:strip_icc():strip_exif()/u/31644/george.jpg?f=community)
Is het mogelijk om printers in een OU in de AD te verbergen voor andere users uit een andere OU? Op dit moment krijgt iedereen alle printers te zien, dus ook de printers waar ze helemaal geen toegang toe mogen hebben. Ik kan uiteraard dan wel met rechten de printers ontoegankelijk maken, maar liever heb ik dat de users deze printers helemaal niet zien.
:strip_icc():strip_exif()/u/17296/palawanmini.jpg?f=community)
:strip_icc():strip_exif()/u/84973/images.jpg?f=community)
MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B
:strip_icc():strip_exif()/u/15793/zwelgje100.jpg?f=community)
Heb ik ook naar gekeken, maar in de descrption staat: This setting only provides a starting point for Active Directory searches for printers. It does not restrict user searches through Active Directory.
Oftewel, ze mogen nog steeds er buiten printers toevoegen via een search, en ik wil juist volledig voorkomen dat ze uberhaupt die printers op wat voor manier ook kunnen zien. Deze policy voorziet daar helaas niet in.
Dat de oplossing niet de schoonheidsprijs verdient ben ik het ook wel mee eens, aangezien ik niet van deny-rechten hou. Ik ga nog even prutsen om te zien of het niet mogelijk is om een user-group aan de OU te knopen en die toestemming te geven, in plaats van diverse groups toe te moeten voegen en die toegang te ontnemen. Voor nu werkt het in ieder geval even, dus de haast is er wel weer vanaf
Deny rechten op een OU voorkomt ook niet dat users printers koppelen dmv het intypen van \\printserver\printersharename. 
Wat wil je nu precies? Je vraagt in je topicstart om printers niet zichtbaar te maken, maar ik begrijp dat je toegang/printrechten op bepaalde printers wilt verbieden? Dan zul je toch echt met security rechten aan de slag moeten...
Wat wil je nu precies? Je vraagt in je topicstart om printers niet zichtbaar te maken, maar ik begrijp dat je toegang/printrechten op bepaalde printers wilt verbieden? Dan zul je toch echt met security rechten aan de slag moeten...
MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B
Users mogen dan ook geen UNC-paden benaderen of browsen over het netwerk. Dat probleem zal dus niet spelen.:
Deny rechten op een OU voorkomt ook niet dat users printers koppelen dmv het intypen van \\printserver\printersharename.
De security-settings staan uiteraard al op de printers; ze kunnen er al niet op printen, maar het staat erg slordig om een hele waslijst van printers te presenteren die de users vervolgens toch niet mogen gebruiken. Ik wil alleen tonen wat mag, en verbergen wat niet mag. Eigenlijk dus hetzelfde als wat je met Samba-shares kan doen met Access-based Enumeration, maar dat kan je helaas alleen op samba-shares toepassen, en niet op shared printers in een OU.
mjah als ze het IP weten van de printer kunnen ze ook direct op het IP printen:
Deny rechten op een OU voorkomt ook niet dat users printers koppelen dmv het intypen van \\printserver\printersharename.
Printers super beveiligen kost veel werk. De deny rechten op de container verdiend idd niet de schoonheidsprijs en zou eigenlijk ook vermeden moeten worden maar gezien kroegtijger specifiek vroeg over het totaal niet kunnen vinden in AD was dat het juiste antwoord.
In andere scenarios zal je een andere oplossing willen toepassen en deze fix zou niet klakkeloos door elke (beginnend) beheerder moeten worden opgepakt als oplossing om printers te hiden in AD zonder er goed over na te denken.
mjah dat is omdat het AD objects zijn, daar heeft standaard everyone read op. Op het UNC pad van de printer kan je wel degelijk access based enumeration gebruiken
[ Voor 22% gewijzigd door Razwer op 18-01-2013 14:10 ]
Newton's 3rd law of motion. Amateur moraalridder.
:strip_icc():strip_exif()/u/19987/images.jpg?f=community)
:strip_icc():strip_exif()/u/77151/crop56c8611200b21_cropped.jpeg?f=community)
@killah_priest, vbs is antiek . Dat kan beter met GPO preferences
Je kan zowel lokaal installeren (TCP/IP port) of netwerk printers (UNC pad) droppen daar mee. Behalve dat het simpeler en sneller gaat dan een vbsje scripten, draait een vbsje ook nog eens in de user context dus kan je tegen limitaties aanlopen als je user geen local admin is, uac elevation, gpo settings etc.
Dit geldt overigens niet alleen voor printers maar voor het overgrote deel wat vroegah moet login scripts gedaan werd
. Dat kan beter met GPO preferences Je kan zowel lokaal installeren (TCP/IP port) of netwerk printers (UNC pad) droppen daar mee. Behalve dat het simpeler en sneller gaat dan een vbsje scripten, draait een vbsje ook nog eens in de user context dus kan je tegen limitaties aanlopen als je user geen local admin is, uac elevation, gpo settings etc.
Dit geldt overigens niet alleen voor printers maar voor het overgrote deel wat vroegah moet login scripts gedaan werd
Newton's 3rd law of motion. Amateur moraalridder.
/u/5326/crop62419ed74cc60.png?f=community)
Mits het ip van de printer in hetzelfde lan ligt/routeerbaar is..:
mjah als ze het IP weten van de printer kunnen ze ook direct op het IP printen
Ik zet printer meestal in een appart VLAN wat alleen vanaf de printservers bereikbaar is.. of wanneer de printers het toelaten, alleen via ipsec of andere form van authenticatie/authorisatie.
Duct tape can't fix stupid, but it can muffle the sound.
Pagina: 1