Nimm einem Anwender bestimmte Rechte weg und er wird Dich hassen.

Wer nun noch damit argumentiert, er schütze damit den Anwender vor sich selbst, der wird wahrscheinlich lange Zeit alleine am Mittagstisch sitzen.

Und auch wenn es in Einsamkeit enden kann, sind wir uns doch einig, dass Anwender nur in den seltensten Fällen mit Administrationsrechten ausgestattet sein sollten. Lieber ein paar Tage einen schlecht gelaunten Kollegen ertragen, als tagelang, mühsam dessen Rechner neu installieren zu müssen.



Einen Drucker als Hauptbenutzer installieren

Microsoft sieht das glücklicherweise ähnlich und hat die Rechte von Nicht-Administratoren in den letzten Jahren erheblich eingeschränkt. Gleichzeitig stellt uns Microsoft mit der Gruppenrichtlinienverwaltung ein mächtiges Instrument zur Verfügung, mit dem wir einerseits Benutzerrechte weiter einschränken können, andererseits aber auch Vorgänge automatisieren können.

Zu Letzterem gehört sicher auch das Verteilen von Druckern. Mit Hilfe von Gruppenrichtlinien lassen sich unter anderem Laufwerke und Drucker auf die Anwender verteilen. Was früher lange Loginskripte erledigt haben, lässt sich heute mit wenigen Klicks in den Gruppenrichtlinien abbilden.

Seit Einführung der Benutzerkontensteuerung muss dabei aber etwas beachtet werden: Hauptbenutzer dürfen standardmäßig keine Treiber mehr installieren.

Die Gruppenrichtlinien werden im Kontext des angemeldeten Benutzers ausgeführt – und der hat in der Regel keine Administrationsrechte. Wie soll man also nun einen Drucker als Hauptbenutzer installieren?

Hierfür gibt es in den Gruppenrichtlinien die sogenannten Point-and-Print-Einschränkungen. Zu finden unter:

Computerkonfiguration -> Richtlinien -> Administrative Vorlagen -> Drucker -> Point-and-Print-Einschränkungen

Diese Richtlinie ist per Standard nicht konfiguriert, wodurch sämtliche Druckertreiberinstallationen verweigert werden.

Druckertreiber nur aus bestimmter Quelle

Der einfachste Weg, auch den Nicht-Administratoren die Installation von Druckertreibern zu gestatten ist, die Point-and-Print-Einschränkungen komplett zu deaktivieren. Dies bewirkt, dass diese Richtlinie nicht greift und Druckerverbindungen mit jedem Server im Netzwerk zugelassen werden, inkl. Treiberinstallation.

In Netzwerken mit dedizierten Druckservern sollte die Gruppenrichtlinie dagegen besser aktiviert werden und die einzelnen Druckserver mit Ihrem FQDN als vertrauenswürdiger Server eingetragen werden. Dies bewirkt, dass eine Druckerinstallation nur über die eingetragenen Server funktioniert. Dadurch kann vermieden werden, dass Benutzer Drucker von anderen Quellen hinzufügen, z.B. einen freigegebenen USB-Drucker auf dem Rechner eines Kollegen.

Drucker als Hauptbenutzer installieren

Durch Anpassen der Gruppenrichtlinie Point-and-Print-Einschränkungen lassen sich auch Drucker als Hauptbenutzer installieren.

In den Optionen dieser Gruppenrichtlinie lässt sich auch noch das Verhalten der Sicherheitshinweise anpassen. Damit sind die Meldungen gemeint, die der Benutzer erhält, wenn er einen neuen Druckertreiber installieren möchte („Vertrauen Sie diesem Drucker?…“). Für die Installation der Drucker per Gruppenrichtlinie empfehle ich das Deaktivieren dieser Sicherheitshinweise, da durch den Eintrag des/der FQDN ohnehin bereits nicht vertrauenswürdige Quellen ausgeschlossen werden.

Für Windows Rechner, die nicht Mitglied einer Domäne sind, lässt sich diese Einstellung übrigens auch in den lokalen Gruppenrichtlinien (gpedit.msc) aktivieren.

Und für die ganz armen Administratoren, die (noch) Windows Vista in Ihrem Netzwerk führen, Ihr findet diese Einstellungen nicht in den Computerrichtlinien, sondern in den Benutzerrichtlinien.

Ebenfalls interessant:

Wenn Dir diese Information weitergeholfen hat, kannst Du mir das gerne in die Kommentare schreiben. Ebenfalls freue ich mich über jede kleine Spende, die Du diesem Blog ganz unkompliziert über PayPalMe zukommen lassen kannst. Vielen Dank.

René Albarus

René Albarus

Ich heiße René Albarus und bin seit 2002 beruflich im Bereich der Systemadministration tätig. Da auch ich einen Teil meines Wissens IT-Blogs im Internet verdanke, ist es für mich selbstverständlich, dass ich Lösungsansätze und Anleitungen in diesem Blog weitergebe.
René Albarus
0 Kommentare

Dein Kommentar

An Diskussion beteiligen?
Hinterlasse uns Deinen Kommentar!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.