Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Windows 7 SP1 soll Drucker per GPO und Sicherheitsgruppen installieren

Frage Microsoft Windows Userverwaltung

Mitglied: Drop-D

Drop-D (Level 1) - Jetzt verbinden

22.03.2013 um 09:10 Uhr, 7258 Aufrufe, 11 Kommentare

Guten Morgen,

der Windows 7 Client ist Mitglied in der Domäne.
Domänenfunktionsebene ist Windows Server 2008.
Gesamtstrukturfunktionsebene ist Windows Server 2003.

Der Client ist in einer OU, mit der OU ist eine GPO verknüpft,
im GPP-Teil wird ein Drucker zugewiesen.

Benutzerkonfiguration/Einstellungen/Systemsteuerungseinstellungen/Drucker

XP SP3 mit CSE (KB943729) verarbeitet das sauber, an der GPO hakt es also nicht.

gpresult auf dem Windows 7 Client zeigt auch, dass die GPO verarbeitet wurde.

Im Eventlog steht dann:

ID 4098

Das Benutzer "ghd-20-prn01"-Einstellungselement im Gruppenrichtlinienobjekt "TST-Drucker zuweisen {6001F352-ACCF-46C6-B322-CF009C241B32}" wurde nicht übernommen, da ein Fehler mit Fehlercode "0x80070bcb Der angegebene Druckertreiber wurde nicht im System gefunden und muss heruntergeladen werden." aufgetreten ist. Dieser Fehler wurde unterdrückt.

Das ist die Meldung, ob man dem Drucker vertraut, weil der Treiber vom Server heruntergeladen werden muss etc.
Das soll man mit einer weiteren GPO unterbinden können:

Benutzerkonfiguration/Richtlinien/Administrative Vorlagen/Systemsteuerung/Drucker/Point-and-Print-Einschränkungen: deaktiviert

Und jetzt kommt der Kasus Knaxus: Windows 7 ignoriert das wohl im Bereich Benutzerkonfiguration, Lösung soll sein es einfach in der Computerkonfiguration einzustellen. Aber den Punkt gibt es dort nicht! Warum ist nicht so richtig klar. Nahe liegen, könnte, dass die Domain-Controller Windows Server 2008 (nicht R2) und auch die Domänenfunktionsebene nur 2008 (nicht R2) ist.

Was nun?
Mitglied: ITLogger
22.03.2013 um 09:20 Uhr
Guten Morgen,

haben Deine User die Berechtigung Druckertreiber auf dem System zu installieren?
Bitte warten ..
Mitglied: ahstax
22.03.2013 um 09:28 Uhr
Hallo,

ich weiß nicht, ob ich mich damit gleich komplett disqualifiziere, ich habe in einer Umgebung alle Drucker den Geräten, nicht den Usern zugeteilt. Das funktioniert zuverlässig...

Hat natürlich ggf den Nachteil, dass man entweder allen alle Drucker zuweist (was die einfache Lösung ist), oder ein wenig Aufwand für einzelne MAs betreiben muss (wenn diese "umziehen")...

Grüße,
Andreas
Bitte warten ..
Mitglied: Drop-D
22.03.2013, aktualisiert um 09:47 Uhr
Die Testuser sind normale Domänen-Benutzer, unter XP funktioniert das prima und ich möchte das auch gern weiter in die Richtung entwickeln, dass hier nicht jeder irgendwie mit Admin-Rechten rumläuft, damit die mal einen Drucker installieren können.

Die Zuweisung der Drucker an die Geräte macht in diesem Fall wahrlich keinen Sinn, dann würde ich es lieber lassen wie es ist und jede Drucker-Administration von den Admins machen lassen. Die ständigen Umzüge von Arbeitsplätzen und sensible Druckbereiche, sei es aus Kosten (Profi-Farbdrucker) oder Berechtigungsgründen (spezielles Papier oder Perso-/Rechtsabteilung) ...

