none
Utente Administrator RRS feed

  • Discussione generale

  • Salve a tutti vi pongo una domanda su un mio dubbio per soddisfare una mia curiosità.

    Ho il seguente ambiente:

    Windows 2008 R2 Terminal server al quale si collegano "N" terminali. Ora mi è capitato per la seconda volta che ad una stampante si bloccano le stampe in coda per un qualsiasi motivo. Collegandomi con utente "pippo" membro del gruppo Domain Adminis (membro del gruppo Administrators) non riesco a cancellare le code bloccate, se mi collego come Administrator (membro del gruppo Administrators) riesco nell'intento. Considerando che nella stampante è presente il gruppo Adminisrators al quale è consentito tutto, perchè con l'utente Pippo noto queste differenze?

    Grazie

    • Tipo modificato Anca Popa venerdì 16 novembre 2012 11:34 nessun feedback
    giovedì 8 novembre 2012 12:10

Tutte le risposte

  • Ciao, perchè probabilmente hai le permission sulla stampante non corrette o solo per gli administrator e non i domain admins. Ricorda che le negazioni hanno precedenza sulle asserzioni. Quindi sono sicuro che se alla lista del printer management aggiungi l'utente pippo e gli dai il full management nelle security della stampante anche lui toglie le code...in ogni caso capita che non si tolgano anche se sei admin, dipende da cosa sta facendo lo spooler.

    In quel caso

    - stoppi il servizio spooler di stampa

    - vai in windows\system32\spool\printers 

    - cancelli tutto quello che ci sta dentro

    -riavvi lo spooler di stampa

    code libere :-)

    Ciao!

    A.

    giovedì 8 novembre 2012 12:59
    Moderatore
  • Ciao, perchè probabilmente hai le permission sulla stampante non corrette o solo per gli administrator e non i domain admins. Ricorda che le negazioni hanno precedenza sulle asserzioni. Quindi sono sicuro che se alla lista del printer management aggiungi l'utente pippo e gli dai il full management nelle security della stampante anche lui toglie le code...in ogni caso capita che non si tolgano anche se sei admin, dipende da cosa sta facendo lo spooler.

    In quel caso

    - stoppi il servizio spooler di stampa

    - vai in windows\system32\spool\printers 

    - cancelli tutto quello che ci sta dentro

    -riavvi lo spooler di stampa

    code libere :-)

    Ciao!

    A.

    Intanto ti ringrazio per la la veloce risposta.

    Come avevo già scritto nelle permission della stampante non è presente il gruppo Domain Admins, ma è presente il gruppo Administrators del quale fa parte anche il gruppo Domain Admins, ed è questa secondo me l'anomalia. Ovviamente se aggiungo l'utente Pippo alle permission e gli assegno il full control  il problema non si presenta. Poi per il servizio spooler conosco il funzionamento, ma la mia domanda era leggermente diversa. Cioè la differenza di comportamento nel'utilizzare l'utente Administrator cge fa parte del gruppo Administrators, piuttosto che dell'utente Pippo che fa parte del gruppo Domain Admins che a sua volta fa parte del gruppo Administrators. Quindi alla fine direttamente o indirettamente enrambi gli utenti Administrators e Pippo fanno parte del gruppo Adminisrators. Spero di essermi spiegato più chiarmanente.

    Ciao e grazie attendo fiducioso :)

    giovedì 8 novembre 2012 13:44
  • La differenza sta nel fatto che hai creato l'utente pippo (correggimi se sbaglio) da zero dandogli come gruppo domain admins. Fai una semplice prova e duplica invece l'Administrator locale (che poi dovrebbe essere domain admin pure lui) chiamandolo Paperino. Paperino potrà fare tutto quello di Administator, Pippo un po meno semplicemente perchè Administrators è amministratore di macchina, Domain Admins è amministratore di rete, che poi abbia la possibilità di loggarsi su tutte le macchine differisce leggermente dall'administrator eletto a domain admin.

    http://serverfault.com/questions/174200/domain-admins-vs-administrators-in-windows-ad-dc

    :-)

    A.

    giovedì 8 novembre 2012 13:50
    Moderatore
  • Ciao, perchè probabilmente hai le permission sulla stampante non corrette o solo per gli administrator e non i domain admins. Ricorda che le negazioni hanno precedenza sulle asserzioni. Quindi sono sicuro che se alla lista del printer management aggiungi l'utente pippo e gli dai il full management nelle security della stampante anche lui toglie le code...in ogni caso capita che non si tolgano anche se sei admin, dipende da cosa sta facendo lo spooler.

    In quel caso

    - stoppi il servizio spooler di stampa

    - vai in windows\system32\spool\printers 

    - cancelli tutto quello che ci sta dentro

    -riavvi lo spooler di stampa

    code libere :-)

    Ciao!

    A.

    Intanto ti ringrazio per la la veloce risposta.

