none
Unterschiedliche GPO-Abschnitte zur Druckerverteilung RRS feed

  • Frage

  • Umgebung: Win Server 2012 AD, Win Server 2012 als Druckserver (alle Systeme sind kein R2!), Win 7 64bit-clients.
    Alle Systeme mit aktuellen Win-Updates, ADMX-Vorlagen vor wenigen Monaten manuell im zentralen Speicher aktualisiert.

    Alle Drucker sind im Server 2012-Druckserver eingerichtet.

    Erfolgt die Bereitstellung der Drucker über den Druckserver mit Rechtsklick / "Mit Gruppenrichtlinie bereitstellen", entsteht ein GPO mit Eintragungen im Abschnitt
    Benutzerkonfig / Richtlinien / Windows-Einstellungen / Druckerverbindungen.
    Dieser Abschnitt lässt sich auf dem DC nicht mit dem Gruppenrichtlinienverwaltungs-Editor bearbeiten. Im Editor fehlt der Abschnitt "Druckerverbindungen".

    Der Gruppenrichtlinienverwaltungs-Editor stellt lediglich Bearbeitungsmöglichkeiten für folgende GPO-Abschnitte bereit:
    Benutzerkonfiguration / Einstellungen / Systemsteuerungseinstellungen / Drucker

    Hierüber können Drucker verteilt werden.
    Allerdings funktionieren z.B. die Festlegungen "Als Standarddrucker verwenden" nicht bzw. werden ignoriert.

    Alle GPOs sind bestimmten AD-Gruppen zugeordnet und mit bestimmten Pfaden verknüpft.

    Authentifizierte User besitzen zusätzlich Leserechte am GPO-Objekt. Die Verarbeitung am Client scheint in Ordnung. Es erscheinen lediglich Warnhinweise für Objekte, die aufgrund der (gewollten) Sicherheitsfilterung nicht ausgewertet werden können.

    Fehlt hier möglicherweise ein Update oder ein Patch, z.B. für das Management-Framework?

    Wichtig ist zu wissen, dass die Druckerverteilung pro Benutzer erfolgen muss und aufgrund stetig wechselnder Arbeitsplätze nicht pro Computer erfolgen kann.

    Wer hat einen Rat für mich?

    Freitag, 23. Dezember 2016 07:53

Antworten

  • Hi,
     
    Am 23.12.2016 um 08:53 schrieb Jens Fechter:
    > Dieser Abschnitt lässt sich auf dem DC nicht mit dem
    > Gruppenrichtlinienverwaltungs-Editor bearbeiten. Im Editor fehlt der
    > Abschnitt "Druckerverbindungen".
     
    Der Eintrag ist nur vorhanden, wenn die
    Druckerverwaltungskonsole/Feature installiert sind, ohne diese hat der
    /lokale/ GPeditor vom DC die passende DLL nicht um das MMC Snapin
    einzuhängen.
     
    Aber davon abgesehen kann ich nur davon abraten überhaupt Drucker an die
    User zu verteilen, wenn es denn stetig wechselt.
    Das Regelwerk ist auf Dauer unbeherrschbar und viel zu aufwendig.
     
    Einfachster Weg:
    - großer Aufkleber vor den Drucker knallen mit 4 Zahlen in Neonfarbe
    - Druckerfreigabe anhand der 4 Zahlen
    - jedem User einen ShortCut zum Printserver auf den Desktop legen.
    fertig.
     
    "Drucker" öffnen und Doppelklick auf Zahl kann JEDER(!).
     
    Das was du dire antust ist unnötige Arbeit. Sag bitte nicht, "das können
    unsere User nicht". Das stimmt nämlich, weil du ihnen mit dem
    Druckerhinterhertragen die Arbeit abnimmst und sie sich ihre Faulheit
    nicht abgewöhnen können/wollen. Du bist selber schuld, das sie das nicht
    können.
     