Mir kam ja die Idee "einfach" die Domänenfunktionsebene hochzustufen, aber dafür müsste ich ja zumindest alle DCs auf R2 aktualisieren (30 Standorte über Deutschland verteilt, viele Standorte ohne eigenen Backup-DC vor Ort und miese WAN-Anbindung). Je länger ich darüber nachdenke was da alles dran hängt, "nur" um auf Windows 7 komfortabel Drucker zu verteilen, umso irrsinniger finde ich diese Lösung ... Muss doch einen Workaround geben?!!
Bitte warten ..
Mitglied: Drop-D
22.03.2013 um 10:08 Uhr
Benutzerkonfiguration/Richtlinien/Administrative Vorlagen/Systemsteuerung/Drucker/Point-and-Print-Einschränkungen: deaktiviert

... ist wie oben beschrieben ja bereits gesetzt, interessiert den Win 7 Client nur leider nicht.
Bitte warten ..
Mitglied: ahstax
22.03.2013 um 10:14 Uhr
Unter
Computerkonfiguration/Richtlinien/Administrative Vorlagen//Drucker/Point-and-Print-Einschränkungen
gibts die auch nochmal... Vielleicht ein Ansatz?
Bitte warten ..
Mitglied: goscho
22.03.2013, aktualisiert um 12:52 Uhr
Hi Drop-D,

der Grund ist tatsächlich, dass die Point-and-Printeinschränkungen mit Windows 7 in die Computerkonfiguration gewandert sind.
Wird hier von Nils Kaczenski schön erklärt.

Um dies in den GPOs unterzukriegen, benötigst du entweder einen W2K8 R2 DC oder aber einen Windows 7/8 PC, auf welchen du die passenden RSAT installierst.
Damit werden auch alle GPOs sicht- und nutzbar, die mit älteren Versionen von Windows nicht können.
Dann schaltest du die Gruppenrichtlinienverwaltung auf diesem PC ein (Funktion hinzufügen) und administrierst deine GPOs vom Client aus.

Gruß Goscho

Edit

PS: Du benötigst für die neueren GPOs keinen aktuelleren DC, musst also nicht deswegen zwangsweise auf W2K8 R2 DCs umsteigen. Windows 7/8 PCs fühlen sich auch in W2K3-Domänen pudelwohl und verarbeiten die an sie gerichteten GPOs zuverlässig.
Bitte warten ..
Mitglied: Drop-D
26.03.2013 um 09:43 Uhr
Okay, wir AD-Verantwortlichen sind da etwas nervös was wohl auf dem / den DCs passiert, wenn man mit einem Win 7 Client + RSAT 2k8R2 an den GPOs der Domäne fummelt.

Ich nehme an er legt das dann nur im Sysvol mit ab?! Die Clients, die das kennen, verarbeiten es, aber auf dem Server selbst kann man es weder sehen, noch ändern!?

Gefühlt ja erstmal nicht so richtig sexy, aber muss ich bei Gelegenheit auf jeden Fall austesten.

Danke goscho!

Überlegen derzeit ob wir doch auf 2008 R2 gehen oder gar direkt den Sprung auf 2k12 machen ...
Bitte warten ..
Mitglied: Drop-D
26.03.2013 um 13:43 Uhr
Zwischenbericht:

Ich habe die Point-and-Print-Einschränkungen ja in der Benutzerkonfiguration deaktiviert. In der Computerkonfigation war dieser Punkt aber in unserer 2008er (nicht R2) Domäne nicht verfügbar.

In meiner 2008 R2 - Testumgebung bin ich nun auf folgendes gestoßen:

1. ist die Point-and-Print-Einschränkungen unter Windows 7 nicht in die Computerkonfiguration "gewandert" - es gibt nun eben sowohl die Computer- als auch die Benutzerkonfigurations-Einstellung

2. es genügt NICHT die Point-and-Print-Einschränkungen nur in der Computerkonfiguration einzustellen. Die Policy konnte erst ausgeführt und der Drucker installiert werden, als ich es in der Computer- UND Benutzerkonfiguration deaktiviert habe

De Facto funktioniert es so aber einwandfrei!
Bitte warten ..
Mitglied: goscho
26.03.2013 um 16:12 Uhr
Zitat von Drop-D:
Okay, wir AD-Verantwortlichen sind da etwas nervös was wohl auf dem / den DCs passiert, wenn man mit einem Win 7 Client + RSAT 2k8R2 an den GPOs der Domäne fummelt.
Ich nehme an er legt das dann nur im Sysvol mit ab?! Die Clients, die das kennen, verarbeiten es, aber auf dem Server selbst kann man es weder sehen, noch ändern!?
Gefühlt ja erstmal nicht so richtig sexy, aber muss ich bei Gelegenheit auf jeden Fall austesten.

