GPO - Printers einmal mehr, anderer Ansatz

[Weingeist 157]

Hallo Leute,

 

Printer kann man ja auf diverse Varianten verteilen, mit mehr und weniger Erfolg. Bis dato habe ich das immer per Logon-Script gelöst. Das war ziemlich DAU-sicher und der Desktop ist sofort da (Kein warten bis alles durch ist).

 

Die Settings sollen vor allem pro Computer, aber auch pro User getätigt werden. Inkl. Standarddrucker. Aber am liebsten als Benutzersetting. Einige Benutzer kriegen jeweils noch zusätzliche Drucker, z.B. Drucken aus Produktion in ihr Büro aber anderen Stadarddrucker usw.

 

Es gibt ja ein paar Varianten das zu erreichen, einigermassen Zielführend und relativ sicher sind sicher folgende

- Loopback GPO's realisieren - mit allen Vor- und Nachteilen

- Mit komplizierten und relativ mühsam zu wartenden Sicherheitsfilter

 

Beides gefällt mir nicht so. Der Verwaltungsaufwand ist mir deutlich zu hoch, da sind Logon-Scripts irgendwie einfacher.

 

 

Im Netz bin ich auf eine weiteren Ansatz gestossen:

- Hinzufügen von Environmentvariablen für eine bestimmte Anzahl Drucker (max. das benötigt wird) sowie eine für den Standarddrucker mittels einer GPO

- Anschliessend setzen der Environment Variablen in entsprechende GPO's welche dann in der richtigen OU verlinkt sein können. Diese sind relativ einfach zu pflegen.

- Anschliessend GPP auf eine Haupt-OU (wo Computer und Benutzer drinn sind) welche die ganzen Printer erstellt und die Enivronmentvariablen anstelle eines fixen Namens hernimmt

 

Hat das jemand schon gemacht und kann seine Meinung dazu abgeben? Mir persönlich gefiel das auf Anhieb top. Auf den zweiten Blick aber nicht so, da unter Umständen eine enorme Anzahl an Variablen zu erstellen und füllen sind. Zudem muss man achtgeben die gleiche Variable nicht einmal per Computer und einmal per User zu setzen.

 

Des weiteren sehe ich als Nachteil das eben immernoch gewartet werden muss bis der Desktop erscheint bis alle Drucker verbunden sind. --> Mühsam für den User

 

 

Dann habe ich selber noch eine Idee

Kleine Datenbank wo sowohl User als auch Computer sowie Zuteilungen verwaltet werden.

Dazu ein kleines Scripts welches die Datenbank abfragt und die entsprechenden Printer verbindet. In unserer Betriebssoftware verwende ich schon sowas ähnliches um automatisch die richtige Druckerauswahl bzw. Papierfachauswahl zu treffen.

 

Gefällt mir im Grund ganz gut. Die Verwaltung dürfte einfacher sein und man muss nicht zwingend X-Sicherheitsarbeitsgruppen erstellen für die Zuteilung. Bläht also das AD weniger auf. DB-Design entspricht eigens diesem Zweck. Es muss auf nichts Rücksicht genommen werden. OU's im AD kann man nach einem anderen System Pflegen. Zum pflegen kann man ne hübsche kleine intuitive GUI machen. Je nach Lust und Laune auch mit Einbezug des AD wenn gewisse Sicherheitsgruppen sowieso schon gegeben sind.

 

Als Nachteile sehe ich vor allem, dass die DB parallel zur AD-Datenbank gepflegt werden muss. Andernseits entfallen jede Menge GPO's und GPP's und es reicht für alle Printer ein einziges Script. Auch Sicherheitsgruppen entfallen unter Umständen. Das gibt sonst unter Umständen ja riesige Listen welche wiederum problematisch sein können (Stichwort Kerberos-Ticket).

 

Vielen Dank!

[daabm 1.197]

Wir haben es per AD-Attribut und Startupskript (für lokale Drucker) und Logonskript (für Netzwerkdrucker) gelöst. Das ganze Gedöns mit GPP oder "Zugewiesene Drucker" ist zu unkomfortabel in größeren Umfeldern :)

 

Geht also prinzipiell in Deine eigene Ideen-Richtung (AD ist ja auch nur eine Datenbank).

[lefg 276]

Ziel und Aufgabe, GPP vereinfacht mir stark das "Verteilen" von Druckern, den Adressen und Treibern. Ebenso gelegentliches schnelles Umbenennen des lokalen Namnes, Ersetzen von Geräten durch andere Typen. In erster Linie werden die Drucker einer Einheit allen Rechnern der Einheit zugewiesen. Falls da nach einzelnen Benutzern oder Gruppen Zuweisungen nötig sein sollten, dann Zielgruppenadressierung; den Drucker gegenüber eines bestimmtren Sitzungsraumes erhalten die Mitglieder des Betriebsrates auf ihren Laptops zugewiesen.

