Berechtigungen anpassen, Einstellungen optimieren

Unberechtigten Zugriff auf Druckserver verhindern

| Autor / Redakteur: Thomas Joos / Andreas Donner

Unberechtigte oder am falschen Gerät erstellte Ausdrucke können hohe Kosten verursachen. Ein gezieltes Rechte-Management schafft hier Abhilfe.
Unberechtigte oder am falschen Gerät erstellte Ausdrucke können hohe Kosten verursachen. Ein gezieltes Rechte-Management schafft hier Abhilfe. (Bild: tashatuvango - Fotolia.com)

In vielen Unternehmen steigen die Druckkosten unnötig an, weil Anwender unberechtigt Dokumente ausdrucken oder auf falschen Druckern ausgedruckt wird. Windows Server bietet hier jedoch ebenso Möglichkeiten zur Regulierung an, wie viele Profi-Drucker. Wir zeigen die Möglichkeiten, unberechtigte Ausdrucke zu verhindern.

Die meisten Unternehmen stellen Drucker im Netzwerk über einen Druckerserver zur Verfügung. Dazu werden die Drucker auf dem Druckerserver installiert, freigegeben und danach die Rechte angepasst. Der beste Weg Rechte anzupassen, besteht darin, dass Administratoren eine Active-Directory-Gruppe oder eine lokale Gruppe auf dem Druckerserver anlegen und dort genau die Benutzerkonten aufnehmen, die gezielte Rechte erhalten sollen, um auf den einzelnen Druckern zu drucken.

Anschließend muss in den Einstellungen nur noch festgelegt werden, welche Gruppen Rechte erhalten, die einzelnen Drucker zu nutzen. Diese Einstellungen lassen sich auch skripten. Das dazu notwendige kostenlose Befehlszeilen-Tool stellen wir nachfolgend vor.

Sobald Administratoren einen Benutzer in die Gruppe mit aufnehmen, darf er drucken. Ist ein Benutzer kein Mitglied dieser Gruppe, darf er den entsprechenden Drucker nicht nutzen. Einfach ausgedrückt, muss die Konfiguration also nur einmal vorgenommen werden. Danach werden die entsprechenden Rechte dadurch vergeben, dass die Benutzerkonten in die passende Gruppe verschoben werden. Entfernen Administratoren ein Benutzerkonto aus der Gruppe, darf der hinterlegte Drucker nicht mehr verwendet werden. Auf diesem Weg lassen sich unerwünschte Ausdrucke schnell und einfach verhindern.

Druckerberechtigungen anpassen

Administratoren finden die Einstellungen in der Systemsteuerung von Windows Server 2012 R2 über Hardware/Geräte und Drucker. Mit der rechten Maustaste auf den Drucker geklickt und nach Auswahl der Druckereigenschaften lassen sich die Berechtigungen auf dem Server anpassen. Über die Registerkarte "Sicherheit" können Administratoren die Zugriffsberechtigungen für Drucker konfigurieren. Hier gibt es drei Berechtigungen, die standardmäßig zugeordnet werden können:

Drucken – Die Einstellung "Drucken" erlaubt die Ausgabe von Dokumenten auf dem Drucker. In den meisten Fällen ist hier die Gruppe "Jeder" eingetragen, das heißt jeder Anwender darf den Drucker nutzen. Hier sollte die Gruppe entfernt werden. Anschließend wird die neu erstellte Gruppe hinzugefügt und erhält das Recht den Drucker zu nutzen. (siehe Abbildung 1).
Diesen Drucker verwalten – Das Aktivieren diese Checkbox ermöglicht die Veränderung von Druckereinstellungen. Dieses Recht sollten nur Administratoren erhalten, die den Drucker verwalten sollen. Benutzer sollten diese Funktion nicht nutzen können, da es so möglich wäre, den Drucker zu verwalten und damit auch Rechte verändern zu können.
Dokumente verwalten – Erlaubt die Verwaltung von Warteschlangen und damit beispielsweise das Löschen von Dokumenten aus solchen Warteschlangen. Dieses Recht sollten entweder Administratoren erhalten, oder speziell geschulte Anwender, die Dokumente aus den Druckwarteschlangen löschen sollen.

