(0) exportieren Drucken
Alle erweitern

Zuweisen delegierter Druckadministrator- und Druckerberechtigungseinstellungen in Windows Server 2008 R2

Letzte Aktualisierung: September 2009

Betrifft: Windows 7, Windows Server 2008 R2

Das Planen der Sicherheit für die Druckerserver und Einschränken des Zugriffs auf die Server sind ein wichtiger Bestandteil der Druckerserververwaltung. In Windows Vista® und Windows Server® 2008 konnten Druckverwaltungsaufgaben nur von Systemadministratoren ausgeführt werden. In Windows Server 2008 R2 können Sie Druckverwaltungsaufgaben jetzt direkt an Benutzer delegieren, die keine Systemadministratoren sind. Sie können auch Standard-Druckersicherheitseinstellungen definieren, die geerbt werden, wenn Sie dem Druckerserver neue Drucker hinzufügen.

Diese Änderungen bieten die folgenden Verbesserungen für die Drucker- und Druckerserververwaltung:

  • Sie können den Zugriff auf Ressourcen steuern und Arbeitsauslastungen ausgleichen, indem Sie bestimmte Druckverwaltungsaufgaben an Benutzer delegieren, ohne sie der Sicherheitsgruppe "Administratoren" hinzuzufügen.

  • Sie können Berechtigungseinstellungen über die verbesserte Benutzeroberfläche der Registerkarte "Sicherheit" im Dialogfeld "Eigenschaften des Druckerservers" verwalten.

  • Sie können die Druckerinfrastruktur verwalten, indem Sie Standard-Druckersicherheitseinstellungen konfigurieren, die neue Drucker beim Hinzufügen automatisch erben. Die Einstellungen können pro Server konfiguriert werden, sodass Sie die Drucker nicht einzeln konfigurieren müssen.

Konfigurieren von Sicherheitseinstellungen

In diesem Abschnitt werden folgende Themen behandelt:

noteHinweis
Die Druckerserversicherheit kann nur von Mitgliedern der Gruppe "Administratoren" konfiguriert werden.

Benutzeroberfläche für die Druckerserversicherheit

In Windows Server 2008 R2 können Benutzer, die der Gruppe "Administratoren" angehören, die Drucksicherheitseinstellungen direkt konfigurieren, indem sie die Berechtigungen für die Druckerserver-Zugriffssteuerungsliste (ACL) im Microsoft Management Console-Snap-In "Druckverwaltung" bearbeiten. Klicken Sie zum Anzeigen der ACL-Berechtigungen für den Druckerserver auf Start und Verwaltung, klicken Sie mit der rechten Maustaste auf Druckverwaltung, und klicken Sie dann auf Als Administrator ausführen. Klicken Sie im linken Bereich auf Druckerserver, klicken Sie mit der rechten Maustaste auf den jeweiligen Druckerserver, und klicken Sie dann auf Eigenschaften. Klicken Sie im Dialogfeld Eigenschaften des Druckerservers auf die Registerkarte Sicherheit.

Abbildung 1 zeigt die Benutzeroberfläche der Registerkarte Sicherheit, die für ein Mitglied der Gruppe "Administratoren" geöffnet wird.

Abbildung 1   Registerkarte "Sicherheit" im Dialogfeld "Eigenschaften des Druckerservers"

In einer Domäne können Mitglieder der Gruppe "Administratoren" die Einstellungen für die Druckerserversicherheit remote konfigurieren. Dazu kann das Snap-In "Druckverwaltung" verwendet werden. Die Remotefunktion für Benutzer zum Anzeigen der Benutzeroberfläche für die Druckerserversicherheit wird für bestimmte frühere Betriebssysteme unterstützt, darunter Windows Server 2008, Windows Vista mit SP1 und Windows Vista mit SP2. Die Funktion für delegierte Druckadministratoren ist zurzeit jedoch nur unter Windows Server 2008 R2 verfügbar.

