Printers verwijderen op de Terminal server

[WiseGuy78]

Ik heb op de zaak een Small Business Server 2003 en Terminal Server. Als administrator ingelogd kan ik printers toevoegen en verwijderen. Echter als mezelf ingelogd (als lid van de administrators) kan ik alleen printers toevoegen en niet meer verwijderen.

Als ik een printer probeer te verwijderen, krijg ik de melding "This operation has been cancelled due to restrictions in effect on this computer. Please contact your system administrator."

Zo te zien is dit een rechten kwestie maar ik zou niet weten waar deze instelling zich bevindt? Mijn doel is gewoon om printers te kunnen verwijderen.

 

[dnties]

Lijkt inderdaad een rechtenkwestie te zijn. Alleen als je een kopie maakte van het Administrator-account en dát jouw gebruikersnaam maakte, dan heb je precies dezelfde rechten als Administrator.

Kijk dus na van welke groepen Administrator lid is en vergelijk dat met de groepenlidmaatschap van je eigen account.

Verder kun je nakijken welke gebruikers (en gebruikersgroepen) de "Printers beheren" rechten hebben. Dat kun je doen door te rechtsklikken op de gemaakte printer, Eigenschappen kiezen en dan in het Beveiliging tabblad te kijken.

Meer tips heb ik niet zónder gezien te hebben hoe het allemaal is ingericht.

Succes,

Tijs.

 

[WiseGuy78]

Het is geen beveiligings kwestie qua "Printers beheren". Ik heb bijv. iedereen "full rights" gegeven en dit bied geen oplossing.

Verder heb ik nu dus bijv. printers ertussen staan die al 2 jaar geen dienst meer doen, maar die ik niet kan verwijderen.

 

[dnties]

Waarom geef je maar terugmelding op 1 onderdeel van mijn reactie? Nu zijn er weer meer postings nodig dan normaal noodzakelijk.

Bovendien lijk je nu te melden dat je printers hebt die niet met jouw account maar ook niet met Administrator te verwijderen zijn. Als ik daarin gelijkt heb dan is dat dat heel wat anders dan je vermeldde in je startposting.

Graag (alle) relevante informatie vermelden in je startposting en je terugmeldingen. Ander trek ik mijn handen van je vraag af.

Tijs.

 

[WiseGuy78]

OK, excuus hiervoor dan...is eerste keer dat ik op fora mijn vragen stel.

Om je andere vraag te beantwoorden: ik heb op de SBS ook de User lid gemaakt van alle groepen waarvan de Administrator ook lid van is. Maar dit biedt geen oplossing.

Maar als het goed is heb ik van de administrator en de user op de Terminal Server een snapshot van het printer scherm gemaakt. Als User heb ik dus printers in mijn scherm staan die allang niet meer actief zijn. Ik kan deze printers én de alle overige printers dus niet verwijderen.

 

[dnties]

Zoals je ziet zijn het geen 'echte' printers, maar netwerkprinters.
Eerste wat ik zou doen is de print spooler service herstarten op de delende server (zo te zien de SBS-server). Check daarna volledigheidshalve of de "not ready" printers op de SBS-server gedeeld staan [als ik je goed begrijp is dat niet het geval, maar check het na de herstart van de print spooler service volledigheidshalve even na].
Hierna de print spooler service herstarten op de terminal server. Maak daarna (tijdelijk) User lid van de lokale Printoperatorgroep op de Terminal Server. Daarna opnieuw inloggen als User. Probeer het dan opnieuw.

Succes,

Tijs.

 

[WiseGuy78]

Print spooler op de TS en SBS een restart gegeven, vervolgens user lid gemaakt van de lokale Printoperatorgroep op de Terminal Server. Opnieuw ingelogd maar helaas geen resultaat.

Iemand nog een idee?

