Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Windows 7 SP1 soll Drucker per GPO und Sicherheitsgruppen installieren

Frage Microsoft Windows Userverwaltung

Mitglied: Drop-D

Drop-D (Level 1) - Jetzt verbinden

22.03.2013 um 09:10 Uhr, 6527 Aufrufe, 11 Kommentare

Guten Morgen,

der Windows 7 Client ist Mitglied in der Domäne.
Domänenfunktionsebene ist Windows Server 2008.
Gesamtstrukturfunktionsebene ist Windows Server 2003.

Der Client ist in einer OU, mit der OU ist eine GPO verknüpft,
im GPP-Teil wird ein Drucker zugewiesen.

Benutzerkonfiguration/Einstellungen/Systemsteuerungseinstellungen/Drucker

XP SP3 mit CSE (KB943729) verarbeitet das sauber, an der GPO hakt es also nicht.

gpresult auf dem Windows 7 Client zeigt auch, dass die GPO verarbeitet wurde.

Im Eventlog steht dann:

ID 4098

Das Benutzer "ghd-20-prn01"-Einstellungselement im Gruppenrichtlinienobjekt "TST-Drucker zuweisen {6001F352-ACCF-46C6-B322-CF009C241B32}" wurde nicht übernommen, da ein Fehler mit Fehlercode "0x80070bcb Der angegebene Druckertreiber wurde nicht im System gefunden und muss heruntergeladen werden." aufgetreten ist. Dieser Fehler wurde unterdrückt.

Das ist die Meldung, ob man dem Drucker vertraut, weil der Treiber vom Server heruntergeladen werden muss etc.
Das soll man mit einer weiteren GPO unterbinden können:

Benutzerkonfiguration/Richtlinien/Administrative Vorlagen/Systemsteuerung/Drucker/Point-and-Print-Einschränkungen: deaktiviert

Und jetzt kommt der Kasus Knaxus: Windows 7 ignoriert das wohl im Bereich Benutzerkonfiguration, Lösung soll sein es einfach in der Computerkonfiguration einzustellen. Aber den Punkt gibt es dort nicht! Warum ist nicht so richtig klar. Nahe liegen, könnte, dass die Domain-Controller Windows Server 2008 (nicht R2) und auch die Domänenfunktionsebene nur 2008 (nicht R2) ist.

Was nun?
Mitglied: ITLogger
22.03.2013 um 09:20 Uhr
Guten Morgen,

haben Deine User die Berechtigung Druckertreiber auf dem System zu installieren?
Bitte warten ..
Mitglied: ahstax
22.03.2013 um 09:28 Uhr
Hallo,

ich weiß nicht, ob ich mich damit gleich komplett disqualifiziere, ich habe in einer Umgebung alle Drucker den Geräten, nicht den Usern zugeteilt. Das funktioniert zuverlässig...

Hat natürlich ggf den Nachteil, dass man entweder allen alle Drucker zuweist (was die einfache Lösung ist), oder ein wenig Aufwand für einzelne MAs betreiben muss (wenn diese "umziehen")...

Grüße,
Andreas
Bitte warten ..
Mitglied: Drop-D
22.03.2013, aktualisiert um 09:47 Uhr
Die Testuser sind normale Domänen-Benutzer, unter XP funktioniert das prima und ich möchte das auch gern weiter in die Richtung entwickeln, dass hier nicht jeder irgendwie mit Admin-Rechten rumläuft, damit die mal einen Drucker installieren können.

Die Zuweisung der Drucker an die Geräte macht in diesem Fall wahrlich keinen Sinn, dann würde ich es lieber lassen wie es ist und jede Drucker-Administration von den Admins machen lassen. Die ständigen Umzüge von Arbeitsplätzen und sensible Druckbereiche, sei es aus Kosten (Profi-Farbdrucker) oder Berechtigungsgründen (spezielles Papier oder Perso-/Rechtsabteilung) ...