    Dein Job ist es, die Druckverbindung leicht zu finden damit sie es
    selber herzustellen können.
     
    Simple Freigabe, simpler Selfservice.
    Wenn deine Freigabe aber
    "Inventarisierungsnummer_Hersteller_Modell_Stasndort_IPAdresse" lautet,
    dann weisst du, warum die User das nicht selber können. Ändere das.
     
    Das ist Information, die nur du als Admin brauchst. Schreib es in den
    Kommentar, in Excel oder in eine Datenbank, whatever. Zum Drucken muss
    ich nur die Zahl wissen und die kann ich in Neon von 30 Meter Entfernung
    lesen.
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Group Policy - Cloud and Datacenter Management
     
    Homepage:  http://www.gruppenrichtlinien.de - deutsch
     
    Freitag, 23. Dezember 2016 08:48

Alle Antworten

  • Hi,
     
    Am 23.12.2016 um 08:53 schrieb Jens Fechter:
    > Dieser Abschnitt lässt sich auf dem DC nicht mit dem
    > Gruppenrichtlinienverwaltungs-Editor bearbeiten. Im Editor fehlt der
    > Abschnitt "Druckerverbindungen".
     
    Der Eintrag ist nur vorhanden, wenn die
    Druckerverwaltungskonsole/Feature installiert sind, ohne diese hat der
    /lokale/ GPeditor vom DC die passende DLL nicht um das MMC Snapin
    einzuhängen.
     
    Aber davon abgesehen kann ich nur davon abraten überhaupt Drucker an die
    User zu verteilen, wenn es denn stetig wechselt.
    Das Regelwerk ist auf Dauer unbeherrschbar und viel zu aufwendig.
     
    Einfachster Weg:
    - großer Aufkleber vor den Drucker knallen mit 4 Zahlen in Neonfarbe
    - Druckerfreigabe anhand der 4 Zahlen
    - jedem User einen ShortCut zum Printserver auf den Desktop legen.
    fertig.
     
    "Drucker" öffnen und Doppelklick auf Zahl kann JEDER(!).
     
    Das was du dire antust ist unnötige Arbeit. Sag bitte nicht, "das können
    unsere User nicht". Das stimmt nämlich, weil du ihnen mit dem
    Druckerhinterhertragen die Arbeit abnimmst und sie sich ihre Faulheit
    nicht abgewöhnen können/wollen. Du bist selber schuld, das sie das nicht
    können.
     
    Dein Job ist es, die Druckverbindung leicht zu finden damit sie es
    selber herzustellen können.
     
    Simple Freigabe, simpler Selfservice.
    Wenn deine Freigabe aber
    "Inventarisierungsnummer_Hersteller_Modell_Stasndort_IPAdresse" lautet,
    dann weisst du, warum die User das nicht selber können. Ändere das.
     
    Das ist Information, die nur du als Admin brauchst. Schreib es in den
    Kommentar, in Excel oder in eine Datenbank, whatever. Zum Drucken muss
    ich nur die Zahl wissen und die kann ich in Neon von 30 Meter Entfernung
    lesen.
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Group Policy - Cloud and Datacenter Management
     
    Homepage:  http://www.gruppenrichtlinien.de - deutsch
     
    Freitag, 23. Dezember 2016 08:48
  • Hallo Mark,

    vielen Dank für die Antwort, der Hinweis auf das Feature hilft mir wirklich weiter.

    Zur Entschärfung des Bezeichnungsproblems sind alle Druckernamen bereits so kurz wie möglich gehalten und beginnen immer mit der Zimmernummer. Das ist auch für Anwender leicht identifizierbar.

    Allerdings stelle ich mir die Frage, welcher GPO-Abschnitt "besser geeignet" oder einfach "moderner" ist.

    Welcher Abschnitt ist z.B. für a) Windows 7 und b) Windows 10 relevant? (Dazwischen setzen wir keine Win-Versionen ein.) Werden beide Abschnitte von beiden Systemen korrekt interpretiert? (Dann wäre die Herkunft der GPO quasi irrelevant.)

