none
Druckerinstallation, Script bei Benutzern administrativ ausführen Windows Server 2008 R2 und Windows 7 Client. RRS feed

  • Allgemeine Diskussion

  • Hallo zusammen folgende Problematik,

    ich habe ein Skript, das Drucker bei Benutzern installieren soll, wenn sie sich Remote auf den Server verbinden. Da diese aber keine administrativen Rechte haben, funktioniert das Script logischerweise auch nicht. In der Druckerverwaltung kann man einstellen das die Benutzer das Recht haben Drucker zu verwalten. Mit diese Einstellung funktioniert alles einwandfrei. Soll aber so nicht sein. Ausführen mit höchsten Privilegien geht auch nicht, da administrativ Ports angelegt werden müssen. Es muss noch ein anderen Weg geben außer die GPO´s oder Aufgabenplanung. Tools soll ich vermeiden. Habe ein Ansatz mit RunAs probiert, aber dann installiert ja der Administrator die Drucker, das soll so nicht sein. Der Benutzer selbst soll das Script starten und ausführen können oder es soll in der Aufgabenplanung bei Benutzeranmeldung ausgeführt werden und funktionieren ohne das die Benutzerkontensteuerung sich einschaltet (UAC soll aktiviert bleiben). Überlege ob ich nicht in den Script Eigenschaften bei Berechtigungen und Sicherheiten was machen kann, oder dass das Script mit Admin Rechten ausgeführt wird. Habt ihr Ideen ?








    Donnerstag, 17. März 2016 13:27

Alle Antworten

  • Hallo,

    sind alle Benutzer in der Domäne? 

    Eigentlich die Benutzer sollten keine Scripts ausführen.

    Posten Sie am besten den Script und es wäre nicht schlecht uns mitzuteilen, warum Sie das genau so erreichen wollen?

    Gruß,

    Teodora


    Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.

    Freitag, 18. März 2016 06:06
    Moderator
  • Am 17.03.2016 schrieb black_raziel:

    ich habe ein Skript, das Drucker bei Benutzern installieren soll, wenn sie sich Remote auf den Server verbinden.

    Ist das ein Remote Desktop Server? Ehemals Terminal Server oder ist
    das ein normaler Server?

    Da diese aber keine administrativen Rechte haben, funktioniert das Script logischerweise auch nicht.

    Hmm, eigentlich funktioniert ein Script zum installieren von
    freigegebenen Netzwerkdruckern auch wenn es von Benutzern ausgeführt
    wird. Früher hat es ja auch so funktioniert, weshalb also heute nicht
    mehr?

    Tools soll ich vermeiden.

    Wer sagt Du sollst Tools vermeiden? Wie willst Du es ohne Tools
    hinkriegen? GPOs bzw. GPPs sind das richtige Werkzeug.

    Der Benutzer selbst soll das Script starten und ausführen 
    können oder es soll in der Aufgabenplanung bei Benutzeranmeldung ausgeführt werden und funktionieren ohne das die Benutzerkontensteuerung sich einschaltet (UAC soll aktiviert bleiben).

    Normalerweise kann das ein Benutzer auch ausführen. Zeig uns doch mal
    dein Script und schreibe etwas mehr zum Server und den Druckern.

    Servus
    Winfried


    WSUS Package Publisher: http://wsuspackagepublisher.codeplex.com/
    HowTos für WSUS/WPP: http://www.wsus.de/wpp
    GPO's: http://www.gruppenrichtlinien.de
    NNTP-Bridge für MS-Foren: http://communitybridge.codeplex.com/

    Freitag, 18. März 2016 16:42
  • Guten Morgen,

    vielen Dank für euer Interesse. Also der Server ist ein DC mit RemoteDesktopdiensten.
    Und ja alle Benutzer sind in der Domäne.

    Habe in den GPO´s die schöne Option Point and Print Einschränkung gefunden. Mit der es aber leider nicht funktioniert.