Festlegen von Berechtigungen in den Eigenschaften des Druckerservers

Druckerserverberechtigungen steuern die Zugriffsebenen für Benutzer auf einem bestimmten Druckerserver. Druckerberechtigungen steuern, welche Druckaufgaben Benutzer auf neu hinzugefügten Druckern ausführen können, die vom Druckerserver verwaltet werden. Administratoren sollten diese Berechtigungen nach Bedarf Benutzern zuweisen, die keine Systemadministratoren sind.

Nachdem ein Administrator die Sicherheitseinstellungen für den Druckerserver angepasst hat, erben alle neuen Drucker, die dem Druckerserver hinzugefügt werden, automatisch diese Sicherheitseinstellungen. (Die Sicherheitseinstellungen für die vorhandenen Drucker auf dem Server werden nicht geändert.)

Die zwei Ebenen der Druckerserverberechtigungen lauten wie folgt:

  • Server anzeigen

    Benutzer mit der Berechtigung "Server anzeigen" können den Druckerserver anzeigen. Benutzer ohne die Berechtigung "Server anzeigen" können die vom Server verwalteten Drucker nicht sehen. Standardmäßig wird diese Berechtigung Mitgliedern der Gruppe "Jeder" gewährt.

  • Server verwalten

    Benutzer mit der Berechtigung "Server verwalten" können Druckerwarteschlangen (mit bereits installierten Treibern) erstellen und löschen, Ports hinzufügen oder löschen und Formulare hinzufügen oder löschen. Ein Standardbenutzer mit dieser Berechtigung wird als "delegierter Druckadministrator" bezeichnet.

    noteHinweis
    Nur Benutzer, die die Berechtigung "Server verwalten" besitzen und Mitglieder der Gruppe "Administratoren" sind, können Druckertreiber hinzufügen.

Die drei Ebenen der Druckerberechtigungen lauten wie folgt:

  • Drucken

    Benutzer mit der Berechtigung "Drucken" können eine Verbindung mit Druckern herstellen, eigene Dokumente drucken und die Druckaufträge für ihre Dokumente anhalten, starten und abbrechen. Standardmäßig wird diese Berechtigung Mitgliedern der Gruppe "Jeder" gewährt, wenn eine Druckerwarteschlange erstellt wird.

  • Dokumente verwalten

    Benutzer mit der Berechtigung "Dokumente verwalten" können Auftragseinstellungen für alle Dokumente steuern und Druckaufträge für alle Dokumente anhalten, neu starten und löschen.

  • Drucker verwalten

    Benutzer mit der Berechtigung "Drucker verwalten" können den Drucker anhalten und neu starten, Spoolereinstellungen ändern, einen Drucker freigeben, Druckerberechtigungen anpassen und Druckereigenschaften ändern.

Durch die Möglichkeit, den Zugriff auf einen Drucker individuell pro Benutzer oder pro Gruppe zu gewähren, können Drucker von einem zentralen Ort aus verwaltet werden. Ein Administrator kann z. B. den Zugriff auf einen Drucker in einem öffentlichen Bereich einschränken, während er den Drucker von einem sicheren, zentralen Ort aus verwaltet.

Die standardmäßigen Druckerserver- und Druckersicherheitseinstellungen in Windows Server 2008 R2 lauten wie folgt:

 

 

  Jeder Ersteller-Besitzer Administratoren

Drucken

Zulassen

Zulassen

Dokumente verwalten

Zulassen

Zulassen

Drucker verwalten

Zulassen

Server anzeigen

Zulassen

Zulassen

Server verwalten

Zulassen

Erstellen eines delegierten Druckadministrators

Mitglieder der Gruppe "Administratoren" können einen vollständigen delegierten Druckadministrator erstellen, indem sie einem Benutzer die Berechtigung "Server verwalten" zuweisen. Wenn die Berechtigung "Server verwalten" gewährt wird, wird die Berechtigung "Server anzeigen" automatisch auch zugewiesen. Sie können auch eine Teilmenge dieser Berechtigungen delegieren, um einen teilweisen delegierten Druckadministrator zu erstellen.

