Nimm einem Anwender bestimmte Rechte weg und er wird Dich hassen.
Wer nun noch damit argumentiert, er schütze damit den Anwender vor sich selbst, der wird wahrscheinlich lange Zeit alleine am Mittagstisch sitzen.
Und auch wenn es in Einsamkeit enden kann, sind wir uns doch einig, dass Anwender nur in den seltensten Fällen mit Administrationsrechten ausgestattet sein sollten. Lieber ein paar Tage einen schlecht gelaunten Kollegen ertragen, als tagelang, mühsam dessen Rechner neu installieren zu müssen.
Einen Drucker als Hauptbenutzer installieren
Microsoft sieht das glücklicherweise ähnlich und hat die Rechte von Nicht-Administratoren in den letzten Jahren erheblich eingeschränkt. Gleichzeitig stellt uns Microsoft mit der Gruppenrichtlinienverwaltung ein mächtiges Instrument zur Verfügung, mit dem wir einerseits Benutzerrechte weiter einschränken können, andererseits aber auch Vorgänge automatisieren können.
Zu Letzterem gehört sicher auch das Verteilen von Druckern. Mit Hilfe von Gruppenrichtlinien lassen sich unter anderem Laufwerke und Drucker auf die Anwender verteilen. Was früher lange Loginskripte erledigt haben, lässt sich heute mit wenigen Klicks in den Gruppenrichtlinien abbilden.
Seit Einführung der Benutzerkontensteuerung muss dabei aber etwas beachtet werden: Hauptbenutzer dürfen standardmäßig keine Treiber mehr installieren.
Die Gruppenrichtlinien werden im Kontext des angemeldeten Benutzers ausgeführt – und der hat in der Regel keine Administrationsrechte. Wie soll man also nun einen Drucker als Hauptbenutzer installieren?
Hierfür gibt es in den Gruppenrichtlinien die sogenannten Point-and-Print-Einschränkungen. Zu finden unter:
Computerkonfiguration -> Richtlinien -> Administrative Vorlagen -> Drucker -> Point-and-Print-Einschränkungen
Diese Richtlinie ist per Standard nicht konfiguriert, wodurch sämtliche Druckertreiberinstallationen verweigert werden.
Druckertreiber nur aus bestimmter Quelle
Der einfachste Weg, auch den Nicht-Administratoren die Installation von Druckertreibern zu gestatten ist, die Point-and-Print-Einschränkungen komplett zu deaktivieren. Dies bewirkt, dass diese Richtlinie nicht greift und Druckerverbindungen mit jedem Server im Netzwerk zugelassen werden, inkl. Treiberinstallation.
In Netzwerken mit dedizierten Druckservern sollte die Gruppenrichtlinie dagegen besser aktiviert werden und die einzelnen Druckserver mit Ihrem FQDN als vertrauenswürdiger Server eingetragen werden. Dies bewirkt, dass eine Druckerinstallation nur über die eingetragenen Server funktioniert. Dadurch kann vermieden werden, dass Benutzer Drucker von anderen Quellen hinzufügen, z.B. einen freigegebenen USB-Drucker auf dem Rechner eines Kollegen.
In den Optionen dieser Gruppenrichtlinie lässt sich auch noch das Verhalten der Sicherheitshinweise anpassen. Damit sind die Meldungen gemeint, die der Benutzer erhält, wenn er einen neuen Druckertreiber installieren möchte („Vertrauen Sie diesem Drucker?…“). Für die Installation der Drucker per Gruppenrichtlinie empfehle ich das Deaktivieren dieser Sicherheitshinweise, da durch den Eintrag des/der FQDN ohnehin bereits nicht vertrauenswürdige Quellen ausgeschlossen werden.
Für Windows Rechner, die nicht Mitglied einer Domäne sind, lässt sich diese Einstellung übrigens auch in den lokalen Gruppenrichtlinien (gpedit.msc) aktivieren.
Und für die ganz armen Administratoren, die (noch) Windows Vista in Ihrem Netzwerk führen, Ihr findet diese Einstellungen nicht in den Computerrichtlinien, sondern in den Benutzerrichtlinien.
Ebenfalls interessant:
Dieser Artikel ist wie alle anderen auf dieser Seite kostenlos für Dich und ich hoffe, ich konnte Dir weiterhelfen. Wer möchte, kann diesem Blog eine kleine Aufmerksamkeit in Form einer kleinen Spende (PayPal) oder über die Amazon Wunschliste zukommen lassen.
Hinterlasse einen Kommentar