Druckserver auf secondary DC

[sg08234 10]

blub: In meinem Fall muss ich die Verantwortung alleine tragen, da ich diese Drucker-Installationen im Kundenauftrag durchführe. Ich kann zwar die Auftraggeber auf das Risiko hinweisen kann, sie werden aber letztendlich mich fragen, ob ich das Risiko für tragbar halte.

 

Ich werde heute oder morgen noch testen, ob ein temporäres Entfernen von KB3170455 das Problem beseitigt. Während der Ausrollphase eines neuen Druckertyps eine Lösung wäre dies dann eine potentielle Lösung (würde mir das Bearbeiten von allen Clients ersparen, auf den restlichen (in der Ausrollphase nicht aktivierten) Clients muss der Treiber dann eben manuell - MSI-Paket, silent install (falls vorhanden), sonst durch den Endnutzer oder mich - installiert werden).

 

Ich berichte über Erfolg / Misserfolg und werde dann meine Erfahrungen mit der GPP-basierten / standort-spezifischen Drucker-Installation als kleines Dankeschön an alle Helfer hier zusammenfassen.

 

EDIT 2016-08-20:

Nach Deinstallation von KB3170455 auf einem Test-Client lief dir Drucker-Installation durch den Endnutzer problemlos.

 

Daher hier die Beschreibung der Lösung - wie sie jetzt bie mir läuft und funktioniert) mit vielem Dank an alle Helfer:

1. Falls erforderlich (Server 2008 oder älter): Administrative Templates (ADMX) for Windows Server 2008 R2 and Windows 7 (werden für die Point- and Print-Restrictions benötigt) installieren: https://www.microsoft.com/en-us/download/details.aspx?id=6243:
   1. Download
       
   2. Die extrahierten Policies nach <beliebiger Ordner>\extracted kopieren
       
   3. Alte Policies retten: \\<server>\sysvol\<domain\.... kopieren
       
   4. <beliebiger Ordner>\extracted nach \\<server>\sysvol\<domain\.... kopieren (nur admx und /de/us)
       
   5. Alte Terminalserver-Server admx/adml zurückspielen (sonst Fehler in den Gruppenrichtlinien)
       
   6. Microsoft Hotfix KB2638957 - X64: Download und installieren (https://support.microsoft.com/de-de/kb/2638957)
       
2. Neuen Drucker auf Server als <druckername> installieren; Freigabe <freigabename> erstellen; zusätzliche Treiber (32 und 64 Bit) bereit stellen
    
3. Eine Computer-Richtlinie erstellen (siehe Anlage; Sicherheitsfilterung: Authentifizierte Benutzer; keine WMI-Filterung, Verknüpfung mit „Alle Clients“)
    
4. Eine Benutzer-Richtlinie erstellen (siehe Anlage; Sicherheitsfilterung: Authentifizierte Benutzer; keine WMI-Filterung, Verknüpfung mit „Alle Benutzer“)
   
   Ich habe die Drucker in der Benutzer-Richtlinie als \\<server>\<druckername> (nicht <freigabename>) zugeordnet. Ich bin nicht sicher, ob das einen Unterschied macht.
   
   EDIT 2016-08-21: Falls gewünscht/erforderlich (standortspezifische Zuordnung): Bei der Definition die Drucker über Zielgruppenadressierung (z.B. Organisationeinheit, Sicherheitsgruppe oder IP-Adressbereich) standortspezifisch installieren; als ersten Drucker „Drucker löschen“ einrichten
    
5. In einer Autostart-Prozedur (per GPO verteilt) ein „gpupdate“ mit einer Minute Verzögerung ausführen
   Erklärung: Mir ist es trotz aller Recherchen und Hinweisen nicht gelungen, ohne dieses „gpupdate“ auszukommen (bei einem Standortwechsel muss „Drucker löschen“ ausgeführt werden)
    
6. Installation der Druckertreiber auf den Clients durch die Endnutzer (falls der Druckertyp neu ist - Funktioniert wegen MS-Patch KB3170455 (siehe MS16-087) trotz der in den GPO gesetzten Point and Print  Restrictions nicht):
   1. Test: Ist das durch den MS-Patch KB3170455 verursachte Problem inzwischen gelöst?
       
   2. Falls vorhanden: Druckertreiber über MSI-Paket oder Install-Paket mit „silent install“ verteilen
       
   3. Druckertreiber durch Endnutzer oder Administratoren auf jedem Client einmal installieren lassen
       
   4. MS-Patch KB3170455 während der Ausrollphase deaktivieren (Sicherheitsrisiko)

GPOs.zip

bearbeitet 21. August 2016 von sg08234