So erstellen Sie einen vollständigen delegierten Druckadministrator

  1. Klicken Sie auf Start und Verwaltung, klicken Sie mit der rechten Maustaste auf Druckverwaltung, und klicken Sie dann auf Als Administrator ausführen.

    Klicken Sie im linken Bereich auf Druckerserver, klicken Sie mit der rechten Maustaste auf den jeweiligen Druckerserver, und klicken Sie dann auf Eigenschaften.

    Klicken Sie im Dialogfeld Eigenschaften des Druckerservers auf die Registerkarte Sicherheit.

  2. Klicken Sie auf Hinzufügen, um Berechtigungen für eine neue Gruppe oder einen neuen Benutzer zu konfigurieren. Geben Sie den Namen der Gruppe oder des Benutzers, für die bzw. den Sie Berechtigungen festlegen möchten, im folgenden Format ein: Domänenname\Benutzername. Klicken Sie auf OK, um das Dialogfeld zu schließen.

    TipTipp
    Bevor Sie dem Server Drucker hinzufügen, sollten Sie eine Gruppe von Benutzern erstellen, die delegierte Druckaufgaben ausführen können, und dann die entsprechenden Berechtigungen konfigurieren. Wenn Sie so vorgehen, erben alle neu hinzugefügten Drucker automatisch diese Einstellungen, und Sie müssen vorhandene Drucker nicht einzeln für den Druckerserver konfigurieren.

  3. Markieren Sie den zuvor hinzugefügten Benutzer- bzw. Gruppennamen, und klicken Sie in Berechtigungen für <Benutzer- oder Gruppenname> für die Berechtigung Server verwalten auf Zulassen. (Die Berechtigung Server anzeigen wird ebenfalls zugewiesen.)

  4. Aktivieren Sie die Kontrollkästchen Zulassen für die Berechtigungen Drucken, Dokumente verwalten und Drucker verwalten.

So erstellen Sie einen teilweisen delegierten Druckadministrator

  • Gehen Sie wie folgt vor, um einem Administrator das Hinzufügen von Druckern zu ermöglichen:

    Folgen Sie den obigen Anweisungen, aktivieren Sie dabei jedoch die Kontrollkästchen Zulassen für die Berechtigungen Server verwalten und Drucken. ((Die Berechtigung Server anzeigen wird automatisch auch zugewiesen).

  • Gehen Sie wie folgt vor, um einem Administrator das Verwalten vorhandener Druckerwarteschlangen zu ermöglichen:

    Folgen Sie den obigen Anweisungen, aktivieren Sie dabei jedoch die Kontrollkästchen Zulassen für die Berechtigungen Server anzeigen, Drucken, Dokumenten verwalten und Drucker verwalten.

Druckbezogene Berechtigungen und zugehörige Aufgaben

In der folgenden Tabelle sind die Druckaufgaben aufgeführt, die ein Benutzer ausführen kann, wenn ihm die entsprechenden Berechtigungen auf der Registerkarte Sicherheit des Dialogfelds Eigenschaften des Druckerservers zugewiesen werden.

 

  Drucken Drucker verwalten Dokumente verwalten Server anzeigen Server verwalten

Anzeigen der Druckerwarteschlange (auf dem lokalen Server)

Ja

Drucken eigener Dokumente (Senden an die Warteschlange)

Ja

Anzeigen, Anhalten, Neustarten und Abbrechen aller Druckaufträge in einer Warteschlange

Ja

Aktualisieren von installierten oder enthaltenen Treibern und Treibern, die über Windows Update verfügbar sind, für eine vorhandene Warteschlange

noteHinweis
Dies gilt nicht für Clusterdruckumgebungen.

