Unberechtigten Zugriff auf Druckserver verhindern

Berechtigungen anpassen, Einstellungen optimieren Unberechtigten Zugriff auf Druckserver verhindern

24.08.2015 Von Thomas Joos

Anbieter zum Thema

Paessler AG

Cradlepoint GmbH

Southern Tech GmbH

In vielen Unternehmen steigen die Druckkosten unnötig an, weil Anwender unberechtigt Dokumente ausdrucken oder auf falschen Druckern ausgedruckt wird. Windows Server bietet hier jedoch ebenso Möglichkeiten zur Regulierung an, wie viele Profi-Drucker. Wir zeigen die Möglichkeiten, unberechtigte Ausdrucke zu verhindern.

Unberechtigte oder am falschen Gerät erstellte Ausdrucke können hohe Kosten verursachen. Ein gezieltes Rechte-Management schafft hier Abhilfe.
(Bild: tashatuvango - Fotolia.com)

Die meisten Unternehmen stellen Drucker im Netzwerk über einen Druckerserver zur Verfügung. Dazu werden die Drucker auf dem Druckerserver installiert, freigegeben und danach die Rechte angepasst. Der beste Weg Rechte anzupassen, besteht darin, dass Administratoren eine Active-Directory-Gruppe oder eine lokale Gruppe auf dem Druckerserver anlegen und dort genau die Benutzerkonten aufnehmen, die gezielte Rechte erhalten sollen, um auf den einzelnen Druckern zu drucken.

Anschließend muss in den Einstellungen nur noch festgelegt werden, welche Gruppen Rechte erhalten, die einzelnen Drucker zu nutzen. Diese Einstellungen lassen sich auch skripten. Das dazu notwendige kostenlose Befehlszeilen-Tool stellen wir nachfolgend vor.

Bildergalerie

Abbildung 1: In den Sicherheitseinstellungen von Druckern können Administratoren genau festlegen, welche Benutzer und Gruppen das Recht erhalten sollen den Drucker zu nutzen.

Abbildung 2: Mit dem kostenlosen Befehlszeilentool SetACL.exe lassen sich umfangreiche Sicherheitseinstellungen von Druckern schnell und einfach skripten.

Abbildung 3: Viele Drucker, wie zum Beispiel Brother-Geräte bieten auch IP-Filter für den Zugriff auf die Netzwerkschnittstelle an.

Abbildung 4: Viele Drucker bieten die Möglichkeit, Benutzer auf Basis von Benutzernamen zu sperren, oder über Active-Directory-Konten zu authentifizieren.

Sobald Administratoren einen Benutzer in die Gruppe mit aufnehmen, darf er drucken. Ist ein Benutzer kein Mitglied dieser Gruppe, darf er den entsprechenden Drucker nicht nutzen. Einfach ausgedrückt, muss die Konfiguration also nur einmal vorgenommen werden. Danach werden die entsprechenden Rechte dadurch vergeben, dass die Benutzerkonten in die passende Gruppe verschoben werden. Entfernen Administratoren ein Benutzerkonto aus der Gruppe, darf der hinterlegte Drucker nicht mehr verwendet werden. Auf diesem Weg lassen sich unerwünschte Ausdrucke schnell und einfach verhindern.

Druckerberechtigungen anpassen

Administratoren finden die Einstellungen in der Systemsteuerung von Windows Server 2012 R2 über Hardware/Geräte und Drucker. Mit der rechten Maustaste auf den Drucker geklickt und nach Auswahl der Druckereigenschaften lassen sich die Berechtigungen auf dem Server anpassen. Über die Registerkarte "Sicherheit" können Administratoren die Zugriffsberechtigungen für Drucker konfigurieren. Hier gibt es drei Berechtigungen, die standardmäßig zugeordnet werden können:

Drucken – Die Einstellung "Drucken" erlaubt die Ausgabe von Dokumenten auf dem Drucker. In den meisten Fällen ist hier die Gruppe "Jeder" eingetragen, das heißt jeder Anwender darf den Drucker nutzen. Hier sollte die Gruppe entfernt werden. Anschließend wird die neu erstellte Gruppe hinzugefügt und erhält das Recht den Drucker zu nutzen. (siehe Abbildung 1).
Diesen Drucker verwalten – Das Aktivieren diese Checkbox ermöglicht die Veränderung von Druckereinstellungen. Dieses Recht sollten nur Administratoren erhalten, die den Drucker verwalten sollen. Benutzer sollten diese Funktion nicht nutzen können, da es so möglich wäre, den Drucker zu verwalten und damit auch Rechte verändern zu können.
Dokumente verwalten – Erlaubt die Verwaltung von Warteschlangen und damit beispielsweise das Löschen von Dokumenten aus solchen Warteschlangen. Dieses Recht sollten entweder Administratoren erhalten, oder speziell geschulte Anwender, die Dokumente aus den Druckwarteschlangen löschen sollen.