Mir kam ja die Idee "einfach" die Domänenfunktionsebene hochzustufen, aber dafür müsste ich ja zumindest alle DCs auf R2 aktualisieren (30 Standorte über Deutschland verteilt, viele Standorte ohne eigenen Backup-DC vor Ort und miese WAN-Anbindung). Je länger ich darüber nachdenke was da alles dran hängt, "nur" um auf Windows 7 komfortabel Drucker zu verteilen, umso irrsinniger finde ich diese Lösung ... Muss doch einen Workaround geben?!!
Bitte warten ..
Mitglied: Drop-D
22.03.2013 um 10:08 Uhr
Benutzerkonfiguration/Richtlinien/Administrative Vorlagen/Systemsteuerung/Drucker/Point-and-Print-Einschränkungen: deaktiviert

... ist wie oben beschrieben ja bereits gesetzt, interessiert den Win 7 Client nur leider nicht.
Bitte warten ..
Mitglied: ahstax
22.03.2013 um 10:14 Uhr
Unter
Computerkonfiguration/Richtlinien/Administrative Vorlagen//Drucker/Point-and-Print-Einschränkungen
gibts die auch nochmal... Vielleicht ein Ansatz?
Bitte warten ..
Mitglied: goscho
22.03.2013, aktualisiert um 12:52 Uhr
Hi Drop-D,

der Grund ist tatsächlich, dass die Point-and-Printeinschränkungen mit Windows 7 in die Computerkonfiguration gewandert sind.
Wird hier von Nils Kaczenski schön erklärt.

Um dies in den GPOs unterzukriegen, benötigst du entweder einen W2K8 R2 DC oder aber einen Windows 7/8 PC, auf welchen du die passenden RSAT installierst.
Damit werden auch alle GPOs sicht- und nutzbar, die mit älteren Versionen von Windows nicht können.
Dann schaltest du die Gruppenrichtlinienverwaltung auf diesem PC ein (Funktion hinzufügen) und administrierst deine GPOs vom Client aus.

Gruß Goscho

Edit

PS: Du benötigst für die neueren GPOs keinen aktuelleren DC, musst also nicht deswegen zwangsweise auf W2K8 R2 DCs umsteigen. Windows 7/8 PCs fühlen sich auch in W2K3-Domänen pudelwohl und verarbeiten die an sie gerichteten GPOs zuverlässig.
Bitte warten ..
Mitglied: Drop-D
26.03.2013 um 09:43 Uhr
Okay, wir AD-Verantwortlichen sind da etwas nervös was wohl auf dem / den DCs passiert, wenn man mit einem Win 7 Client + RSAT 2k8R2 an den GPOs der Domäne fummelt.

Ich nehme an er legt das dann nur im Sysvol mit ab?! Die Clients, die das kennen, verarbeiten es, aber auf dem Server selbst kann man es weder sehen, noch ändern!?

Gefühlt ja erstmal nicht so richtig sexy, aber muss ich bei Gelegenheit auf jeden Fall austesten.

Danke goscho!

Überlegen derzeit ob wir doch auf 2008 R2 gehen oder gar direkt den Sprung auf 2k12 machen ...
Bitte warten ..
Mitglied: Drop-D
26.03.2013 um 13:43 Uhr
Zwischenbericht:

Ich habe die Point-and-Print-Einschränkungen ja in der Benutzerkonfiguration deaktiviert. In der Computerkonfigation war dieser Punkt aber in unserer 2008er (nicht R2) Domäne nicht verfügbar.

In meiner 2008 R2 - Testumgebung bin ich nun auf folgendes gestoßen:

1. ist die Point-and-Print-Einschränkungen unter Windows 7 nicht in die Computerkonfiguration "gewandert" - es gibt nun eben sowohl die Computer- als auch die Benutzerkonfigurations-Einstellung

2. es genügt NICHT die Point-and-Print-Einschränkungen nur in der Computerkonfiguration einzustellen. Die Policy konnte erst ausgeführt und der Drucker installiert werden, als ich es in der Computer- UND Benutzerkonfiguration deaktiviert habe

De Facto funktioniert es so aber einwandfrei!
Bitte warten ..
Mitglied: goscho
26.03.2013 um 16:12 Uhr
Zitat von Drop-D:
Okay, wir AD-Verantwortlichen sind da etwas nervös was wohl auf dem / den DCs passiert, wenn man mit einem Win 7 Client + RSAT 2k8R2 an den GPOs der Domäne fummelt.
Ich nehme an er legt das dann nur im Sysvol mit ab?! Die Clients, die das kennen, verarbeiten es, aber auf dem Server selbst kann man es weder sehen, noch ändern!?
Gefühlt ja erstmal nicht so richtig sexy, aber muss ich bei Gelegenheit auf jeden Fall austesten.