Ja

Hinzufügen oder Löschen eines Formulars in einer Warteschlange

Ja

Anzeigen der Druckereigenschaften

Ja

Anzeigen der Eigenschaften des Druckerservers

Ja

Konfigurieren von Druckersicherheitsberechtigungen in einer Druckerwarteschlange

Ja

Verwalten der Druckerserver-Sicherheitsbeschreibung setServerSecurityDescriptor-Flag

Hinzufügen einer Druckerwarteschlange zu einem Druckerserver

Ja, wenn die Treiber bereits installiert sind

Löschen einer Druckerwarteschlange von einem Druckerserver

Ja, aber nur Warteschlangen, für die Berechtigungen gewährt wurden

Hinzufügen eines Druckertreibers zu einem Druckerserver

Ja, aber nur lokal. Der Benutzer muss ein Mitglied der Gruppe "Administratoren" sein, um dem Druckerserver Treiber hinzuzufügen (auch remote).

Löschen eines Druckertreibers aus einem Druckerserver

Ja, aber nur für Treiber (nicht für Treiberpakete)

Hinzufügen, Löschen und Konfigurieren von Ports auf einem Druckerserver

Ja

Hinzufügen und Löschen eines Formulars auf einem Druckerserver

Ein Benutzer, dem die Berechtigung "Drucker verwalten", aber nicht die Berechtigung "Server verwalten" zugewiesen ist, kann ein Formular hinzufügen, wenn AllowUserManageForms in der Windows-Registrierung auf einen Wert ungleich 0 (null) festgelegt ist. Ein Benutzer kann entsprechend dem angegebenen Wert für AllowUserManageForms Formulare hinzufügen. Ein Benutzer kann nur Benutzerformulare hinzufügen und löschen. Ein Benutzer mit der SERVER_ACCESS_ADMINISTER-Berechtigung kann jedoch uneingeschränkt Drucker und Benutzerformulare hinzufügen und löschen.

Ja

Freigeben des Druckers

Ja, wenn der Benutzer über die Berechtigung "Drucker verwalten" auf dem Druckerserver verfügt und die Datei- und Druckerfreigabe-Ausnahmen in der Windows-Firewall mit erweiterter Sicherheit aktiviert wurden

Ja, wenn der Benutzer über die Berechtigung "Drucker verwalten" auf dem Druckerserver verfügt und die Datei- und Druckerfreigabe-Ausnahmen in der Windows-Firewall mit erweiterter Sicherheit aktiviert wurden

Entwerfen und Erstellen von Drucksicherheitsgruppen

Die folgende Liste enthält empfohlene Drucksicherheitsgruppen und die zugehörigen Berechtigungen:

  • Gruppe "Systemadministratoren": Besteht aus Mitgliedern der Sicherheitsgruppe "Administratoren".

  • Gruppe "Druckadministratoren": Besteht aus Mitgliedern der Gruppe "Systemadministratoren" und Benutzern, denen delegierte Druckadministratorrechte zugewiesen wurden. Abhängig von den zugewiesenen Rechten können Mitglieder dieser Gruppe vollständige delegierte Administratoren oder teilweise delegierte Administratoren sein.

noteHinweis
Wenn Sie die von Mitgliedern der Gruppe "Administratoren" ausführbaren Druckverwaltungsaufgaben einschränken möchten, können Sie diesen Drucksicherheitsgruppen anstelle von ganzen Gruppen einzelne Mitglieder hinzufügen und dann die entsprechenden Berechtigungen zuweisen.