 

[dnties]

Maak een login-script met extensie .VBS voor alleen deze gebruiker en link die aan die gebruiker.
Zie ook hier

In jouw geval (check zelf even op typefouten):

Option Explicit
Dim objNetwork, strUNCPrinter
Set objNetwork = CreateObject("WScript.Network")

strUNCPrinter = "[B]\\sbsaldor1\HP LaserJet 2200[/B]"
objNetwork.RemovePrinterConnection strUNCPrinter
strUNCPrinter = "[B]\\sbsaldor1\HP LaserJet 2200 Series PCL[/B]"
objNetwork.RemovePrinterConnection strUNCPrinter
strUNCPrinter = "[B]\\sbsaldor1\HP LaserJet P2015 (MMB)[/B]"
objNetwork.RemovePrinterConnection strUNCPrinter
strUNCPrinter = "[B]\\sbsaldor1\HP LaserJet P2015[/B]"
objNetwork.RemovePrinterConnection strUNCPrinter

Wscript.Quit

Succes,

Tijs.

 

[WiseGuy78]

Tijs, bedankt voor je idee...maar ik heb meerdere users die dit probleem hebben. Ik heb mezelf als voorbeeld aangehaald. Het lijkt me trouwens dat dit toch nog steeds een bepaalde instelling is (die ik trouwens niet kan vinden) die veranderd moet kunnen worden. Je hebt bijna alle rechten als user maar je kunt niet de printer verwijderen, raar? Je kunt wel drivers installeren en zelf rechten beheren in het configuratiescherm. Maar geen printers verwijderen. Rara?

 

[dnties]

Ik volg je denkwijze: Je denkt dat het probleem ergens 'dieper' ligt.

Kan ik in meedenken, maar omdat een forum ook maar beperkt is qua mogelijkheden zou ik het op prijs stellen als je toch (ook) mijn script even uitprobeert. Zoveel moeite zal dat niet zijn.

Let op: Het script moet als login-script worden uitgevoerd, niet 'los'.

Bovendien kun je bij printers verwijderen ook gebruik maken van "Uitvoeren als" door de shift-knop erbij vast te houden en dán te rechtsklikken op de printer. Zie bijlage. Dit kun je testen als het het script geen resultaat biedt. Je geeft daar dan aan het 'echte' Administrator-account en bijbehorend wachtwoord. Let op dat je bij gebruik van "Uitvoeren als" die gebruikersnaam doorgaans aangeeft als JOUWDOMEINNAAM\Administrator, dus incl. de domeinnaam, als je de actie als de domein-administrator wilt uitvoeren.

En verder kun je in Logboeken (Start -> Uitvoeren -> eventvwr.exe) op de Terminal Server gaan kijken of je daar wat wijzer wordt over het (rechten-)probleem.

Succes,

Tijs.

 

[WiseGuy78]

Het script werkt in ieder geval. De printers zijn nu bij mij verwijdert uit het scherm. De overige twee opties (rechtermuisknop en events) bieden geen duidelijkheid. Bij events staat geen melding en de rechtermuisknop werkt niet bij printers die niet langer meer actief zijn.

Blijft over de vraag: hoe verwijder je (als user) een printer die je zojuist hebt toegevoegd?

Misschien een omweg: kan ik ervoor zorgen dat bepaalde groepen (zoals ik deze gedefinieerd heb in de AD van de SBS) ook maar bepaalde printers krijgen/zien? En dat de overige (inactieve) printers verwijdert worden? Misschien via het VBS script?

Of zijn er mensen die een TS en SBS hebben die het hele printer verhaal anders ingericht hebben?

 

[dnties]

Je zult Security auditing aan moeten zetten om te kunnen zien wat er misgaat bij het verwijderen van de printer. Moet je daarna op zo'n 'onwillige' printer gaan instellen (tabblad Auditing) en dan proberen de printer te verwijderen. Je zou dan in het logboek Security moeten kunnen zien wat er misgaat.

Ik moet erbij zeggen dat op alle TS 's waar ik mee gewerkt heb nooit jouw probleem heb meegemaakt. Dus het is (voor mij) moeilijk om te beoordelen waar het probleem vandaan komt. Ik volg je dus 100% dat je momenteel voor een raadsel staat.

Tijs.

 

[WiseGuy78]

Security auditing aanzetten op het tabblad van de printer gaat nog wel. Ik heb vervolgens veel policies afgezocht en aangezet maar dit resulteerde geen één keer in een event registratie.