Druckberechtigungen mit Skripten setzen – SetACL.exe

Die Verteilung von Berechtigungen lässt sich auch über Skripte umsetzen. Dabei kann das kostenlose Tool SetACL helfen (siehe Abbildung 2). Mit diesem Werkzeug können Administratoren die Berechtigungen von freigegebenen Druckern anpassen. Ein Beispielbefehl sieht folgendermaßen aus:

setacl.exe -on "\\<Server>\<Drucker>" -ot prn -actn ace -ace "n:<Domäne>\<Gruppe>;p:print"

Mit dem folgenden Befehl werden die Rechte gelöscht (siehe Abbildung 2):

setacl.exe -on "\\<Server>\<Drucker>" -ot prn -actn trustee -trst "n1:<Domäne>\<Gruppe>;ta:remtrst;w:dacl"

Das ist zum Beispiel sinnvoll, wenn die Standardgruppen per Skript entfernt werden sollen und danach die gewünschten Gruppen hinzugefügt werden. Die Grupp „Jeder“ darf bei neu freigegebenen Druckern zum Beispiel immer drucken. Soll diese Gruppe entfernt werden, nutzen Administratoren zum Beispiel folgenden Befehl:

setacl.exe -on "\\<Server>\<Drucker>" -ot prn -actn trustee -trst "n1:Jeder;ta:remtrst;w:dacl"

Mit dem Tool lassen sich aber auch Berechtigungen anzeigen (siehe Abbildung 2). Der Befehl dazu sieht folgendermaßen aus:

SetACL.exe -on "\\<Server>\<Drucker>" -ot prn -actn list

Wollen Administratoren zum Beispiel der Helpdesk-Gruppe in der Active-Directory-Domäne "Contoso" das Recht erteilen, die Warteschlange des Druckers "brother" auf dem Server "web" zu bearbeiten, wird der folgende Befehl verwendet:

SetACL.exe -on "\\web\brother" -ot prn -actn ace -ace "n:contoso\Helpdesk;p:man_docs"

Eine umfangreiche Liste zum Umgang mit dem Tool finden Administratoren auf der Hilfeseite von SetACL.exe. Für erfahrene Entwickler stellt der Programmierer von SetACL auch eine DLL-Version zur Verfügung. Diese lässt sich zum Beispiel in selbst entwickelte Programme oder grafische Oberflächen integrieren.

Profi-Drucker nutzen

Vor allem in kleinen Unternehmen, oder in kleineren Niederlassungen werden häufig keine Profi-Drucker sondern Heimdrucker verwendet, die weniger Sicherheitseinstellungen bieten. Aber auch wenn Profi-Drucker im Einsatz sind, nutzen viele Unternehmen nicht deren Möglichkeiten und Einstellungen. Dabei lassen sich bei vielen Druckern, zum Beispiel bei Brother-Geräten, über den Webserver Einstellungen sehr granular vornehmen.

So lassen sich bei vielen Druckern auch IP-Filter definieren (siehe Abbildung 3). Auf diesem Weg können Administratoren Benutzer durch Sperrung bestimmter IP-Adressen blockieren. Das ist zwar kein perfekter Schutz, aber durchaus eine erste Barriere für das unberechtigte Ausdrucken von Dokumenten. Beim Einsatz von Druckservern ist es zum Beispiel sinnvoll, nur den Druckservern den Zugriff auf den Drucker zu gestatten. Das verhindert, dass Anwender die Sicherheitseinstellungen auf dem Druckerserver umgehen und sich direkt mit dem Drucker verbinden.

Viele Drucker, wie der Brother DCP-L8450CDW, bieten zudem noch die Möglichkeit an, eine Benutzer-Authentifizierung durchzuführen, mit der genau festgelegt werden kann, welche Benutzer den Drucker nutzen dürfen. Ist eine solche Funktion im Drucker integriert, dann sollten Administratoren diese auch nutzen (siehe Abbildung 4). Wichtig in diesem Zusammenhang ist natürlich auch das Absichern der Weboberfläche von Druckern – aber auch das Sperren des Displays am Drucker. Nur so lässt es sich zuverlässig verhindern, dass Anwender unberechtigt einen Drucker nutzen.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43557042 / LAN- und VLAN-Administration)