    Der Benutzer meldet sich Remote auf dem Server an, sobald er das Script ausführt: Zugriff Verweigert :(
    Beim Admin funktioniert es einwandfrei. Habe es schon mit der Point and Print Richtlinie versucht und mit der Aufgabenplanung, beim anmelden eines bestimmten Benutzers das Script mit erhöhten Privilegien ausführen.
    Leider auch kein erfolg. Zu den Drucker: die exestieren nicht, also sind sie auch nicht freigegeben, aber beim admin bekomme ich die Drucker ja auch problemlos installiert obwohl die Drucker nicht exestieren. Das Script:

    REM if "%Username%"=="administrator" goto :User1
    if "%Username%"=="user1" goto :User1
    if "%Username%"=="user2" goto :User2
    if "%Username%"=="user3" goto :User3
    pause
    GOTO ENDE
    :user1
    cscript prnport.vbs -a -s "TESTSERVER" -r "IP_192.168.99.215" -h "192.168.99.215" -o raw -n 9100
    cscript prnmngr.vbs -a -p "User1_Laser" -m "HP 915" -r "IP_192.168.99.215"
    rundll32 printui.dll,PrintUIEntry /Sr /n "User1_Laser" /a "Laser.dat" d g r
    cscript prnmngr.vbs -a -p "User1_drucker" -m "HP 915" -r "IP_192.168.99.215"
    rundll32 printui.dll,PrintUIEntry /Sr /n "User1_drucker" /a "drucker.dat" d g r
    rundll32 printui.dll,PrintUIEntry /y /n "User1_drucker"
    GOTO ENDE
    :user2
    cscript prnport.vbs -a -s "TESTSERVER" -r "IP_192.168.99.216" -h "192.168.99.216" -o raw -n 9100
    cscript prnmngr.vbs -a -p "User2_Laser" -m "HP 915" -r "IP_192.168.99.216"
    rundll32 printui.dll,PrintUIEntry /Sr /n "User2_Laser" /a "Laser.dat" d g r
    cscript prnmngr.vbs -a -p "User2_drucker" -m "HP 915" -r "IP_192.168.99.216"
    rundll32 printui.dll,PrintUIEntry /Sr /n "User2_drucker" /a "drucker.dat" d g r
    rundll32 printui.dll,PrintUIEntry /y /n "User2_drucker"
    GOTO ENDE
    :user3
    cscript prnport.vbs -a -s "TESTSERVER" -r "IP_192.168.99.217" -h "192.168.99.217" -o raw -n 9100
    cscript prnmngr.vbs -a -p "User3_Laser" -m "HP 915" -r "IP_192.168.99.217"
    rundll32 printui.dll,PrintUIEntry /Sr /n "User3_Laser" /a "Laser.dat" d g r
    cscript prnmngr.vbs -a -p "User3_drucker" -m "HP 915" -r "IP_192.168.99.217"
    rundll32 printui.dll,PrintUIEntry /Sr /n "User3_drucker" /a "drucker.dat" d g r
    rundll32 printui.dll,PrintUIEntry /y /n "User3_drucker"
    GOTO ENDE

    :ende
    Exit

    Der User soll dies installieren dürfen wenn er remote auf dem Server ist. Hatte es über die Druckerverwaltung hinbekommen. Ein Häkchen bei Drucker Verwalten und Druckserver verwalten und es funktioniert reibungslos.

    Jedoch soll der Benutzer nicht das Recht haben die Drucker zu Verwalten sondern nur den Drucker zu installieren oder zu entfernen der im Script steht. bzw die die er selbst installiert hat.

    hmm...

    Samstag, 19. März 2016 09:37
  • Am 19.03.2016 schrieb black_raziel:

    vielen Dank für euer Interesse. Also der Server ist ein DC mit RemoteDesktopdiensten.

    Schlechte Kombination. Besser wäre es die Rolle Remotedesktopdienste
    auf einen eigenen Server auszulagern. Ist der Server ein VM? Wenn ja,
    welcher Server ist der Host? Ein W2012R2 mit Hyper-V Dienst?

    Und ja alle Benutzer sind in der Domäne.

    Gut.

    Habe in den GPO´s die schöne Option Point and Print Einschränkung gefunden. Mit der es aber leider nicht funktioniert.

    Du hast Point and Print auf Computerebene konfiguriert?

    Leider auch kein erfolg. Zu den Drucker: die exestieren nicht, also sind sie 
    auch nicht freigegeben, aber beim admin bekomme ich die Drucker ja auch problemlos installiert obwohl die Drucker nicht exestieren. Das Script:

    Was spricht gegen das Freigeben der Drucker? Dann brauchst Du auch
    nicht Verwalten einstellen. Freigegebene Drucker kannst Du auch im AD
    anzeigen lassen, dann über die Group Policy Preferences und der
    Zielgruppenadressierung den Benutzern zur Verfügung stellen.

    Hier noch zeit Links zu Artikel die den Remotedesktopserver und den
    Loopbackmodus betreffen.
    http://www.gruppenrichtlinien.de/artikel/remote-desktop-server-terminal-server/
    http://www.gruppenrichtlinien.de/artikel/loopbackverarbeitungsmodus-loopback-processing-mode/

    Der User soll dies installieren dürfen wenn er remote auf dem Server ist. Hatte es über die Druckerverwaltung hinbekommen. Ein Häkchen bei Drucker Verwalten und Druckserver verwalten und es funktioniert reibungslos.

