Server: Druckerinstallation GPO

[KainzVonBeiden 10]

Hallo liebe Forenmitglieder!

 

Ich habe hier eine Win2003 Server Domäne mit ein paar DC´s und Print-Servern und ...

 

So nu zu meinem Problem:

 

Nachdem man weiß das User viel verbocken können bräuchte ich eine GPO (selbergeschrieben oder schon vorhanden, ich schreib sie mir auch selber wenn mir jemand den Registry Key sagt) die meinen Usern verwehrt einen neuen Drucker lokal über das TCP/IP Protokolll einzubinden. Leider hab ich bis jetzt keinen Beitrag in Forum über diese Sache gefunden. Ich hoffe es kann mir irgendjemand weiterhelfen.

 

Es muss auch keine GPO sein. Solange ich es Domänenweit verbreiten kann ohne ein Programm auf jedem Client zu installieren.

 

Danke im vorraus.

[R.Ralle 10]

Hi,

 

Ich hab jetzt nicht nachgeschaut, aber was du sucht findesst du hier:

http://www.gruppenrichtlinien.de

 

gruß

ralle

[KainzVonBeiden 10]

Du hast schon recht ich kann auf dieser Seite wirklich viel finden. Ich habe mir auch von dieser Seite aus beigebracht wie ich meine eigenen GPO´s schreibe.

 

Aber leider steht auf dieser Seite nicht jeder Registryschlüssel und leider auch nicht was jeder einzelne bewirkt. Meine std. GPO´s kann ich auch auf dem Domänen Controller nachschauen (was ich auch schon gemacht habe). Hab auch ein Programm hier auf meinen Rechner mit dem ich jede Veränderung, in der Registry sehe, wenn ich einen Hacken setze oder entferne nur leider ist es teilweise ein wenig unübersichtlicht und ich woll mal bei euch nachfragen ob nicht ein auf Anhieb ne Lösung bzw. nen Registry Eintrag zur Hand hat.

 

Mal sehen vielleicht kommen ja noch Antworten auf ich mich freuen kann.

[lefg 276]

Hallo Chriss,

 

ich bin nicht wirklich sicher, was Du willst, die Installation eines lokalen Druckertreiber verhindern oder das "Ziehen" einer Duckverbindung über das Netzwerk mittels Explorer oder das Einrichten einer Netzwerkdruckverbindung mittels Druckerassistenten.

 

Da das Installieren eines lokalen Druckertreibers in einer Domäne jemanden mit administrativer Rechten vorbehalten ist, nehme ich mal an, es handelt sich um den zweiten Fall.

 

Wir hatten das Problem selbst, fiel ein naher Drucker aus, zogen sich die User eine Verbindung zum Nächstaufzufindenden. Das führte dazu, es gab bei einigen nicht mehr zu überschauende Netzwerkdruckverbindungen. Manche wussten nicht mehr wohin der Job ging. Wir sind dann dazu übergegangen, die Netzwerkdruckverbindungen über ein Startscript zu löschen mit con2prt. Nach einer Anmeldung des Users waren die Netzwerkdrucker weg.

 

Wir sind in diesem Fall nicht so weit gegangen, den Benutzern den Zugriff auf andere Drucker vollkommen zu verbieten. Das hätten wir sonst über die Berechtigungen der Sicherheitsenstellungen leicht lösen können.

 

In der Gruppenrichtlinie von S2k3 , Computerconfiguration, Administrative Vorlagen, Drucker gibt es die Option Annahme von Clientverbindungen zur Druckerwarteschlange erlauben.

 

Weiter gibt es in der Benutzerkonfiguration, Administrative Vorlagen, Systemsteuerung, Drucker die Optionen Netzwerk nach Druckern durchsuchen und Hinzufügen von Druckern verhindern.

 

Ich habe die Optionen noch nicht getestet. Falls Du es machst, bitte berichte doch davon!

 

Viel Erfolg

Edgar

[KainzVonBeiden 10]

Bei uns geht es eigentlich auch um die Übersichtliche Struktur. Aber eher um einen anderen Aspekt.

 

Bei uns ist es so wenn bestimmte User nicht Drucken können haben sie immer die möglichkeit auf einen anderen Drucker ausweichen zu können. Bei uns Funktioniert ja alles über unsere Print Server. Doch in speziellen fällen, wie z. B. in abgeschiedenen winkeln, müssen öffter Leihgeräte aufgebaut werden die über Com oder LPD angeschlossen werden sollen und sobald dieser wieder entfernt wird soll es wieder über Print Server laufen. So gesehen will ich nur Verbieten das ein User (was auch ein Hauptbenutzer sein kann) einen Drucker über den TCP/IP Port ansteuert da er auf diesem Weg keinen Treiber benötigt und wenn wird er über den Teilweise Intelligenten TCP/IP sofort ohne Probleme installiert. Genau das soll nichtmehr gehen. LPD und COM für Leihgeräte freihalten und TCP/IP Port sperren.