Druckberechtigungen mit Skripten setzen – SetACL.exe

Die Verteilung von Berechtigungen lässt sich auch über Skripte umsetzen. Dabei kann das kostenlose Tool SetACL helfen (siehe Abbildung 2). Mit diesem Werkzeug können Administratoren die Berechtigungen von freigegebenen Druckern anpassen. Ein Beispielbefehl sieht folgendermaßen aus:

setacl.exe -on "\\<Server>\<Drucker>" -ot prn -actn ace -ace "n:<Domäne>\<Gruppe>;p:print"

Mit dem folgenden Befehl werden die Rechte gelöscht (siehe Abbildung 2):

setacl.exe -on "\\<Server>\<Drucker>" -ot prn -actn trustee -trst "n1:<Domäne>\<Gruppe>;ta:remtrst;w:dacl"

Das ist zum Beispiel sinnvoll, wenn die Standardgruppen per Skript entfernt werden sollen und danach die gewünschten Gruppen hinzugefügt werden. Die Grupp „Jeder“ darf bei neu freigegebenen Druckern zum Beispiel immer drucken. Soll diese Gruppe entfernt werden, nutzen Administratoren zum Beispiel folgenden Befehl:

setacl.exe -on "\\<Server>\<Drucker>" -ot prn -actn trustee -trst "n1:Jeder;ta:remtrst;w:dacl"

Mit dem Tool lassen sich aber auch Berechtigungen anzeigen (siehe Abbildung 2). Der Befehl dazu sieht folgendermaßen aus:

SetACL.exe -on "\\<Server>\<Drucker>" -ot prn -actn list

Wollen Administratoren zum Beispiel der Helpdesk-Gruppe in der Active-Directory-Domäne "Contoso" das Recht erteilen, die Warteschlange des Druckers "brother" auf dem Server "web" zu bearbeiten, wird der folgende Befehl verwendet:

SetACL.exe -on "\\web\brother" -ot prn -actn ace -ace "n:contoso\Helpdesk;p:man_docs"

Eine umfangreiche Liste zum Umgang mit dem Tool finden Administratoren auf der Hilfeseite von SetACL.exe. Für erfahrene Entwickler stellt der Programmierer von SetACL auch eine DLL-Version zur Verfügung. Diese lässt sich zum Beispiel in selbst entwickelte Programme oder grafische Oberflächen integrieren.

Bildergalerie

Profi-Drucker nutzen

Vor allem in kleinen Unternehmen, oder in kleineren Niederlassungen werden häufig keine Profi-Drucker sondern Heimdrucker verwendet, die weniger Sicherheitseinstellungen bieten. Aber auch wenn Profi-Drucker im Einsatz sind, nutzen viele Unternehmen nicht deren Möglichkeiten und Einstellungen. Dabei lassen sich bei vielen Druckern, zum Beispiel bei Brother-Geräten, über den Webserver Einstellungen sehr granular vornehmen.

So lassen sich bei vielen Druckern auch IP-Filter definieren (siehe Abbildung 3). Auf diesem Weg können Administratoren Benutzer durch Sperrung bestimmter IP-Adressen blockieren. Das ist zwar kein perfekter Schutz, aber durchaus eine erste Barriere für das unberechtigte Ausdrucken von Dokumenten. Beim Einsatz von Druckservern ist es zum Beispiel sinnvoll, nur den Druckservern den Zugriff auf den Drucker zu gestatten. Das verhindert, dass Anwender die Sicherheitseinstellungen auf dem Druckerserver umgehen und sich direkt mit dem Drucker verbinden.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu Netzwerktechnik, IP-Kommunikation und UCC

Geschäftliche E-Mail

Bitte geben Sie eine gültige E-Mailadresse ein.

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Stand vom 30.10.2020

Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.

Einwilligung in die Verwendung von Daten zu Werbezwecken

Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.

Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.

Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.

Recht auf Widerruf

Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://support.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.

Viele Drucker, wie der Brother DCP-L8450CDW, bieten zudem noch die Möglichkeit an, eine Benutzer-Authentifizierung durchzuführen, mit der genau festgelegt werden kann, welche Benutzer den Drucker nutzen dürfen. Ist eine solche Funktion im Drucker integriert, dann sollten Administratoren diese auch nutzen (siehe Abbildung 4). Wichtig in diesem Zusammenhang ist natürlich auch das Absichern der Weboberfläche von Druckern – aber auch das Sperren des Displays am Drucker. Nur so lässt es sich zuverlässig verhindern, dass Anwender unberechtigt einen Drucker nutzen.

(ID:43557042)