgen,

ich versuche Drucker via GLO automatisch zu löschen wenn der User nicht mehr in der dazugehörigen AD Gruppe befindet.

Verteilt werden die Drucker korrekt. Unter der Zielgruppenadressierung habe ich dann die Sicherheitsgruppe eingetragen
und in dieser Sicherheitsgruppe stehen alle User, die diesen Drucker bekommen sollen.

Ist dieser User nicht mehr in der in der Gruppe, wegen Arbeitsplatzwechsel innerhalb des Unternehmens etc., dann soll dieser Drucker auch nicht mehr
bei dem User erscheinen bzw. dann automatisch entfernt werden. Aber die Drucker bleiben trotzdem drin.

So betrachtet ist dies ja auch logisch. Wenn der User nicht mehr da drin steht wird die GPO ja auch erst gar nicht erst angefasst und abgefragt.
Der Punkt "Element entfernen, wenn es nicht mehr angewendet wird" funktioniert leider auch nicht.

Wie kann man das lösen?


Mit freundlichen Grüßen

Content-Key: 326720

Url: https://administrator.de/contentid/326720

Ausgedruckt am: 19.03.2024 um 07:03 Uhr

Mitglied: emeriks
emeriks 18.01.2017 um 09:46:18 Uhr
Goto Top
Hi,
Du könntest in der GPO/GPP an erster Stelle (Rangfolge) eintragen, dass alle verbundenen Drucker getrennt werden sollen.

E.
Mitglied: AndreB88
AndreB88 18.01.2017 um 10:20:19 Uhr
Goto Top
Hallo,

vielen Dank für deine Antwort.

Also irgendwie steige ich nicht dahinter. Entweder ist das ein Verstandnisproblem oder die Gruppenrichtlinienverwaltung ist völlig verbuggt.

Löschen geht, erstellen tut er aber keinen Drucker mehr danach.

Ich habe auch mal folgendes getestet:
1. Erstellen - Drucker Blabla - Wenn Benutzer sich in Sicherheitsgruppe Blabla befindet
2. Löschen - ------------------- - Wenn Benutzer IST NICHT in Sicherheitsgruppe Blabla

geht nicht. Drucker bleibt gelöscht und wird nicht erstellt.

Jetzt habe ich alles wieder auf Anfang gesetzt und gesagt nur erstellen. Aber selbst jetzt bekomme ich die Drucker überhaupt nicht mehr auf meinen Computer.....
Mitglied: erikro
erikro 18.01.2017 um 10:39:08 Uhr
Goto Top
Hallo,

Gruppenrichtlinien im AD wirken auf Domänen, Standorte und Organisationseinheiten und NICHT auf Gruppen. Du musst also mit dem OUs arbeiten. Dann kannst Du jeder OU einen Drucker zuweisen. Dann noch alle anderen Drucker vorsichtshalber löschen und gut ist.

LG

Erik
Mitglied: emeriks
emeriks 18.01.2017 um 10:42:33 Uhr
Goto Top
@erikro
Gruppenrichtlinien im AD wirken auf Domänen, Standorte und Organisationseinheiten und NICHT auf Gruppen.
Weder auf Domänen, noch Standorte noch OUs. Auch nicht Gruppen.
Mitglied: erikro
erikro 18.01.2017 um 11:16:04 Uhr
Goto Top
Wie jetzt? Natürlich wirken GPOs auf die genannten Elemente des AD, wenn ich sie damit verknüpft habe. Worauf denn sonst?
Mitglied: AndreB88
AndreB88 18.01.2017 aktualisiert um 11:21:57 Uhr
Goto Top
Grundlegend ist das ja richtig. Die Gruppenrichtlinie wird auf die ganze Domäne angwendet bzw. in einer OU.

Aber in der Gruppenrichtlinie unter Bearbeiten > Benutzerkonf. > Einstellungen > Drucker > Drucker YX > Eigenschaften > Gemeinsame Optionen > [X] Zielgruppenadressierung auf Elementebene > Und da in dem Zielgruppenadressierungseditor ist eine Bedingung hinterlegt "Benutzer ist Mitglied der Sicherheitsgruppe "Domäne\Gruppenname".

Es hat sich ja etwas auch immer verändert, nur nicht so wie ich das gerne hätte.
Mitglied: emeriks
emeriks 18.01.2017 um 12:13:19 Uhr
Goto Top
Wie jetzt? Natürlich wirken GPOs auf die genannten Elemente des AD, wenn ich sie damit verknüpft habe. Worauf denn sonst?
Ich will nich Krümel kacken. Aber wenn schon so ein Kommentar, dann muss man auch korrekt sagen, dass GPO auf Computer und Benutzer wirken. Sie werden mit Containern verlinkt, womit ihr Geltungsbereich festgelegt wird. Und über die Sicherheitsfilterung, WMI-Filter bzw. die Zielgruppenaddressierung (das ist auch WMI) kann man steuern, auf welche Benutzer und/oder Computer im Geltungsbereich diese wirken.

Aber in der Gruppenrichtlinie unter Bearbeiten > Benutzerkonf. > Einstellungen > Drucker > Drucker YX > Eigenschaften > Gemeinsame Optionen > [X] Zielgruppenadressierung auf Elementebene > Und da in dem Zielgruppenadressierungseditor ist eine Bedingung hinterlegt "Benutzer ist Mitglied der Sicherheitsgruppe "Domäne\Gruppenname".
So der Plan. Wundert mich jetzt, warum das nicht funktionieren soll.
Findest Du im Eventlog der Clients nichts dazu? (Dort, wo sich der Benutzer anmeldet.)