    Jedoch soll der Benutzer nicht das Recht haben die Drucker zu Verwalten sondern nur den Drucker zu installieren oder zu entfernen der im Script steht. bzw die die er selbst installiert hat.

    Gib die Drucker frei, dann funktioniert alles ganz wunderbar.

    Servus
    Winfried


    WSUS Package Publisher: http://wsuspackagepublisher.codeplex.com/
    HowTos zum WSUS Package Publisher http://www.wsus.de/wpp
    GPO's: http://www.gruppenrichtlinien.de
    NNTP-Bridge für MS-Foren: http://communitybridge.codeplex.com/

    Samstag, 19. März 2016 10:10
  • Der Server steht in der Firma in der Werkstatt und ist in einer Testumgebung mit einem Client. Ich soll nur diesen einen Server benutzen. Also kann ich nicht auslagern auf andere Server. Point and Print ist auf Computerebene konfiguriert, vorsichtshalber habe ich es auch noch mal in der Benutzerkonfiguration aktiviert, aber es funzt nicht :( Werde es gleich mal zuhause ausprobieren. Melde mich dann nochmal und vielen Dank schonmal für die zügige Antwort :)





    Samstag, 19. März 2016 10:19
  • Was mich stutzig macht mit dem Freigeben der Drucker ist, dann muss ich ja als admin zuerst die Drucker installieren. Und wenn ich die dann freigebe, kann der User ihn dann auch problemlos mit dem Scipt für sich selbst installieren ?? es ist wichtig das ich es über das Script hinbekomme.
    Samstag, 19. März 2016 10:35
  • Am 19.03.2016 schrieb black_raziel:

    Was mich stutzig macht mit dem Freigeben der Drucker ist, dann muss ich ja als admin zuerst die Drucker installieren. Und wenn ich die dann freigebe, kann der User ihn dann auch problemlos mit dem Scipt für sich selbst installieren ?? es ist wichtig das ich es über das Script hinbekomme.

    Ja, natürlich muss der Admin zuerst die Drucker installieren, dann
    freigeben, erst jetzt kann sie der Benutzer über das Script zugewiesen
    bekommen.

    Servus
    Winfried


    WSUS Package Publisher: http://wsuspackagepublisher.codeplex.com/
    HowTos zum WSUS Package Publisher http://www.wsus.de/wpp
    GPO's: http://www.gruppenrichtlinien.de
    NNTP-Bridge für MS-Foren: http://communitybridge.codeplex.com/

    Samstag, 19. März 2016 11:24
  • ist das Script denn so richtig, wenn der Benutzer es ausführt ?? Weil wenn der Drucker vom Administrator installiert wird, hat der Drucker doch schon einen Druckerport und eine Ip.

    Wenn ich den jetzt freigebe, muss der Benutzer sich den Drucker doch einfach nur noch ziehen.

    Das hat nix damit zu tun, dass der Benutzer selbst einen Port anlegen kann.

    In dem Script soll der Benutzer für sich selbst einen Port mit IP erstellen. Deswegen funktioniert es auch nicht wenn ich den Drucker freigebe.

    Samstag, 19. März 2016 14:44
  • den freigegebenen Drucker kann ich ohne Probleme hinzufügen. wollte grad mal n Screen hochladen, aber bin wohl noch zu frisch dafür :P Es geht mir darum die bat Datei beim User auszuführen ohne das Fehlermeldungen auftauchen. Bin mit meinem Latein am ende :( ...Stocher mal in der Firewall rum...
    Samstag, 19. März 2016 18:07
  • Am 19.03.2016 schrieb black_raziel:

    ist das Script denn so richtig, wenn der Benutzer es ausführt ?? Weil wenn der Drucker vom Administrator installiert wird, hat der Drucker doch schon einen Druckerport und eine Ip.

    Jepp, das passt schon so.

    Wenn ich den jetzt freigebe, muss der Benutzer sich den Drucker doch einfach nur noch ziehen.

    Genau, das ist doch auch der Sinn und Zweck der Aktion.

    Das hat nix damit zu tun, dass der Benutzer selbst einen Port anlegen kann.

    Kann er nicht, er hat keine Berechtigungen dafür.

    In dem Script soll der Benutzer für sich selbst einen Port mit IP erstellen. 
    Deswegen funktioniert es auch nicht wenn ich den Drucker freigebe.

