kratzbär 10 Geschrieben 20. Februar 2012 Melden Teilen Geschrieben 20. Februar 2012 Salü, es wird bestimmt auch anderen so gehen, dass Eure Drucker spinnen, weil mal wieder ein Admin auf dem Teminalserver war und über Clientprinter dumme Treiber eingeschleppt hat, oder auch einfach die Standardwerte eines Druckers geändert hat, anstatt die seiner Sitzung. Wir haben, um dies zu unterbinden jetzt auf allen Printservern und allen Druckern den "Administratoren" das Verwaltungesrecht genommen, so weit so schön, auch ein verwirtter Sys stellt jetzt nichts mehr an den betehenden Druckern kaputt... Trotzdem kann er ja nach wie vor neue Drucker installieren und dabei den Printserver oder gar Terminalserver *gründlichst* massakrieren, wie Ihr sicherlich aus eigener Erfahrung wisst... Aber bitte wo ist die standardmäßige Zuordnung, Policy, ACL oder was auch immer, was definiert dass Administratoren und Druckoperatoren neue Drucker installieren dürfen und DAUs nur, wenn es in der GPO erlaubt ist... Bräuchte einen Tip für 2003 R2 Enterprise und 2008 R2 Terminalserver. Auf den 2003ern ist auch Citrix PS4.0 drauf, auf den 2008ern XenApp 6. Irgendwo muss es doch so ein "NoDamnAdminShouldInstallPrintersOnThisServer"-flag geben... dieses Recht soll einem speziellen AD Benutzer "Druckerfachmann" vorbehalten sein... any idea? appreciate your answers... Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 20. Februar 2012 Melden Teilen Geschrieben 20. Februar 2012 Hallo, ist es nötig, solche "Administratoren" zu beschäftigen? Hausmeister tauschen bei uns schon mal einen Rechner aus, einen Elektrofachkraft auch einen Switch, sie administrieren aber nicht. Warum ist das also so bei euch? :) Zitieren Link zu diesem Kommentar
kratzbär 10 Geschrieben 20. Februar 2012 Autor Melden Teilen Geschrieben 20. Februar 2012 da kommen gewachsene Strukturen aufeinander und die üblichen Affinitäten der überaus IT-technisch gewandten Geschäftsleitung... wenn die Herren (und Damen) darauf bestehen, ihre Clientdrucker in die Sitzung zu bekommen, kann man schlecht auf Protokollebene genau das verhindern. Und wenn dann ein SYS aus einer entfernten Sitzung einen Bubblejet oder noch schlimmeres angeschlossen hat, ist es schnell passiert... *bumm* TS17, bitte plattmachen! wir haben prinzipiell schon etliche der administrativen Rollen auf getrennte Gruppen delegiert, und längst nicht jeder, der Benutzer anlegen oder Gruppenordner verwalten darf, ist auch Admin auf den TSsen, aber mich jedesmal für jede Aktion mit dem passenden Account und den minimal nötigen Rechten anzumelden, übersteigt eine gewisse Eigenart aller Administratoren... : Ihre Faulheit!!! und da man im Tagesgeschät eigentlich immer lokaler Admin sein muß auf den meisten Servern, ist es einfacher, denen gewisse Sachen zu VERWEIGERN, als aus einem DAU-Account einen arbeitsfähigen Admin für alle nötigen Zwecke zu machen. Im Gegensatz zum allgemeinen Geschrei gefallen mir die VERWEIGERN Einstellungen nämlch sehr, wurscht woher der kommt und vielleicht in irgendeiner Gruppe oder ACL steht, die ihn machen läßt was ich nicht will, wenn ich es auf der Ressource VERWEIGERE, ist halt zappen... das ist schön :p lieber nehme ich mir selbst gezielt die riskantesten Rechte und mach dann nötigenfalls "runas", aber viel weiter soll der Aufwand eigentlich nicht gehen :cool: Die Frage zielte ja auch darauf ab, warum einerseits jeder Registryschlüssel oder jeder Dateileiche eine eigene ACL haben, andererseits die ziemlich umgreifende Druckertreiberinstallation nicht granular berechtigt werden kann... Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.