 

Keine extra Datenbank, keine Skripte, alles recht einfach und zeitsparend gehalten.

 

Allerdings sind meine Umgebungen übersichtlich, nicht komplex.

 

Übersehe ich etwas?

bearbeitet 21. Februar 2015 von lefg

[daabm 1.197]

Edgar, Du übersiehst nichts. Es kommt sehr auf die Größe des Umfelds an - und darauf, wie dieses organisatorisch und anforderungstechnisch aufgebaut ist :)

[Weingeist 157]

Moin, vielen Dank für die Inputs!

 

Ohne Loopback kommt ihr aber auch nicht - sinnvoll - weiter wenn der Standarddrucker pro Maschine gesetzt werden soll oder? (Benutzer-Settings GPP)

Oder reicht bei euch das Run in logged-on user’s security context (user policy option) bei ner GPP auf eine Computer OU aus und es wird ein quasi Loopback nur für diese GPO ausgeführt? --> Hab das so vage als unzuverlässig in Erinnerung ist, aber eine gefühlte Ewigkeit her seit ich das versucht hatte und sicher noch unter XP (Benutzer-Settings GPP).

 

@lefg: Naja, für eigentlich komplex halte ich meine Verwalteten nicht wirklich. Im Gegenteil. Die Wünsche sind aber nahezu immer die selben. =)

Mühsam finde ichs sobald in der Produktion, einem Schulungsraum etc. neben den eigentlichen Drucker für diesen Raum/Arbeitsplatz noch die Drucker des Standardarbeitsplatzes des entsprechenden Users verbunden werden sollen.

Mit einem Drucker pro Papierfach sowie nochmals mit SW und Farbe + unter Umständen verschiedenen Briefköpfen (als Vorlage in nem Printer) summiert sich das ganze ins lästige wenn es doppelt gepflegt werden muss (Pro PC UND pro User).

 

Oder eben generell relativ weit oben in der Basis OU wo User und PC's erreichbar sind und entsprechend filtern.Also zum Beispiel nach der OU sowie dem einzelnen Benutzer/Benutzergruppe. Stellt sich dann nur die Frage ob die Printer dann zusammengeführt oder ersetzt werden wenn beide im UserTeil der GPP's definiert sind. Generell trifft ja normalerweise letzteres zu. Ausser man würde die grundsätzlich Computerbasierten auch auf Computer-Ebene verbinden. puuuh... ;)

 

@daabm: Wie hast Du das gelöst mit den AD-Attributen? Ein Attribute pro Computer und eines pro User? Reines RAW-Textfeld, das dann aufgesplittet wird mit jeweiligen Settings z.B. im XML-Format? Verwaltung mit separatem Script oder von Hand eingetragen?

 

Würde ich wohl meistens auch ned brauchen. Denke den Standard-Arbeitsplatz im Benutzer als AD-Attribut eintragen würde sich eigentlich schon recht gut anbieten. Das kann man dann auswerten und die entsprechenden Drucker zusätzlich verbinden. Wäre dann wohl eher Scriptbasiert.

[daabm 1.197]

Wir haben ein eigenes Attribut "UserPrinters", das es für Computer und für Benutzer gibt. Beide werden ausgewertet. Für lokale Drucker nur bei Computern (macht ja auch sonst keinen Sinn). Für Netzwerkdrucker bei Computern und Benutzern - aber beides im Benutzerkontext. Und damit können wir SEHR einfach den Standard-Netzwerkdrucker dem Computer zuweisen, auch wenn das technisch im Benutzerkontext ausgeführt wird.

 

Ob da jetzt XML oder Hindi oder Kantonesisch drinsteht, ist eigentlich egal - wir waren früher bei CSV, jetzt XML. So wie es MS z.B. bei den WLAN-GPOs auch macht - die haben ihre Settings als XML in einem AD-Attribut des WLAN Connection Settings Object stehen. Verwaltet wird das über eine selbst geschriebene Oberfläche. Ginge aber auch, indem Du die displaySpecifiers modifizierst und einfach ein kleines HTA hinterlegst...

 

Ich hab's glaub schon oft erwähnt, allerdings häufiger in den Technet-Foren: Für die Zuweisung von Druckern und Laufwerken empfehle ich IMMER eine skriptbasierte Lösung, wenn der Admin in der Lage ist, diese zu warten. Ist extrem flexibler als das GPP-Gedöns :D (Und schneller ist es i.d.R. auch,..)