    Benötige ich evtl. auch ein Plugin/Feature im Client? (GroupPolicy Extension o.a.?)

    In der Vergangenheit wurden die GPOs ja schon hin und wieder mal erweitert bzw. umorganisiert. Daher kann das schon mal problematisch sein.

    Grüße
    Jens

    Freitag, 23. Dezember 2016 09:08
  • Am 23.12.2016 schrieb Jens Fechter:
    Hi,

    Zur Entschärfung des Bezeichnungsproblems sind alle Druckernamen bereits so kurz wie möglich gehalten und beginnen immer mit der Zimmernummer. Das ist auch für Anwender leicht identifizierbar.

    Ich kenne genügend Kundenmitarbeiter, die auf die Frage "Büronummer" mit Schulterzucken oder "zur Tür gehen" reagieren. Insofern... ;)

    Allerdings stelle ich mir die Frage, welcher GPO-Abschnitt "besser geeignet" oder einfach "moderner" ist.

    Welcher Abschnitt ist z.B. für a) Windows 7 und b) Windows 10 relevant? (Dazwischen setzen wir keine Win-Versionen ein.) Werden beide Abschnitte von beiden Systemen korrekt interpretiert? (Dann wäre die Herkunft der GPO quasi irrelevant.)

    Ich würde, wenn überhaupt GPP nutzen und NICHT die funktion "über Gruppenrichtlinie bereitstellen". Marks Ansichten zu dem Thema kann ich nur zustimmen. Du holst dir Arbeit rein, die eigentlich überflüssig ist. Alternativ besorg dir eine beliebige Follow-Me Printlösung. Dann gibts für alle nur noch einen Drucker und gut ist.

    In der Vergangenheit wurden die GPOs ja schon hin und wieder mal erweitert bzw. umorganisiert. Daher kann das schon mal problematisch sein.

    Naja das ist aber schon sehr lange her. ;)

    Bye
    Norbert


    Dilbert's words of wisdom #04:
    There are very few personal problems that cannot be solved by a suitable application of high explosives.
    nntp-bridge Zugriff auf die MS Foren wieder möglich: https://communitybridge.codeplex.com/

    Freitag, 23. Dezember 2016 12:25
    Moderator
  • Am 23.12.2016 schrieb Norbert Fehlauer [MVP]:

    Am 23.12.2016 schrieb Jens Fechter:

    Zur Entschärfung des Bezeichnungsproblems sind alle Druckernamen bereits so kurz wie möglich gehalten und beginnen immer mit der Zimmernummer. Das ist auch für Anwender leicht identifizierbar.

    Ich kenne genügend Kundenmitarbeiter, die auf die Frage "Büronummer" mit Schulterzucken oder "zur Tür gehen" reagieren. Insofern... ;)

    +1. :)

    Servus
    Winfried


    WSUS Package Publisher: http://wsuspackagepublisher.codeplex.com/
    HowTos zum WSUS Package Publisher http://www.wsus.de/wpp
    GPO's: http://www.gruppenrichtlinien.de
    NNTP-Bridge für MS-Foren: http://communitybridge.codeplex.com/

    Freitag, 23. Dezember 2016 13:22
  • Hi,
     
    Am 23.12.2016 um 10:08 schrieb Jens Fechter:
    > vielen Dank für die Antwort, der Hinweis auf das Feature hilft mir
    > wirklich weiter.
     
    Freut mich, übrigens bist du der berühmte Tropfen :-D
    Jetzt habe ich den Artikel mal geschrieben, den ich lange Zeit immer
    wieder verschoben habe.
     