Ich finde es sexier, auf dem Client die Adminconsole zu starten, als mich wegen jedem Quark per RDP mit einem DC verbinden zu müssen.
Oder hast du keine eigene Admin-Maschine mit Windows 7/8?

Zwischenbericht:

Ich habe die Point-and-Print-Einschränkungen ja in der Benutzerkonfiguration deaktiviert. In der Computerkonfigation war
dieser Punkt aber in unserer 2008er (nicht R2) Domäne nicht verfügbar.
Das stimmt so nicht!
Diese Einstellungen sind nur auf dem 2008-er DC nicht verfügbar.
Deine Vorbehalte gegenüber RSAT sind nicht begründet.
Wegen ein paar Windows-7-GPOs gleich die ganze Domäne umzustellen, ist ziemlich aufwändig.

Was machst du nach der Umstellung auf 2008 R2, wenn dann die ersten Windows 8 Clients kommen und nach neuen GPOs schreien?


In meiner 2008 R2 - Testumgebung bin ich nun auf folgendes gestoßen:

1. ist die Point-and-Print-Einschränkungen unter Windows 7 nicht in die Computerkonfiguration "gewandert" - es gibt
nun eben sowohl die Computer- als auch die Benutzerkonfigurations-Einstellung

2. es genügt NICHT die Point-and-Print-Einschränkungen nur in der Computerkonfiguration einzustellen. Die Policy konnte
erst ausgeführt und der Drucker installiert werden, als ich es in der Computer- UND Benutzerkonfiguration deaktiviert habe

De Facto funktioniert es so aber einwandfrei!
Hier muss ich dir erneut widersprechen.
Für Windows 7 reicht die Einstellung der Computer-Richtlinie.

Solltest du aber noch Vista-Clients haben, so muss für diese die Benutzer-Konfiguration angepasst werden.

Ich kann das mit Sicherheit sagen, weil ich dies hier bei mir (W2K3-Domäne) und bei Kunden (W2K8-Domänen) auch so eingerichtet habe.
In meinem Netz ist nur die Computer-GPO bzgl. Point-and-Print konfiguriert und trotzdem können Standarduser auf Windows 7-PCs Druckertreiber installieren.
Bitte warten ..
Mitglied: Drop-D
26.03.2013 um 17:06 Uhr
RSAT statt RDP seh ich auch so, aber das müssen dann auch alle machen und der Mensch ist ja Gewohnheits-Tier.
Jetzt den anderen vorzuschreiben, sie haben RSAT zu nutzen ist hier kein technisches Problem Die Kollegen wollen sich ja nicht "ihre Kiste zumüllen" ...

Windows 8 und neue GPOs sind auch ein Argument. geb ich Dir Recht.

Point-and-Print habe ich frisch einen 2008 R2 mit Testdomäne hochgezogen, 1 Win 7 Sp1 Client in die Domäne gehängt, Hol-Dir-den-Drucker-GPO auf seine OU, bricht er mit dem alten Fehler ab. Deaktivier ich Point-and-Print in der Computerkonfiguration, bricht er immer noch mit dem Fehler ab. Frustriert hab ich nochmal gegoogelt und jemand schrieb, er musste es AUCH in der Benutzerkonfig deaktivieren. gpupdate /force hat er sich den Drucker sofort gezogen! Vorher keine Chance. Was ich nun noch nicht probiert habe ist, was passiert wenn ich es NUR in der Benutzerkonfig deaktiviere. Quasi so, wie es in der Live-Domain eben auch nicht funktioniert ...
Bitte warten ..
Ähnliche Inhalte
Windows 7
Windows 7 SP1 lässt sich nicht installieren
Frage von achkleinWindows 75 Kommentare

Hallo, ich wurde heute zu einem PC gerufen, weil eine Internetseite einen veralteten Browser meldete. Auf dem betreffenden System ...