 

Hoffe das man meinen verschnörkelten Text nun einigermaßen versteht. :)

 

Aber Trozdem Danke für die Toll Antwort. Aber das mit den Drucker komplett sperren is mir auch schon durch den Kopf gegangen aber mein Vorgesetzter hätte was dagegen glaub ich. :)

[lefg 276]

Hab auch ein Programm hier auf meinen Rechner mit dem ich jede Veränderung, in der Registry sehe, wenn ich einen Hacken setze oder entferne nur leider ist es teilweise ein wenig unübersichtlicht.

Mit welchem Programm geht das?

[lefg 276]

Möglicherweise hilft folgendes weiter:

 

mit Regedt32/Sicherheit/Berechtigungen

 

HKLM\System\CurrentControlSet\Control\Print\Monitors

 

und

 

FAQ

 

Gruß

Edgar

[KainzVonBeiden 10]

Hallo lefg

 

also das Programm heißt Regmon und kann auf dieser seite runtergeladen werden:

 

http://www.sofotex.com/Regmon-download_L5016.html

Hab den DL nicht ausprobiert, hoffe er geht.

 

Ich versuch mich mal mit deinem Schlüssel.

 

Danke

[KainzVonBeiden 10]

Verflucht! :(

 

Der ansatz mit diesem Key:

 

HKLM\System\CurrentControlSet\Control\Print\Monitors

 

is ganicht so falsch. Doch leider schaff ich es immer noch nicht den TCP/IP Port zu sperren.

 

Wobei ich vom sperren langsam aber sicher weg komme. Solang ich diesen Port beim Druckerinstallieren nichtmehr angeben kann wär ich glücklich.

 

Falls jetzt jemand auf die Idea kommt den Eintrag im Schlüssel zu löschen. Da bin ich ihm schon zuvor gekommen. Ich hab sogar die Einträge in den Über-Schlüsseln ControlSet001 und -002 gelöscht. Und leider hat sich nix verändert, man kann immernoch einen Drucker über TCP/IP Installieren.

 

Aber sowas nervt mich. Es könnte doch von Microsoft eine Hompage geben auf dieser einfach alle Std. Micorsoft Schlüssel stehen und wie sie verändert werden können und welches Aktion sie damit bewirken.

[lefg 276]

Hallo Chriss,

 

den Schlüssel nicht löschen! Die Berechtigungen darauf verändern mit regedt32! Möglicherweise bringt es das. Schon probiert?

 

Danke für den Link.

 

Viel Erfolg

Edgar

[lefg 276]

den Schlüssel nicht löschen! Die Berechtigungen darauf verändern mit regedt32! Möglicherweise bringt es das. Schon probiert?

Ich habe es probiert und bin gescheitert.

[lefg 276]

Hallo,

 

Nun funktioniert es.

 

Ich habe den Benutzern und Hauptbenutzern der Zugriff auf den Schlüssel

 

HKLM\System\CurrentControlSet\Control\Print\Monitors\Standard TCP/IP Port

 

verweigert mit regedt32, Sicherheit, Berechtigungen.

 

Damit taucht der Term in der Installation nicht mehr auf.

 

Nur dem System darf man die Berechtigungen nicht nehmen. Und der Rechner muss neu gestartet werden.

 

Gruß

Edgar

[KainzVonBeiden 10]

Danke mit dieser Antwort komm ich schon ein gutes Stück weiter. Nur muss ich das jetzt irgendwie globalisieren. Denn an 1800 Rechner einfach so hinlaufen und einstellen is halt nicht. :)

 

Hab vielen Dank!

[lefg 276]

Hallo Chriss,

 

sei vorsichtig!

 

Später habe ich festgestellt, der am Versuchsrechner mit einem Drucker eingerichtete TCP/IP-Port ist auch weg. Und ich habe es nicht wieder hinbekommen.

 

Gruß

Edgar

[lefg 276]

Falls Du die Einstellung wirklich verbreiten willst, ist wohl die Gruppenrichtlinie ein Mittel.

 

In Computerconfiguration, Sicherheitseinstellungen, Registrierung. > Sxhlüssel hinzufügen > Machine > System usw.

 

Es ist allerdings notwendig, die Registryänderung am Server vorzunehmen.

 

Gruß

Edgar