    > Allerdings stelle ich mir die Frage, welcher GPO-Abschnitt "besser
    > geeignet" oder einfach "moderner" ist.
     Genaugenommen keiner seit Windows 8.1
    Bis Windows 7 würde ich uneingeschränkt GPP Printer empfehlen und sagen,
    das ist der einzige richtige Weg. Bereitgestellte Drucker waren es nie.
    Dazu habe ich mich schon 06/2006 ausgekotzt. [1]
     
    GPP Printers werden mit jeder neuen OS Version seltsamer im Verhalten,
    aber grundsätzlich sollte es die bessere der beiden Alternativen sein.
     
    Wobei am Ende nichts besser ist als ein Script. Das funktioniert immer.
    Das hast du selber in der Hand und kannst jede Methode aktualisieren und
    anpasssen, wenn das OS es erfordert. [2]
    Du kannst die Sprache frei wählen und die verwenden, die du behrrschst.
     
    Abgesehen von der aktiven Verteilung der Drucker sind Techniken wie
    FollowMe, Secureprint und andere sehr interessant, weil du nur einen
    einzigen General-Drucker verteilst. Der Job landet in der Printqueue und
    wird erst auf abruf beim Drucker selbst gedruckt. Der User läuft dahin
    und gibt seine PIN ein oder seinen RFID Chip davor.
     
    Jetzt kommt der Bequemlichkeits Aufschrei, "iiiieeeh, dann muss ich ja
    dahinlaufen", aber das kannst du mit dem Todschlag Argument
    "Datenschutz" vernichten. Denn erst jetzt wird immer nur das an den
    RICHTIGEN Drucker geschickt und nicht ausversehen an den falsch
    verbundenen, oder alle Mitarbeiterbewertungen an den großen Flurdrucker
    ... 3mal ... bis man merkt: Hoppla, das ist der falsche...
     
    Tschö
    Mark
     
    [1]
     
     --
    Mark Heitbrink - MVP Group Policy - Cloud and Datacenter Management
     
    Homepage:  http://www.gruppenrichtlinien.de - deutsch
     
    Freitag, 23. Dezember 2016 14:16
  • Am 23.12.2016 schrieb Mark Heitbrink [MVP]:

    Freut mich, übrigens bist du der berühmte Tropfen :-D
    Jetzt habe ich den Artikel mal geschrieben, den ich lange Zeit immer
    wieder verschoben habe.

    Wie jetzt?! Das Gespräch beim Bier war nicht ausreichend? :D

    Bye
    Norbert


    Dilbert's words of wisdom #04:
    There are very few personal problems that cannot be solved by a suitable application of high explosives.
    nntp-bridge Zugriff auf die MS Foren wieder möglich: https://communitybridge.codeplex.com/

    Freitag, 23. Dezember 2016 14:23
    Moderator
  • > Ich würde, wenn überhaupt GPP nutzen und NICHT die funktion "über Gruppenrichtlinie bereitstellen".
     
    Full Ack zu allem was gesagt wurde. Drucker per GPO bereitstellen ist insgesamt Grütze, aber wenn es schon sein muß, dann mit den GPP und nicht mit den zugewiesenen Druckern.
     
    Am besten ist immer noch "User selber machen lassen" oder ein gescheites Skript (so machen wir's).
     
    Freitag, 23. Dezember 2016 15:32
    Beantworter
  • Hallo,

    wäre es möglich, ein Beispielskript zu bekommen bzw. hier zu veröffentlichen?

    Gruß

    JF

    Dienstag, 27. Dezember 2016 09:14
  • Nochmals vielen Dank für die konstruktiven Antworten und deinen Artikel.

    Welche Art von Tropfen meintest du denn?
    Der Tropfen, der das Fass zum Überlaufen bringt, oder der Tropfen auf den heißen Stein? ;-) *scherz*

    Hier mein bescheidener kleiner Versuch der Zusammenstellung der Antworten, nur um sicher zu sein:

    Erfolgt die Bereitstellung der Drucker über den Druckserver mit Rechtsklick / "Mit Gruppenrichtlinie bereitstellen", entsteht ein GPO mit Eintragungen im Abschnitt
    Benutzerkonfig / Richtlinien / Windows-Einstellungen / Druckerverbindungen. -> "Bereitgestellte Drucker"
    Hier wird die Druckerverwaltungskonsole bzw. das Feature (Rollenverwaltungstool) benötigt.

