[2003] Installeren local printer zonder lid Print Operators? - Serversoftware en clouddiensten

woensdag 9 augustus 2006 17:42

Acties:

Verwijderd

Topicstarter

Hallo mensen,

ik zou graag een gebruiker op een Windows 2003 Domain Controller het recht willen geven om lokaal op de server een printer te kunnen installeren...
Volgens Microsoft is de enige manier om dit voor elkaar te krijgen, de betreffende user lid te maken van de built-in group Print Operators. Dit wil ik niet, want deze Print Operators groep mag veel meer dan alleen printers installeren en beheren (bijvoorbeeld het systeem afsluiten, device drivers installeren, enz...)

Is er misschien iemand die weet hoe ik een user het recht kan geven om lokaal printers te installeren op een DC zonder de user lid te maken van Print Operators...?

p.s. de tip van Aaron Margosis' weblog (http://blogs.msdn.com/aar...ve/2005/04/18/409105.aspx) heb ik geprobeerd, voor het beheren van shares werkt deze oplossing, echter niet voor het installeren van printer drivers.

Als iemand me kan helpen, heel graag!

groeten,
Ferdy

woensdag 9 augustus 2006 17:54

Acties:

Verwijderd

wat moet een gebruiker uberhaupt op een domaincontroller lokaal doen?

maar ik denk dat je weinig opties hebt. Of alle rechten met het handje gaan nalopen (filemon en regmon), maar dan heb je hem zelf al geinstalled

woensdag 9 augustus 2006 18:27

Acties:

elevator

Officieel moto fan :)

Als je iemand eenmaal de benodigde rechten geeft om een printer te installeren (lees: drivers te laden onder de SYSTEM context - want dat is de printer spooler) is het sowieso een veiligheids risico (dan heb ik het nog even niet eens over het absurde feit dat users zouden gaan aanloggen op een domain controller), dus waar maak je je druk om?

Maak gewoon iedereen admin

woensdag 9 augustus 2006 19:16

Acties:

sanfranjake

Computers can do that?

elevator schreef op woensdag 09 augustus 2006 @ 18:27:
Als je iemand eenmaal de benodigde rechten geeft om een printer te installeren (lees: drivers te laden onder de SYSTEM context - want dat is de printer spooler) is het sowieso een veiligheids risico (dan heb ik het nog even niet eens over het absurde feit dat users zouden gaan aanloggen op een domain controller), dus waar maak je je druk om?

Maak gewoon iedereen admin

Precies, je kan het makkelijkste toch wel gewoon de Print Operators groep gebruiken

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

woensdag 9 augustus 2006 20:43

Acties:

Verwijderd

Topicstarter

Bedankt voor de reacties.

Het gaat hier om een kleine omgeving waarbij ik het beheer van 2 servers (beide 2003 DC's) tot op zekere hoogte uit handen wil geven.

Ik wil 1e lijns beheerders de mogelijkheid geven om printers en shares te kunnen beheren, maar verder moeten ze niets kunnen doen.
Is niet echt absurd toch?

Filemon en regmon heb ik gebruikt, maar hiermee kan ik niet zien waarom bij een gebruiker die geen lid is van print operators de optie install local printer greyed out is... om maar iets te noemen

woensdag 9 augustus 2006 20:48

Acties:

Zwelgje

dan laat je die helldeskers toch via de admin tools de boel beheren en niet via de console van de server. die deny je dan rdp toegang tot de console

* Zwelgje zou sowieso geen helldeskers toegang geven tot de console van zijn servers. beheer moeten ze maar doen via de daarvoor gemaakte admin tools

A wise man's life is based around fuck you

woensdag 9 augustus 2006 20:56

Acties:

elevator

Officieel moto fan :)

Komen er dan zo ontzettend vaak printers bij dat dit een taak is die je per se wilt uitbesteden? Het aantal en type printers - zeker in een kleine omgeving - zal toch gewoon stabiel zijn?

Dat je het resetten van passworden wilt uitbesteden aan je helpdesk snap ik nog, maar iets als het installeren van een printer driver

Je weet toch bv. dat als je de verkeerde printer driver installeert dat dit een kernel driver kan zijn en dus je server kan BSOD'en? Je weet toch ook bv. dat relatief teveel HP printer drivers elkaar bijten en dus bij elkaar voor problemen zorgen? Lijkt me niet dat je dit soort zaken wilt uitbesteden aan niet kundige mensen eigenlijk

woensdag 9 augustus 2006 21:00

Acties:

Zwelgje

elevator schreef op woensdag 09 augustus 2006 @ 20:56:
Komen er dan zo ontzettend vaak printers bij dat dit een taak is die je per se wilt uitbesteden? Het aantal en type printers - zeker in een kleine omgeving - zal toch gewoon stabiel zijn?

Dat je het resetten van passworden wilt uitbesteden aan je helpdesk snap ik nog, maar iets als het installeren van een printer driver

Je weet toch bv. dat als je de verkeerde printer driver installeert dat dit een kernel driver kan zijn en dus je server kan BSOD'en? Je weet toch ook bv. dat relatief teveel HP printer drivers elkaar bijten en dus bij elkaar voor problemen zorgen? Lijkt me niet dat je dit soort zaken wilt uitbesteden aan niet kundige mensen eigenlijk

met 2003 worden kernel drivers default geblocked bij install

dus dat kan het excuus niet zijn. ben het wel met je eens dat je stervelingen geen drivers laat installeren op je productiemachines.

A wise man's life is based around fuck you

donderdag 10 augustus 2006 13:37

Acties:

Verwijderd

Topicstarter

Zwelgje schreef op woensdag 09 augustus 2006 @ 20:48:
dan laat je die helldeskers toch via de admin tools de boel beheren en niet via de console van de server. die deny je dan rdp toegang tot de console

* Zwelgje zou sowieso geen helldeskers toegang geven tot de console van zijn servers. beheer moeten ze maar doen via de daarvoor gemaakte admin tools

Uiteraard laat ik de mensen niet inloggen op de console.
Maar ook m.b.v. van de admin tools is het niet mogelijk om een niet-print operator een printer te laten installeren op een DC. Althans, niet volgens MS...

Is er nog iemand met een idee?