Unter Windows 7 haben sich mal wieder die Sicherheitseinstellungen für das Drucken im Netzwerk geändert. Über Gruppenrichtlinien lässt sich das Verhalten von Windows 7 steuern.
Traditionell war es bis Windows XP so, dass Domänenbenutzer Verbindungen zu internen Druckservern herstellen und die Druckertreiber installieren (lassen) konnten, ohne dazu administrative Berechtigungen zu benötigen. Mit Windows Vista hatte sich dies geändert: Plötzlich fragte Windows auch beim Installieren eines Netzwerkdruckers nach Adminrechten. Auch dort gibt es Abhilfe per GPO – allerdings funktioniert dieser Weg nicht mehr unter Windows 7!
Folgender Artikel beschreibt das Verfahren für Vista:
[faq-o-matic.net » Drucken unter Vista in der Domäne]
http://www.faq-o-matic.net/2007/09/15/drucken-unter-vista-in-der-domaene/
Ein Rechner unter Windows 7, den man in dieselbe Domäne aufnimmt, lässt sich von den Einstellungen der dort beschriebenen Gruppenrichtlinie aber nicht beeindrucken. Der Grund: Microsoft hat das Verhalten geändert. Während die Einstellungen unter Vista auf das Benutzerkonto wirkten (und daher in der Gruppenrichtlinie im Benutzerzwei stehen müssen), lässt sich Windows 7 hierfür nur über das Computerkonto konfigurieren. Leider gibt es in der Gruppenrichtlinie selbst keinen Hinweis auf diesen Umstand. Folgender TechNet-Artikel weit aber darauf hin:
[Control Printer Driver Installation Security]
http://technet.microsoft.com/en-us/library/cc753269.aspx#BKMK_GPLimitServers
Der relevante Abschnitt ist dieser Kasten:
The Point and Print Restrictions setting can also be found under User Configuration\Policies\Administrative Templates\Control Panel\Printers. This policy is ignored by Windows 7 and Windows Server 2008 R2, but is enforced by earlier editions of the operation system including versions Windows XP with SP1, Windows Server 2003 with SP1, and Windows Server 2008. We recommend that you change this policy setting in both locations so that all down-level clients have a consistent experience.
Das ist natürlich nicht besonders glücklich geregelt. Nicht nur hat sich die Logik geändert, sondern auch der Pfad innerhalb der GPO-Einstellungen ist ein anderer. Daher hier noch mal eine Beschreibung:
- Man öffne die betreffende Gruppenrichtlinie unter Windows 7 oder unter Windows Server 2008 R2 mit dem Gruppenrichtlinien-Editor.
Achtung: Im GPO-Editor unter XP, Vista usw. stehen die nötigen Punkte u.U. nicht zur Verfügung!
Und wichtig: Die Gruppenrichtlinie muss auf die Computerkonten der 7-Rechner wirken, nicht auf die Benutzerkonten! - Die Einstellung findet sich in folgendem Knoten: Computerkonfiguration/ Richtlinien/ Administrative Vorlagen/ Drucker. Der relevante Punkt ist: “Point-and-Print-Einschränkungen”.
- Diesen Punkt konfiguriert man so:
- Danach aktualisiert man auf den 7-Rechnern die Gruppenrichtlinie: Durch Neustart, durch Abwarten (ca. 90 Minuten) oder durch “gpupdate /target:computer” in einem CMD-Fenster, das mit administrativen Rechten läuft.
- Danach kann auch ein Nicht-Admin Drucker installieren, die auf Domänenservern freigegeben sind.
http://faq-o-matic.net/?p=1799