    Der Benutzer hat keine Rechte einen Port anzulegen.
    Warum benutzt Du nicht endlich die Group Policy Preferences?

    Servus
    Winfried


    WSUS Package Publisher: http://wsuspackagepublisher.codeplex.com/
    HowTos zum WSUS Package Publisher http://www.wsus.de/wpp
    GPO's: http://www.gruppenrichtlinien.de
    NNTP-Bridge für MS-Foren: http://communitybridge.codeplex.com/

    Samstag, 19. März 2016 18:27
  • Am 19.03.2016 schrieb black_raziel:

    den freigegebenen Drucker kann ich ohne Probleme hinzufügen.

    Und genau so macht man das auch, nicht anders.

    wollte grad mal n Screen hochladen, aber bin wohl noch zu frisch dafür :P

    In diesem Thread kannst Du dein Konto verifizieren lassen:
    https://social.technet.microsoft.com/Forums/en-US/910ceecf-e32a-41d3-9b6b-5a9a1ec6c59d/verify-your-account-33?forum=reportabug

    Ansonsten kann man auch Bilder bei einem Hoster uploaden und den Link
    hier posten. Und wenn Du ganz gut bist, kriegst Du den Link hier auch
    gepostet. Kreativität beweisen! ;)

    Es geht mir darum die bat Datei beim User auszuführen ohne das Fehlermeldungen auftauchen. Bin mit meinem Latein am ende :( ...Stocher mal in der Firewall rum...

    Die Firewall hat damit überhaupt nichts zu tun. Der Drucker muss schon
    installiert und freigegeben sein, dann funktioniert das mit dem
    Script. Und ja, so macht man das in der IT.

    Servus
    Winfried


    WSUS Package Publisher: http://wsuspackagepublisher.codeplex.com/
    HowTos zum WSUS Package Publisher http://www.wsus.de/wpp
    GPO's: http://www.gruppenrichtlinien.de
    NNTP-Bridge für MS-Foren: http://communitybridge.codeplex.com/

    Samstag, 19. März 2016 18:32
  • habe mich verifiziert in dem Thread. Vielen Dank für die Info !

    der Drucker ist vom Admin installiert und freigegeben, über Geräte und Drucker kann ich ihn auch bei dem Benutzer hinzufügen.

    Aber ich möchte das es mit dem Script funktioniert... folgende Fehlermeldung wenn ich das Script beim Benutzer ausführe:
    (Benutzer ist remote auf dem Server mit seinem Benutzerkonto angemeldet)

    Verbindung mit dem WMI-Dienst konnte nicht hergestellt werden. Fehler 0x80070005 Zugriff verweigert.

    Drucker konnte nicht hinzugefügt werden. User1_Laser Fehler 0x80041001 Allgemeiner Fehler
    Vorgang PutInstance
    Anbieter Win32 Provider
    Beschreibung Der angegeben Anschluss ist unbekannt
    Win32-Fehlercode 1796

    Deswegen dachte ich mir, ich schau mal in der Firewall und WMI Einstellungen nach.

    ICH: "In dem Script soll der Benutzer für sich selbst einen Port mit IP erstellen. 
    Deswegen funktioniert es auch nicht wenn ich den Drucker freigebe."

    DU: "Der Benutzer hat keine Rechte einen Port anzulegen.
    Warum benutzt Du nicht endlich die Group Policy Preferences?"

    Wieso sagst du dann das Script ist so ok ?? ^^

    im Script soll der Benutzer sich ein Port anlegen. Gibt es da eine Möglichkeit das zu umgehen, so das er das darf ?  Oder so das es für ihn, auf seinem Konto administrativ ausgeführt wird.

    Meinst du mit Group Policy Preferences die Einstellung in den Gruppenrichtlinien für Point and Print Einschränkung ?

    Wenn ja, ist aktiviert.

    Oder meinst du den Drucker per GPO direkt verweisen? Weil das soll ich vermeiden.

    PS. Mein Chef sagt ich soll eine Lösung finden, dieses Script (oben zu finden) mit dem Benutzer auszuführen, wenn der Benutzer sich remote auf dem Server befindet oder es für den Benutzer ausführen zulassen, wenn er sich remote auf dem Server befindet und der Drucker dann wie im Script steht dem Benutzer zugewiesen ist.