Die folgende Tabelle zeigt, welche Aktionen abhängig von den zugewiesenen Berechtigungen ausgeführt werden können:

 

  Standardbenutzer: Können eine Verbindung mit Druckern herstellen und eigene Dokumente drucken (Berechtigungen: "Drucken", "Server anzeigen") Teilweise delegierte Administratoren: Können Drucker hinzufügen (Berechtigungen: "Drucken", "Server anzeigen", "Server verwalten") Teilweise delegierte Administratoren: Können vorhandene Warteschlangen verwalten (Berechtigungen: "Drucken", "Server anzeigen", "Drucker verwalten", "Dokumente verwalten") Vollständige delegierte Administratoren: Können alle administrativen Druckaufgaben ausführen (Berechtigungen: "Drucken", "Dokumente verwalten", "Drucker verwalten", "Server anzeigen", "Server verwalten") Systemadministratoren: Können das System vollständig verwalten (Berechtigungen: "Drucken", "Dokumente verwalten", "Drucker verwalten", "Server anzeigen", "Server verwalten")

Anzeigen der Druckerwarteschlange auf dem lokalen Server

Ja

Ja

Ja

Ja

Ja

Drucken (Druckaufträge an die Warteschlange senden)

Ja

Ja

Ja

Ja

Ja

Anzeigen, Anhalten, Neustarten oder Abbrechen von Druckaufträgen in einer Warteschlange, deren Besitzer der Benutzer ist

Ja

Ja

Ja

Ja

Ja

Ändern aller Druckaufträge in einer Warteschlange

Ja

Ja

Ja

Aktualisieren installierter oder enthaltener Treiber für eine vorhandene Warteschlange

Ja

Ja

Ja

Hinzufügen oder Löschen eines Formulars in der Warteschlange

Ja

Ja

Ja

Anzeigen der Druckereigenschaften

Ja

Ja

Ja

Ja

Ja

Anzeigen der Eigenschaften des Druckerservers

Ja

Ja

Ja

Ja

Ja

Verwalten der Sicherheitsberechtigung für die Druckerwarteschlange

Ja

Ja

Ja

Verwalten der Druckerserver-Sicherheitsbeschreibung setServerSecurityDescriptor-Flag

Ja

Hinzufügen und Löschen der Druckerwarteschlange auf einem Server

Ja, es können aber nur Drucker mit einem vorinstallierten Treiber hinzugefügt werden.

Ja, die Druckerwarteschlange kann aber nur mit der Berechtigung "Drucker verwalten" gelöscht werden.

Ja, es können aber nur Drucker mit einem vorinstallierten Treiber hinzugefügt werden.

Ja

Hinzufügen und Löschen eines Druckertreibers auf einem Server

Ja, aber nur lokal. Der Benutzer muss Mitglied der Gruppe "Administratoren" sein, um nicht enthaltene Treiber hinzuzufügen oder dem Druckerserver remote Treiber hinzuzufügen.

Ja, aber nur lokal. Der Benutzer muss Mitglied der Gruppe "Administratoren" sein, um nicht enthaltene Treiber hinzuzufügen oder dem Druckerserver remote Treiber hinzuzufügen.

Ja

Hinzufügen, Löschen und Konfigurieren von Ports auf einem Druckerserver

Ja

Ja

Ja

Hinzufügen und Löschen eines Formulars auf einem Druckerserver

Ja

Ja

Ja

Freigeben des Druckers

Ja, wenn der Benutzer über die Berechtigung "Drucker verwalten" auf dem Druckerserver verfügt und die Datei- und Druckerfreigabe-Ausnahmen in der Windows-Firewall mit erweiterter Sicherheit aktiviert wurden

Ja, wenn die Datei- und Druckerfreigabe-Ausnahmen in der Windows-Firewall mit erweiterter Sicherheit aktiviert wurden

Ja

noteHinweis
Es wird empfohlen, dass Treiber nur von Mitgliedern der Gruppe "Systemadministratoren" installiert werden. Wenn ein delegierter Druckadministrator vorhat, Warteschlangen remote hinzuzufügen oder zu verwalten, sollte der Systemadministrator den Treiber mit Skripts (z. B. dem Prmdrvr-Befehl) oder manuell im folgenden Verzeichnis installieren:

systemdrive\Windows\System32\spool\drivers\processor_architecture\3

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Anzeigen:
© 2014 Microsoft