Even nog een aanvulling: ik log in op de TS met remote desktop...weet niet of dit nog uitmaakt?

 

[dnties]

Daar is een TS juist voor gemaakt, he? Dus nee, het maakt niet uit of je achter de console inlogt of via Extern Bureaublad.

PS: Het is NIET voldoende om auditing op dat tabblad aan te zetten: Je moet ook de algemene computerpolicy m.b.t. auditing aanzetten(!) Vandaar ook dat het als 2 stappen aangaf, niet als 1 stap...
Dus je zult een policy moeten maken die je linkt met de Terminal Server, en waar je in Computerconfiguratie -> Windows-instellingen -> Lokaal beleid -> Controlebeleid -> "Objecttoegang controleren" de "Mislukte pogingen" aanzet...

Tijs.

 

[WiseGuy78]

dnties, alles duidelijk tot het punt van "...een policy moeten maken die je linkt met de Terminal Server".

Hoe doe je dit?

 

[dnties]

policy = group policy = groepsbeleid
Is, zéker met een TS (waar mensen 'op de de computer zelf' inloggen via RDP), een belangrijk beheer-hulpmiddel.
Juist op TS's heb ik altijd de meest uitgebreide policies gelinkt.

Kijk eens hier en/of hier
Download-link GPMC voor Windows Server 2003 SP1 (en SP2): hier

Natuurlijk wordt in de boeken van het MCP/MCSE traject Windows Server 2003 ook ingegaan op group policy/groepsbeleid, dus daar kun je ook kijken. Specifiek de boeken betreffende examen 70-294: Planning, Implementing, and Maintaining a Microsoft Windows Server 2003 Active Directory Infrastructure

De groepsbeleid-component waar ik het specifiek over had staat in de bijlage.

PS: Ik bedoelde (natuurlijk) niet het linken aan het TS computer-object zelf (dat kan namelijk helemaal niet), maar aan de Afdeling/OU waar de TS in staat. Let wel op dat de policy (via filtering) niet gelinkt wordt aan/uitgevoerd wordt op andere computerobjecten die je in die Afdeling/OU hebt staan. Evt. (als dat kan) maak je een eigen (sub-)Afdeling/OU waar je het TS computerobject in orderbrengt en dan link je de group policy aan die nieuw gemaakte (sub-)Afdeling/OU.

Succes,

Tijs.

 

[WiseGuy78]

Tijs, bij het doorzoeken van de GPMC ben ik tegen de volgende "Terminal Policy" gelopen (zie onder). Kun jij mij vertellen waar ik deze instelling kan veranderen?

 

[dnties]

Staat eigenlijk al in je eerste schermafdruk: rechtsklik de Terminal Policy, kies Edit...
NL versie: Ga naar Gebruikersconfiguratie -> Beheersjablonen -> Configuratiescherm -> Printers
Wijzig de policy "Verwijderen van printers voorkomen" naar "Niet geconfigureerd" of "Uitgeschakeld".
Engelse versie: Ga naar User Configuration -> Administrative templates -> Control Panel -> Printers
Wijzig de policy "Prevent deletion of printers" naar "Not configured" of "Disabled"

Overigens verklaart het ook dat het met het script wél werkt (gegeven dat de juiste (verwijder-)rechten reeds aanwezig waren): In de uitleg staat:
[...]Deze instelling voorkomt niet dat gebruikers andere programma's gebruiken om een printer te verwijderen.

Succes,

Tijs.

 

[WiseGuy78]

Poeh, wat een gezoek naar de instelling MAAR het heeft gewerkt. Dus voor degenen die tegen dit probleem aanlopen: zie de oplossing van Tijs hierboven.

Tijs, 1000x dank...ook voor je geduld!

 

[dnties]

Graag gedaan.

Wil je je vraag nog even op opgelost zetten? Klik op "Zet status opgelost" op de donkerblauwe horizontale balk, bijna bovenaan deze webpagina [die met "Zet status opgelost", "Onderwerp opties" etc.]

Tijs.