    Come avevo già scritto nelle permission della stampante non è presente il gruppo Domain Admins, ma è presente il gruppo Administrators del quale fa parte anche il gruppo Domain Admins, ed è questa secondo me l'anomalia. Ovviamente se aggiungo l'utente Pippo alle permission e gli assegno il full control  il problema non si presenta. Poi per il servizio spooler conosco il funzionamento, ma la mia domanda era leggermente diversa. Cioè la differenza di comportamento nel'utilizzare l'utente Administrator cge fa parte del gruppo Administrators, piuttosto che dell'utente Pippo che fa parte del gruppo Domain Admins che a sua volta fa parte del gruppo Administrators. Quindi alla fine direttamente o indirettamente enrambi gli utenti Administrators e Pippo fanno parte del gruppo Adminisrators. Spero di essermi spiegato più chiarmanente.

    Ciao e grazie attendo fiducioso :)


    perchè probabilmente l'account Administor ha degli user rights che il gruppo Administrators non ha.

    Edoardo Benussi
    Microsoft MVP
    edo[at]mvps[dot]org

    giovedì 8 novembre 2012 14:44
    Moderatore
  • Ciao Edoardo, se intendi quello riportato nell'allegato è il medesimo per l'utente Pippo (appartenente al gruppo Dominio\DomainAdmins) rispetto all'utente Administrator (appartenente al gruppo Dominio\Administrators)

    giovedì 8 novembre 2012 15:46
  • no, parlo proprio di user rights nelle domain policies e non i permessi sulla stampante.

    Edoardo Benussi
    Microsoft MVP
    edo[at]mvps[dot]org

    giovedì 8 novembre 2012 16:10
    Moderatore
  • Per verificare ciò che chiede Edoardo devi accedere con l'utente pippo aprire un cmd come administrator e digitare

    whoami /priv >pippo-rights.txt

    stessa cosa con l'amministratore locale

    whoami /priv >amministratore-rights.txt

    nel prossimo post allega i due output.


    Gastone Canali >http://www.armadillo.it

    Se alcuni post rispondono al tuo quesito (non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili . GRAZIE!

    domenica 11 novembre 2012 14:44
    Moderatore
  • Ciao pcyber,

    Abbiamo ancora la tua richiesta aperta nel Forum di Windows Server. 

    Ci sono stati sviluppi a seguito dei consigli ricevuti?

    Grazie in anticipo di qualsiasi feedback,


    Anca Popa Follow ForumTechNetIt on Twitter

    Microsoft offre questo servizio gratuitamente, per aiutare gli utenti e aumentare il database dei prodotti e delle tecnologie. Il contenuto viene fornito “così come è” e non comporta alcuna responsabilità da parte dell'azienda. 

    mercoledì 14 novembre 2012 12:54
  • Scusate ma sono fuori e per il momento non riesco a fare il controllo. A breve ci provo. Vi ringrazio intanto, appena posso vi darò delle news
    venerdì 16 novembre 2012 11:49
  • Eccomi finalmente scusate il ritardo e grazie per la pazienza:

    Utente Administrator:

    INFORMAZIONI PRIVILEGI
    ----------------------

    Nome privilegio                 Descrizione                                                          Stato      
    =============================== ==================================================================== ============
    SeIncreaseQuotaPrivilege        Regolazione limite risorse memoria per un processo                   Disabilitato
    SeMachineAccountPrivilege       Aggiunta di workstation al dominio                                   Disabilitato
    SeSecurityPrivilege             Gestione file registro di controllo e di protezione                  Disabilitato
    SeTakeOwnershipPrivilege        Acquisizione propriet… di file o di altri oggetti                    Disabilitato
    SeLoadDriverPrivilege           Caricamento/rimozione di driver di dispositivo                       Disabilitato
    SeSystemProfilePrivilege        Creazione di profilo delle prestazioni del sistema                   Disabilitato
    SeSystemtimePrivilege           Modifica dell'orario di sistema                                      Disabilitato
    SeProfileSingleProcessPrivilege Creazione di profilo del singolo processo                            Disabilitato
    SeIncreaseBasePriorityPrivilege Aumento della priorit… di pianificazione                             Disabilitato
    SeCreatePagefilePrivilege       Creazione di file di paging                                          Disabilitato
    SeBackupPrivilege               Backup di file e directory                                           Disabilitato
    SeRestorePrivilege              Ripristino di file e directory                                       Disabilitato
    SeShutdownPrivilege             Arresto del sistema                                                  Disabilitato
    SeDebugPrivilege                Debug di programmi                                                   Disabilitato
    SeSystemEnvironmentPrivilege    Modifica dei valori di ambiente firmware                             Disabilitato
    SeChangeNotifyPrivilege         Ignorare controllo incrociato                                        Abilitato  
    SeRemoteShutdownPrivilege       Arresto forzato da un sistema remoto                                 Disabilitato
    SeUndockPrivilege               Rimozione del computer dall'alloggiamento                            Disabilitato
    SeEnableDelegationPrivilege     Impostazione account computer ed utente a tipo trusted per la delega Disabilitato
    SeManageVolumePrivilege         Esecuzione attivit… di manutenzione volume                           Disabilitato
    SeImpersonatePrivilege          Rappresenta un client dopo l'autenticazione                          Abilitato  
    SeCreateGlobalPrivilege         Creazione oggetti globali                                            Abilitato  
    SeIncreaseWorkingSetPrivilege   Aumento di un working set di processo                                Disabilitato
    SeTimeZonePrivilege             Modifica del fuso orario                                             Disabilitato
    SeCreateSymbolicLinkPrivilege   Creazione di collegamenti simbolici                                  Disabilitato