Ich finde es sexier, auf dem Client die Adminconsole zu starten, als mich wegen jedem Quark per RDP mit einem DC verbinden zu müssen.
Oder hast du keine eigene Admin-Maschine mit Windows 7/8?

Zwischenbericht:

Ich habe die Point-and-Print-Einschränkungen ja in der Benutzerkonfiguration deaktiviert. In der Computerkonfigation war
dieser Punkt aber in unserer 2008er (nicht R2) Domäne nicht verfügbar.
Das stimmt so nicht!
Diese Einstellungen sind nur auf dem 2008-er DC nicht verfügbar.
Deine Vorbehalte gegenüber RSAT sind nicht begründet.
Wegen ein paar Windows-7-GPOs gleich die ganze Domäne umzustellen, ist ziemlich aufwändig.

Was machst du nach der Umstellung auf 2008 R2, wenn dann die ersten Windows 8 Clients kommen und nach neuen GPOs schreien?


In meiner 2008 R2 - Testumgebung bin ich nun auf folgendes gestoßen:

1. ist die Point-and-Print-Einschränkungen unter Windows 7 nicht in die Computerkonfiguration "gewandert" - es gibt
nun eben sowohl die Computer- als auch die Benutzerkonfigurations-Einstellung

2. es genügt NICHT die Point-and-Print-Einschränkungen nur in der Computerkonfiguration einzustellen. Die Policy konnte
erst ausgeführt und der Drucker installiert werden, als ich es in der Computer- UND Benutzerkonfiguration deaktiviert habe

De Facto funktioniert es so aber einwandfrei!
Hier muss ich dir erneut widersprechen.
Für Windows 7 reicht die Einstellung der Computer-Richtlinie.

Solltest du aber noch Vista-Clients haben, so muss für diese die Benutzer-Konfiguration angepasst werden.

Ich kann das mit Sicherheit sagen, weil ich dies hier bei mir (W2K3-Domäne) und bei Kunden (W2K8-Domänen) auch so eingerichtet habe.
In meinem Netz ist nur die Computer-GPO bzgl. Point-and-Print konfiguriert und trotzdem können Standarduser auf Windows 7-PCs Druckertreiber installieren.
Bitte warten ..
Mitglied: Drop-D
26.03.2013 um 17:06 Uhr
RSAT statt RDP seh ich auch so, aber das müssen dann auch alle machen und der Mensch ist ja Gewohnheits-Tier.
Jetzt den anderen vorzuschreiben, sie haben RSAT zu nutzen ist hier kein technisches Problem Die Kollegen wollen sich ja nicht "ihre Kiste zumüllen" ...

Windows 8 und neue GPOs sind auch ein Argument. geb ich Dir Recht.

Point-and-Print habe ich frisch einen 2008 R2 mit Testdomäne hochgezogen, 1 Win 7 Sp1 Client in die Domäne gehängt, Hol-Dir-den-Drucker-GPO auf seine OU, bricht er mit dem alten Fehler ab. Deaktivier ich Point-and-Print in der Computerkonfiguration, bricht er immer noch mit dem Fehler ab. Frustriert hab ich nochmal gegoogelt und jemand schrieb, er musste es AUCH in der Benutzerkonfig deaktivieren. gpupdate /force hat er sich den Drucker sofort gezogen! Vorher keine Chance. Was ich nun noch nicht probiert habe ist, was passiert wenn ich es NUR in der Benutzerkonfig deaktiviere. Quasi so, wie es in der Live-Domain eben auch nicht funktioniert ...
Bitte warten ..
Neuester Wissensbeitrag
Microsoft

Lizenzwiederverkauf und seine Tücken

(5)

Erfahrungsbericht von DerWoWusste zum Thema Microsoft ...

Ähnliche Inhalte
Windows Server
gelöst Windows Server 2012, Drucker per GPO für 32bit und 64bit Clients greifen nicht (7)

Frage von schnuepel zum Thema Windows Server ...

Windows 10
Windows 10 von externer USB-HDD installieren (4)

Frage von cableguy007 zum Thema Windows 10 ...

Windows XP
gelöst WPA2 unter Windows XP SP1 nutzen? (10)

Frage von bestelitt zum Thema Windows XP ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (18)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Windows Netzwerk
Windows 10 RDP geht nicht (16)

Frage von Fiasko zum Thema Windows Netzwerk ...

Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...