toegangs probleem

Status
Niet open voor verdere reacties.

Ghostrider-NL

Gebruiker
Lid geworden
14 sep 2006
Berichten
86
Als ik onder ene gebruiker ene printer wil toevoegen krijg ik de melding: U hebt onvoldoende toegang tot uw computer om verbinding met de geselecteerde printer te maken.

In de policys kan ik niks vinden dat er ingesteld staat dat ze niks mogen installeren. maar ook dit mogen gebruikers niet en ik heb ingesteld dat ze printers mogen toevoegen.

We hebben een Win32003 SBS server.

Wie weet waar het precies aan ligt?
 
Kijk de rechten op de printer(queue) na op de SBS server.

Iedereen moet Print rechten hebben.

Tijs.
 
[...]U hebt onvoldoende toegang tot uw computer om verbinding met de geselecteerde printer te maken.
[...]

Ik denk dat de gebruikers geen printerdrivers mogen installeren op de lokale computer. Maak Everyone en/of Domain Users op de lokale computer lid van Print Operators, als test.

[Edit] Start ook Gpedit.msc op de domainserver, en kijk of op de plek zoals aangegeven in de bijlage de setting op Enabled staat. Zet dat dan op Disabled. Misschien hoef je de mensen dan geen lid te maken van Print Operators op de lokale machine.

Kijk additioneel daar ook 3 stappen naar beneden of het is toegestaan om niet-ondertekend drivers te installeren (dit voor het geval de op de SBS-server beschikbaar gestelde printerdriver niet-ondertekend is).
[/Edit]

Tijs.
 
Laatst bewerkt:
Ik denk dat de gebruikers geen printerdrivers mogen installeren op de lokale computer. Maak Everyone en/of Domain Users op de lokale computer lid van Print Operators, als test.

[Edit] Start ook Gpedit.msc op de domainserver, en kijk of op de plek zoals aangegeven in de bijlage de setting op Enabled staat. Zet dat dan op Disabled. Misschien hoef je de mensen dan geen lid te maken van Print Operators op de lokale machine.

Kijk additioneel daar ook 3 stappen naar beneden of het is toegestaan om niet-ondertekend drivers te installeren (dit voor het geval de op de SBS-server beschikbaar gestelde printerdriver niet-ondertekend is).
[/Edit]

Tijs.

Oke bedankt, dit zal ik morgen proberen,
Vandaag lukt het niet meer.
 
Ik denk dat de gebruikers geen printerdrivers mogen installeren op de lokale computer. Maak Everyone en/of Domain Users op de lokale computer lid van Print Operators, als test.

[Edit] Start ook Gpedit.msc op de domainserver, en kijk of op de plek zoals aangegeven in de bijlage de setting op Enabled staat. Zet dat dan op Disabled. Misschien hoef je de mensen dan geen lid te maken van Print Operators op de lokale machine.

Kijk additioneel daar ook 3 stappen naar beneden of het is toegestaan om niet-ondertekend drivers te installeren (dit voor het geval de op de SBS-server beschikbaar gestelde printerdriver niet-ondertekend is).
[/Edit]

Tijs.


bedoel je met gewoon in de group printer operators iedereen toevoegen?:
Maak Everyone en/of Domain Users op de lokale computer lid van Print Operators, als test.


En welke setting bedoel je met:
de setting op Enabled staat. Zet dat dan op Disabled. Misschien hoef je de mensen dan geen lid te maken van Print Operators op de lokale machine
 
Op de een of andere manier lijkt mijn schermafdruk niet te zijn meegekomen. Ik heb nu 2 bijlagen gepost:

Ik heb mijn verhaal een beetje bijgewerkt:
1. Kijk welke policy op het domein van toepassing is. Klik daartoe open Active Directory Users and Computers. Klik rechts op je Domein, kies Properties, tabblad Domain Policy.
2. Klik de gelinkte policy, en klik de knop Edit. (Bijlage 1)
3. Ga nu naar de sectie zoals te zien in Bijlage 2, en zet daar de policy "Devices: Prevent users from installing printer drivers" op Disabled. Let ook op dat het recht om unsigned drivers is toegestaan (indien de te installeren printer-driver, die vanaf de server wordt gedownload, een niet-ondertekende zou kunnen zijn).

NB: Dit zijn instellingen van een W2003 server, geen SBS server, maar ik ga ervanuit dat het bij jou op dezelfde manier werkt.

Zie hieronder de uitleg van de policy-aanpassing zoals in 1 t/m 3 beschreven:
Devices: Prevent users from installing printer drivers
For a computer to print to a network printer, the driver for that network printer must be installed on the local computer. The Devices: Prevent users from installing printer drivers policy setting determines who can install a printer driver as part of adding a network printer. When you set the value to Enabled, only Administrators and Power Users can install a printer driver as part of adding a network printer. Setting the value to Disabled allows any user to install a printer driver as part of adding a network printer. This setting prevents unprivileged users from downloading and installing an untrusted printer driver.

This setting has no impact if an administrator has configured a trusted path for downloading drivers. When using trusted paths, the print subsystem attempts to use the trusted path to download the driver. If the trusted path download succeeds, the driver is installed on behalf of any user. If the trusted path download fails, the driver is not installed and the network printer is not added.

