ComputerBase Menü
Aktuelles

2008 R2 Terminalserver Druckerumleitung

B

BoSprung

Newbie
Registriert
Apr. 2011
Beiträge
5
Hallo zusammen,

ich lese hier schon eine weile mit, jedoch war es nie so nötig wie jetzt sich dann doch zu überwinden sich zu registrieren.

Ich habe ein Problem in einer Umgebung von 2008 R2 Servern.
Relevant sind hierbei der Domaincontroller und der Terminalserver.

Zur Aufgabenstellung:

Ich muss für einige Clients die Druckerumleitung bei der RDP-Verbindung zulassen, für andere jeodch nicht.


Meine versuchten Ansätze:

Ich habe unter den Eigenschaften der "Konfiguration des Remotedesktop-Sitzungshosts" vom RDP-tcp unter Clientanmeldung den haken zum deaktivieren der Windowsdruckerumleitung gesetzt. -> Dies verbietet jedoch die Umleitung für alle User (logisch)

Ich habe per Computerrichtlinie die "Clientdruckerumleitung nicht zulassen" aktiviert, jedoch bewirkt diese Richtlinie auch nur das alle Clients die sich auf den Computer verbinden keinen Drucker umleiten dürfen. Sprich diese Richtlinie nutzt auf dem zu verbietenden Client nichts und bewirkt auf dem Terminalserver das gleiche wie oben genannter Haken.

Ich habe per Benutzerrichtlinie "Nur Standarddrucker umleiten" aktiviert, dies greift zwar für die User welche ich verbieten möchte, jedoch wie der Name schon sagt leitet er immer noch einen Drucker um ^^.


Nun zu meiner Frage:

Welchen Weg sollte ich gehen um für Client A,B,C die Druckerumleitung zu erlauben und für Clients D,E,F und den rest die Druckerumleitung zu verbieten.
Einen Eintrag die Druckerumleitung komplett per Benutzerrichtlinie zu verbieten finde ich leider nicht. (Auch wenn Microsoft auf seiner Technetseite
Zitat: "Diese Richtlinien wirken sich auf alle Clients aus, die eine Verbindung mit dem Terminalserver herstellen. Um die Clientgeräteeinstellungen für einzelne Benutzer zu konfigurieren, verwenden Sie die entsprechende Richtlinie unter Benutzerkonfiguration. "
Wohl eindeutig behauptet das dies möglich sei.


Über einige Tipps oder sogar Lösungen würde ich mich sehr freuen :)

Liebe Grüße
Torben
 
Es sollte doch möglich sein Sicherheitsgruppen von Benutzern/Computern im AD anzulegen und nur auf diese spezifische Gruppenrichtlinien anzuwenden wie sie gewünscht sind oder nicht?
 
Cat Toaster schrieb:
Es sollte doch möglich sein Sicherheitsgruppen von Benutzern/Computern im AD anzulegen und nur auf diese spezifische Gruppenrichtlinien anzuwenden wie sie gewünscht sind oder nicht?
Zum Vergrößern anklicken....
Gruppenrichtlinien wirken auf OUs, nicht auf Gruppen!
 
Gruppenrichtlinien wirken auf OU´s in denen sich der User oder der Client befindet, zur vereinfachung kann man hier Gruppen einsetzen welche dann in der Sicherheitsfilterung leichter ausgewählt werden können. Er schaut dann in der Gruppe welcher User Mitglied ist, wendet die Richtlinie aber nur auf die User an welche sich in der OU befinden auf der die Richtinie liegt... Um es grob zu formulieren...

Hilft mir leider nicht bei meinem Problem, da die eine Richtlinie welche die Umleitung verbietet immer für alle Clients gilt sobald sie auf dem Terminalserver aktiv ist.
Ich suche als Quasi die Richtlinie welche für den einzelnen Benutzer oder Client alle Druckerumleitungen verbietet und nicht auf dem Terminalserver angewendet werden muss.
 
gesagt, getan :)

aber nichts desto Trotz kann ich hier ja den Thread offen lassen und hoffen das ein einsamer Richtlinienexperte hier vorbeikommt und mich rettet :)
 
Schau dir mal auf dieser Seite:

http://www.gruppenrichtlinien.de/index.html?/HowTo/Terminal_Server.htm

die Informationen zum Loopbackverarbeitungsmodus an (ist im Text nochmal verlinkt). Damit sollte möglich sein, was du vorhast.

Generell wäre es dann so, dass auf allen Computern per Richtlinie die Druckerumleitung deaktiviert ist. Meldet sich ein User nun am TS an, sorgt der Loopbackverarbeitungsmodus dafür, dass für eine zu definierende Gruppe abweichende Richtlinien geladen werden, weil der TS durch die Schleife (Loop) nochmal genauer hinsieht ob es für die Gruppe nicht doch andere Richtlinien gibt.