    Utente Pippo che fa parte del gruppo Administrator:

    INFORMAZIONI PRIVILEGI
    ----------------------

    Nome privilegio                 Descrizione                                                          Stato      
    =============================== ==================================================================== ============
    SeIncreaseQuotaPrivilege        Regolazione limite risorse memoria per un processo                   Disabilitato
    SeMachineAccountPrivilege       Aggiunta di workstation al dominio                                   Disabilitato
    SeSecurityPrivilege             Gestione file registro di controllo e di protezione                  Disabilitato
    SeTakeOwnershipPrivilege        Acquisizione propriet… di file o di altri oggetti                    Disabilitato
    SeLoadDriverPrivilege           Caricamento/rimozione di driver di dispositivo                       Disabilitato
    SeSystemProfilePrivilege        Creazione di profilo delle prestazioni del sistema                   Disabilitato
    SeSystemtimePrivilege           Modifica dell'orario di sistema                                      Disabilitato
    SeProfileSingleProcessPrivilege Creazione di profilo del singolo processo                            Disabilitato
    SeIncreaseBasePriorityPrivilege Aumento della priorit… di pianificazione                             Disabilitato
    SeCreatePagefilePrivilege       Creazione di file di paging                                          Disabilitato
    SeBackupPrivilege               Backup di file e directory                                           Disabilitato
    SeRestorePrivilege              Ripristino di file e directory                                       Disabilitato
    SeShutdownPrivilege             Arresto del sistema                                                  Disabilitato
    SeDebugPrivilege                Debug di programmi                                                   Disabilitato
    SeSystemEnvironmentPrivilege    Modifica dei valori di ambiente firmware                             Disabilitato
    SeChangeNotifyPrivilege         Ignorare controllo incrociato                                        Abilitato  
    SeRemoteShutdownPrivilege       Arresto forzato da un sistema remoto                                 Disabilitato
    SeUndockPrivilege               Rimozione del computer dall'alloggiamento                            Disabilitato
    SeEnableDelegationPrivilege     Impostazione account computer ed utente a tipo trusted per la delega Disabilitato
    SeManageVolumePrivilege         Esecuzione attivit… di manutenzione volume                           Disabilitato
    SeImpersonatePrivilege          Rappresenta un client dopo l'autenticazione                          Abilitato  
    SeCreateGlobalPrivilege         Creazione oggetti globali                                            Abilitato  
    SeIncreaseWorkingSetPrivilege   Aumento di un working set di processo                                Disabilitato
    SeTimeZonePrivilege             Modifica del fuso orario                                             Disabilitato
    SeCreateSymbolicLinkPrivilege   Creazione di collegamenti simbolici                                  Disabilitato

    Mi sembrano perfettamente uguali.

    martedì 20 novembre 2012 11:40
  • i permessi ntfs sulla cartella spooler li hai già verificati ?

    Edoardo Benussi
    Microsoft MVP
    edo[at]mvps[dot]org

    giovedì 22 novembre 2012 14:24
    Moderatore
  • Intendi la C:\Windows\System32\spool
    giovedì 22 novembre 2012 15:05
  • Privilegi uguali.

    Intendi la C:\Windows\System32\spool

    Si, Edoardo intendeva esattamente quella directory.


    Gastone Canali >http://www.armadillo.it

    Se alcuni post rispondono al tuo quesito (non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili . GRAZIE! Ricorda di dare un occhio anche QUI

    giovedì 22 novembre 2012 22:46
    Moderatore
  • Eccole:

    venerdì 23 novembre 2012 13:27
  • Sembra essere tutto ok....

    Event viewer compare qualche errore ?

    Che tipo di driver usi?


    Gastone Canali >http://www.armadillo.it

    Se alcuni post rispondono al tuo quesito (non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili . GRAZIE! Ricorda di dare un occhio anche QUI

    venerdì 23 novembre 2012 21:01
    Moderatore
  • Nessun errore. Uso Universal Print Driver
    venerdì 30 novembre 2012 16:44
  • Io proverei un cambio driver, es.  da Universal ps a universal pcl o uno non universale ma espressamente progettato per la tua stampante.

    Metterei anche il driver in isolation mode  così provi questa novità introdotta con 2008

    http://blogs.technet.com/b/askperf/archive/2009/10/08/windows-7-windows-server-2008-r2-print-driver-isolation.aspx


    Gastone Canali >http://www.armadillo.it

    Se alcuni post rispondono al tuo quesito (non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili . GRAZIE! Ricorda di dare un occhio anche QUI


    venerdì 30 novembre 2012 22:22
    Moderatore