    Benutzerkonfiguration / Einstellungen / Systemsteuerungseinstellungen / Drucker -> "GPP (Permissions)"

    Manuelle Installation vor GPP, aber GPP besser als "Bereitgestellte Drucker".

    OK?

    Dienstag, 27. Dezember 2016 09:24
  • Am 27.12.2016 schrieb Jens Fechter:

    Hier mein bescheidener kleiner Versuch der Zusammenstellung der Antworten, nur um sicher zu sein:

    Erfolgt die Bereitstellung der Drucker über den Druckserver mit Rechtsklick / "Mit Gruppenrichtlinie bereitstellen", entsteht ein GPO mit Eintragungen im Abschnitt
    Benutzerkonfig / Richtlinien / Windows-Einstellungen / Druckerverbindungen. -> "Bereitgestellte Drucker"
    Hier wird die Druckerverwaltungskonsole bzw. das Feature (Rollenverwaltungstool) benötigt.

    Benutzerkonfiguration / Einstellungen / Systemsteuerungseinstellungen / Drucker -> "GPP (Permissions)"

    Manuelle Installation vor GPP, aber GPP besser als "Bereitgestellte Drucker".

    Script, GPP. Bereitgestellte Drucker verbannst Du am besten aus deinem
    Kopf.

    Weiter würde ich mit einerm DHCP-Reservierung bei den Druckern
    arbeiten, alternativ einen A-Record im DNS anlegen. Dann kannst Du die
    Drucker auch mit der Inventarnummer ansprechen. Das ziehst Du durch,
    schon haben die User auch was davon.

    Hier findest Du auch Beispiele für Druckerzuweisungen per Script:
    http://www.gruppenrichtlinien.de/artikel/anmelde-skript-druckerzuweisung-per-computername/
    http://www.gruppenrichtlinien.de/artikel/drucker-per-script-zuweisen/
    http://www.gruppenrichtlinien.de/artikel/anmelde-skript-benutzer-gruppenabfrage-zuweisung-drucker/

    Servus
    Winfried


    WSUS Package Publisher: http://wsuspackagepublisher.codeplex.com/
    HowTos für WSUS/WPP: http://www.wsus.de/wpp
    GPO's: http://www.gruppenrichtlinien.de
    NNTP-Bridge für MS-Foren: http://communitybridge.codeplex.com/

    Dienstag, 27. Dezember 2016 09:55
  • > wäre es möglich, ein Beispielskript zu bekommen bzw. hier zu veröffentlichen?
     
    Mark hat ja schon ein paar verlinkt. Ich kann Dir unseres leider nicht geben - dazu bräuchtest Du noch ne Schemaerweiterung mit eigenen AD-Attributen :-)
     
    Dienstag, 27. Dezember 2016 11:35
    Beantworter
  • Am 27.12.2016 um 10:24 schrieb Jens Fechter:
    > Manuelle Installation vor GPP, aber GPP besser als "Bereitgestellte
    > Drucker".
     
    und vor GPP eigentlich ein Script.
    Am Ende dreht sich alles um die Frage: Woran kannst du es festmachen,
    daß ein Benutzer einen Drucker bekommt?
     
    an der IP bei Anmeldung? Aufgrund seiner OU? Aufgrund eines
    Abteilungseintrags als AD Attribut?
     
    Das lässt sich alles im Script abfragen und dann per rundll in der Batch
    oder VB oder PoSH (add-printer) verbinden.
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Group Policy - Cloud and Datacenter Management
     
    Homepage:  http://www.gruppenrichtlinien.de - deutsch
     
    Dienstag, 27. Dezember 2016 16:23