    :user1
    cscript prnport.vbs -a -s "TESTSERVER" -r "IP_192.168.99.215" -h "192.168.99.215" -o raw -n 9100
    cscript prnmngr.vbs -a -p "User1_Laser" -m "HP 915" -r "IP_192.168.99.215"
    rundll32 printui.dll,PrintUIEntry /Sr /n "User1_Laser" /a "Laser.dat" d g r
    cscript prnmngr.vbs -a -p "User1_drucker" -m "HP 915" -r "IP_192.168.99.215"
    rundll32 printui.dll,PrintUIEntry /Sr /n "User1_drucker" /a "drucker.dat" d g r
    rundll32 printui.dll,PrintUIEntry /y /n "User1_drucker"

    Kniffelig :/ Ich weis das es im Reallife anders und einfacher gemacht wird. Aber ich soll diese Aufgabe lösen und weiß nicht mehr weiter :(
















    Samstag, 19. März 2016 20:09
  • Am 19.03.2016 schrieb black_raziel:

    der Drucker ist vom Admin installiert und freigegeben, über Geräte und Drucker kann ich ihn auch bei dem Benutzer hinzufügen.

    Gut.

    Aber ich möchte das es mit dem Script funktioniert... folgende Fehlermeldung wenn ich das Script beim Benutzer ausführe:
    (Benutzer ist remote auf dem Server mit seinem Benutzerkonto angemeldet)

    Verbindung mit dem WMI-Dienst konnte nicht hergestellt werden. Fehler 0x80070005 Zugriff verweigert.

    Drucker konnte nicht hinzugefügt werden. User1_Laser Fehler 0x80041001 Allgemeiner Fehler
    Vorgang PutInstance
    Anbieter Win32 Provider
    Beschreibung Der angegeben Anschluss ist unbekannt
    Win32-Fehlercode 1796

    Deswegen dachte ich mir, ich schau mal in der Firewall und WMI Einstellungen nach.

    Es funktioniert nicht, weil dem Benutzer die Berechtigungen fehlen.

    Wieso sagst du dann das Script ist so ok ?? ^^

    Ich hab das Script überflogen.

    im Script soll der Benutzer sich ein Port anlegen. Gibt es da eine Möglichkeit das zu umgehen, so das er das darf ?  Oder so das es für ihn, auf seinem Konto 
    administrativ ausgeführt wird.

    Wieso soll er das tun?

    Meinst du mit Group Policy Preferences die Einstellung in den Gruppenrichtlinien für Point and Print Einschränkung ?

    Wenn ja, ist aktiviert.

    Oder meinst du den Drucker per GPO direkt verweisen? Weil das soll ich vermeiden.

    Wer verlangt das von dir? Bist Du noch in der Ausbildung oder ist das
    eine Umschulung?

    Group Policy Preferences solltest Du benutzen. Dort kannst Du
    Benutzern Drucker zuweisen.

    PS. Mein Chef sagt ich soll eine Lösung finden, dieses Script (oben zu finden) 
    mit dem Benutzer auszuführen, wenn der Benutzer sich remote auf dem Server befindet oder es für den Benutzer ausführen zulassen, wenn er sich remote auf dem Server befindet und der Drucker dann wie im Script steht dem Benutzer zugewiesen ist.

    Sowas macht man heute einfach nicht mehr, sag das deinem Chef.

    Kniffelig :/ Ich weis das es im Reallife anders und einfacher gemacht wird. Aber ich soll diese Aufgabe lösen und weiß nicht mehr weiter :(

    Du hast jetzt schon ein paar Mal die gleiche Antwort bekommen. Wenn es
    dein Chef nicht glaubt, dann lass es ihn doch machen.

    Servus
    Winfried


    WSUS Package Publisher: http://wsuspackagepublisher.codeplex.com/
    HowTos zum WSUS Package Publisher http://www.wsus.de/wpp
    GPO's: http://www.gruppenrichtlinien.de
    NNTP-Bridge für MS-Foren: http://communitybridge.codeplex.com/

    Samstag, 19. März 2016 21:21
  • wird wohl darauf hinauslaufen, dass ich es mir von ihm zeigen lassen muss...
    Er ist schon ca. 30 Jahre in der Branche und verlangt viel..

    Werde es ihm unter die Nase reiben. Ich bin auch bei dieser Herangehensweise abgeneigt, weil ich weiß das es einfacher geht. Aber nun ja "So will er es halt" ^^

    Aufjedenfall danke für deine Ratschläge und Mühe :)

    Versuche gleich mal noch ein paar Kleinigkeiten auszuprobieren, wenns funktioniert sag ich bescheid :)

    Samstag, 19. März 2016 22:51
  • Hallo black_raziel,

    ist die Thematik noch aktuell?

    Gruß

    Michaela


    Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.

    Dienstag, 29. März 2016 09:28
    Moderator