Discussion
Although it might be appropriate in some organizations to allow users to install printer drivers on their own workstations, this is not suitable for servers. Installing a printer driver on a server can cause the system to become less stable. Only administrators should have this user right on servers. A malicious user might deliberately try to damage the system by installing inappropriate printer drivers.

It is advisable to set Devices: Prevent users from installing printer drivers to Enabled. Only users in the Administrative, Power User, or Server Operator groups will be able to install printers on servers. If this policy setting is enabled, but the driver for a network printer already exists on the local computer, users can still add the network printer. This policy setting does not affect a user’s ability to add a local printer.

Location
GPO_name\Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

Default Values

Server Type or GPO Default Value
Default Domain Policy
Not defined

Default Domain Controller Policy
Not defined

Stand-Alone Server Default Settings
Enabled

DC Effective Default Settings
Enabled

Member Server Effective Default Settings
Enabled

Devices: Unsigned driver installation behavior
The Devices: Unsigned driver installation behavior policy setting determines what happens when a user attempts to install a device driver that has not been certified by the Windows Hardware Quality Lab (WHQL) by means of Setup API.

The possible values for this Group Policy setting are:

• Silently succeed.

• Warn but allow installation.

• Do not allow installation.

• Not defined.


Discussion
This policy setting can prevent the installation of unsigned drivers or warn the administrator that an unsigned driver software is about to be installed. It can prevent Setup API from installing drivers that have not been certified to run on Windows Server 2003. This policy setting will not prevent a method used by some attack tools in which malicious .sys files are copied and registered to start as system services.

It is advisable to set Unsigned driver installation behavior to Warn but allow installation. This differs from the default value for this policy setting in Windows Server 2003, which is Not defined. A potential problem with setting Unsigned driver installation behavior to Warn but allow installation is that users who have sufficient user rights to install device drivers will still be able to install unsigned device drivers, which can result in stability problems for system servers. Another potential problem with this setting is that unattended installation scripts will fail if they attempt to install unsigned drivers.

Location
GPO_name\Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

Default Values

Server Type or GPO Default Value
Default Domain Policy
Not defined

Default Domain Controller Policy
Not defined

Stand-Alone Server Default Settings
Warn but allow installation

DC Effective Default Settings
Warn but allow installation

Member Server Effective Default Settings
Warn but allow installation
 

Bijlagen

  • Group_Policy1.JPG
    Group_Policy1.JPG
    69,9 KB · Weergaven: 90
  • Group_Policy2.JPG
    Group_Policy2.JPG
    95 KB · Weergaven: 96
Laatst bewerkt:
Het is in SBS iets anders maar ik kan alles wel vinden.
Ook dit helpt helaas niet. Gebruikers mogen niks installeren. Ik dnek dat dit ermee temaken heeft. En nergens in een policiy is dat ingesteld.. niet dat ik kan vinden tenminte
 
http://www.petri.co.il/forums/showthread.php?t=7581

Hier wordt gezegd dat je de gebruikers (naast de policy die ik je gegeven heb) ook het recht moet geven om drivers te laden en ontladen.

Kijk eens of dat werkt voor je?

Overigens ben ik daar niet zo op gesteld, dat recht, maar ik ga ervanuit dat bij een herstart alle drivers weer worden opgestart, dus ver*****n ze het, dan zou een herstart van het werkstation de door de gebruiker veroorzaakte problemen moeten kunnen verhelpen.

Tijs.
 
http://www.petri.co.il/forums/showthread.php?t=7581

Hier wordt gezegd dat je de gebruikers (naast de policy die ik je gegeven heb) ook het recht moet geven om drivers te laden en ontladen.

Kijk eens of dat werkt voor je?

Overigens ben ik daar niet zo op gesteld, dat recht, maar ik ga ervanuit dat bij een herstart alle drivers weer worden opgestart, dus ver*****n ze het, dan zou een herstart van het werkstation de door de gebruiker veroorzaakte problemen moeten kunnen verhelpen.

Tijs.

Bedankt! Ik heb dit ingesteld en ik zal morgen testen of het werkt!
 
Het probleem ligt bij de printerdrivers die niet geinstalleerd staan op de lokale (client-)pc. Staan die printerdrivers er wel, dan is er geen probleem voor gebruikers om (via login-script of 'handmatig') een netwerkprinter voor henzelf beschikbaar te krijgen.

Hier wordt gedocumenteerd hoe je een printer beschikbaar kunt stellen op basis van een (ergens op het netwerk gedeelde) driver. Dit zal dus met beheerrechten op de client-pc moeten gebeuren, anders blijf je probleem hetzelfde.

Misschien kun je de printerdriver, onder Local System rechten, de pc's doedienen bij hun opstart (GPO/Package etc.)?

Ben nu te duf om een direct toepasbare suggestie te doen, maar denk er eens over na.

Heb jij wél even de helderheid, en is het je gelukt, dan hoor ik graag welke aanroep en welke manier van 'toedienen' je gebruikt hebt.

Tijs.
 
Laatst bewerkt:
Status
Niet open voor verdere reacties.
Terug
Bovenaan Onderaan