Windows Server
GPO wird auf Benutzer übernommen, nicht auf Sicherheitsgruppe
gelöst Frage von Kaka81Windows Server2 Kommentare

Hallo zusammen, ich habe ein Problem mit einer GPO. Folgendes Szenario: - ich habe eine OU "Firma" - in ...

Windows Server
Verständnisfrage GPO für bestimmte Sicherheitsgruppen
gelöst Frage von lcer00Windows Server1 Kommentar

Hallo, ich möchte, dass eine GPO nur für bestimmte Gruppenmitglieder (speziell für einzelne Server) gilt. habe u.a. folgendes gefunden: ...

Windows Server
GPO Computerkonfiguration nur auf Benutzer einer Sicherheitsgruppe anwenden
gelöst Frage von itadnewbieWindows Server5 Kommentare

Hallo alle zusammen, stundenlanges - verzweifeltes Suchen im Netz hat mich jetzt dazu bewegt, euch Profis direkt zu fragen! ...

Neue Wissensbeiträge
Batch & Shell

Open Object Rexx: Eine mittlerweile fast vergessene Skriptsprache aus dem Mainframebereich

Information von Penny.Cilin vor 1 TagBatch & Shell9 Kommentare

Ich kann mich noch sehr gut an diese Skriptsprache erinnern und nutze diese auch heute ab und an noch. ...

Humor (lol)

"gimme gimme gimme": Automatischer Test stolpert über Easter Egg im man-Tool

Information von Penny.Cilin vor 1 TagHumor (lol)6 Kommentare

Interessant, was man so alles als Easter Egg implementiert. Ist schon wieder Ostern? "gimme gimme gimme": Automatischer Test stolpert ...

MikroTik RouterOS

Mikrotik - Lets Encrypt Zertifikate mit MetaROUTER Instanz auf dem Router erzeugen

Anleitung von colinardo vor 1 TagMikroTik RouterOS8 Kommentare

Einleitung Folgende Anleitung ist aus der Lage heraus entstanden das ein Kunde auf seinem Mikrotik sein Hotspot Captive Portal ...

Sicherheit

Sicherheitslücke in HP-Druckern - Firmware-Updates stehen bereit

Information von BassFishFox vor 1 TagSicherheit1 Kommentar

Ein weiterer Grund, dass Drucker keinerlei Verbindung nach "auswaerts" haben sollen. Unter Verwendung spezieller Malware können Angreifer aus der ...

Heiß diskutierte Inhalte
Off Topic
Fachkräftemangel in Deutschland? - Talentschmiede schreibt alle 2 Tage die gleichen Stellen aus
Frage von Penny.CilinOff Topic12 Kommentare

Hallo, haben wir in Deutschland Fachkräftemangel? Die Talentschmiede schreibt gefühlt alle zwei Tage dieselben Stellen aus. Und das schon ...

Windows Server
Windows Store Apps
gelöst Frage von PeterleBWindows Server11 Kommentare

Gibt es einen Weg, auf Windows Server 2016 Windows Store Apps wie zum Beispiel die HP Smart App zu ...

Microsoft Office
Outlook Cache Mode Frage
Frage von GwaihirMicrosoft Office11 Kommentare

Hallo zusammen, bin gerade neu in der Firma und lerne hier einige neue Dinge kennen. Zum Beispiel, dass die ...

Microsoft
Erfahrungen mit Webcam over RDP gesucht
Frage von DerWoWussteMicrosoft10 Kommentare

Moin Kollegen. Bekanntlich kann man Webcams nur mit Drittanbietersoftware in RDP reinschleifen. Was nutzt Ihr dazu? Wie stabil funktioniert ...