Das ist jetzt aber ohne Gewähr, ich bin nicht so der Richtlinienfreak :D
 
Pana schrieb:
Gruppenrichtlinien wirken auf OUs, nicht auf Gruppen!
Zum Vergrößern anklicken....

Natürlich kann man Gruppen anlegen, für die die Richtlinien angewendet werden/nicht angewendet werden -> Security Filtering! Solltest Du als MCITP eigentlich wissen ;)

@BoSprung
Mußt Du das wirklich für Clients erlauben/unterbinden, oder für User?
 
Zuletzt bearbeitet:
Ich möchte es für einige User verbieten,
aber für clients gäbe ich mich auch zufrieden da an jedem Client nur ein user arbeitet
Ergänzung ()

@daniel_m Danke sehr für die Antwort, aber:

Loopback ist mir ein begriff, jedoch habe ich ja das Problem das du sagst:
"Generell wäre es dann so, dass auf allen Computern per Richtlinie die Druckerumleitung deaktiviert ist. "
Jedoch finde ich genau diese Richtlinie nicht...

Die Richtlinie unter Computerkonfiguration die du wahrscheinlich meinst, würde für den TS gelten und somit alle ankommenden Clients die Druckerumleitung verbieten.
Beim genaueren hinschauen ob es für andere Gruppen andere Richtlinien gibt würde er nichts ändern, da für den TS selbst ja die Richtlinie gleich ist. Der sich connectende Client/User hat ja keine Richtlinie die es ihm erlaubt oder verbietet Drucker um zu leiten.

Oder irre ich dort?
Wir würde die Umsetzung aussehen?
Eine Richtlinie die dem TS verbietet Clientdruckerumleitungen anzunehmen, jedoch wenn der eine client sich zu ihm verbinden will dann soll er sie annehmen? ich wüsste nicht wie ich diese zwei Richtlinien auf einen TS legen kann.
 
Mal ins Unreine gesprochen:
- erstelle ein GPO mit den Einstellungen, daß die Druckerumleitung erlaubt ist (User Einstellung), und linke es auf die OU, in der sich der TS befindet.
- aktiviere den Loopback Modus
- Erstelle eine Security Group mit den erlaubten Usern
- Konfiguriere die Sicherheitseinstellungen des GPO, daß nur diese Gruppe die Policy anwenden darf
- loopbackmode: replace
- Erstelle ein weiteres GPO entsprechen für User, die das nicht dürfen und stelle sie in der Bearbeitungsreinfolge vor obige.
 
@FBrenner
Danke sehr :) die Anleitung klingt plausiebel.
Ich finde nur leider keine (User) einstellung inder GPO die das Umleiten erlaubt /nicht erlaubt um diese dann per loopback anzuwenden..
Ich finde nur die für den standard oder alle drucker...

hast du diesbezüglich einen Tipp?
 
FBrenner schrieb:
Natürlich kann man Gruppen anlegen, für die die Richtlinien angewendet werden/nicht angewendet werden -> Security Filtering! Solltest Du als MCITP eigentlich wissen ;)
Zum Vergrößern anklicken....
Das ändert aber nichts an meiner Aussage ...

@ TS: Was ist eigentlich das Unterscheidungsmerkmal der Clients?
 
Naja, eigentlich schon. Sie werden auf OUs *verlinkt* und finden dann für die Objekte darin Anwendung (oder auch nicht). Wenn Du sagst, sie werden nicht für Gruppen-, sondern nur für User und Computerobjekte angewendet, gebe ich Dir recht. ;)

Ist aber auch egal, wie man Deine Aussage sieht. Es hörte sich so an, als wäre das Vorhaben des TO nicht durchführbar (wie man an Cat Toasters Reaktion sieht), und das ist eben falsch, da man den Geltungsbereich der GPOs sehr wohl mit Gruppen steuern kann.

@BoSprung
Da müßte ich erstmal nachschauen. Das war wie gesagt nur eine Überlegung.

Wenn es die Policy nicht für User gibt, mußt Du obigen GPOs auf die Computer (Client) OU(s) linken, und ohne Loopback arbeiten. Die erste Policy erlaubt das Umleiten für alle Clients (Authenticated Users -> das sind auch Computeraccounts!), die zweite verbietet es für die angelegte Gruppe. Oder Du machst es umgekehrt, daß Du standardmäßig verbietest und nur der Gruppe erlaubst.
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Dystination
Windows Server 2012 R2 Terminalserver Probleme im VPN
Antworten
2
Aufrufe
1.409
Dystination
Dystination
Falc410
Nachfolger für Windows Server 2012 R2 Essentials?
Antworten
16
Aufrufe
2.390
Renegade334
R
Chris_S04
AD Tiering Modell
Antworten
5
Aufrufe
1.208
Chris_S04
Chris_S04
N
Alienware X17 R2 Grafikkartendefekt
Antworten
12
Aufrufe
645
Bastelwastel10
B
H
Umstieg Windows 2008 R2 Standard auf Essentials
2
Antworten
31
Aufrufe
3.105
PHuV
PHuV
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz