En ikke bruger skal have adgang til printere

Nu er hele ideen med et Windows domæne jo at lave en sikkerheds barriere så alle resourcerne er tilgængelige for security principals inde i domænet :)

Nuvel, jeg går ud fra at din print server også er inde i domænet siden du stiller spørgsmålet på den måde. Hvis din DC og print server er samme maskine så tror jeg ikke det kan lade sig gøre. En DC har ikke nogen lokal sikkerhedsbase styret af LSA.

Hvis det derimod er en anden server der ikke er DC, men er i domænet så skal du lave en lokal gruppe på som du kan kalde feks printer1. Nu højre klikker du på printeren og giver printer1 gruppen permissions til at bruge printeren. Dernæst laver du en global gruppe på samme server, lokalt, og kalder den feks 'eksterne printerbrugere'. Dernæst gør du gruppen 'eksterne printerbrugere' til medlem af printer1 lokal gruppe.
Til allersidst laver du en, stadig lokal, bruger account til konsulenten og gør ham til medlem af 'eksterne printerbrugere'.

Dette er den mest sikre løsning, og samtidig kan du i fremtiden bare lægge folk som har lignende behov ind i denne globale gruppe. Det virker som meget arbejde at lave grupper osv, men dette er faktisk hvad Microsoft selv anbefaler, og som windows admin med flere års erfaring kan jeg kun sige at dette ER den bedste løsning i det lange løb. Især for overskuelighedens skyld.

VH Frantz / MCSE Win2k

OK, det ser ud til jeg bliver nød til at koble ham på domænet, da vores Domæne Controller og print server er en og samme.

Der er ikke andre muligheder?

Men hvorfor kan konsulenten så gå på Internet gennem vores netværk, uden at han er bruger på dette?

Det kommer an på hvordan jeres netværk er sat op. Bruger i DHCP til at uddele ip konfigurationer? Går det igennem en router eller bruger du en windows kasse med feks RRAS/ICS?  egentlig skulle han bare kunne sætte et ethernet kabel i og skrive de rigtige oplysninger i ip/subnet/default gateway/dns og så skulle han være på.

Internetadgangen er sædvanligvis ikke styret af domænet.

Du kan evt. prøve at oprette en ny bruger i domænet med samme brugernavn og password som jeres konsulent bruger på sin egen maskine.
Du skal så også lave en ny tom gruppe og melde han snye konto ind i denne. Du skal gøre denne gruppe til han primære gruppe og melde ham ud af Domain Users. På den måde har han en konto men ingen rettigheder i domænet. På printeren skal du så tildele rettigheder direkte til hans konto eller den gruppe han er medlem i.

Jeg mener så at han godt kan få lov i det der er sammenfald mellem den konto du har lavet og hans egen. Alt dette uden at ændre på hans egen maskine.

PS: Hej Frantz

Hej Stefan! :D
Jeg mener at hans SID som standalone vil være inkompatibelt idet en SID typisk har et domæne ID nummer skrevet ind i sig.. Så den token han har når han logger på lokalt vil ikke være den samme uanset om der er login/password sammenfald.. I hvert fald i teorien skulle jeg mene.

Hvis printeren sidder på samme IP segment som hans maskine kommer til, er det jo bare at sætte den til at printe direkte til printeren, uden om en eventuel printerserver. Hvis altså printeren er tilsluttet netværket direkte gennem en printserverboks eller internt netkort.

Den er jeg ikke helt med på?? Printeren er tilsuttet via dens interne netkort.

Det var heller ikke et helt gennemtænkt svar.

Men når han sættes på netværket - så undersøg hvilken IP adresse han har. Kører i DHCP får han selvfølgelig automatisk en ordentlig IP adresse, gateway og subnet mask, og så vil der ingen problemer være overhovedet.
Det var i tilfældet af at du manuelt var nødt til at tildele en IP adresse, men ikke ønskede at han brugte jeres gateway. Så kan man stadig printe direkte til en printer, blot man benytter samme segment.

Det gør det muligt at printe direkte, selv om de ikke har fælles gateway og subnet mask (i de fleste tilfælde).

I begge tilfælde, skal der blot oprettes en "lokal" printer, og oprettes en "TCP/IP netværksport" under installationen af printeren - fuldstændig som hvis du installerer printeren på din printerserver. Du behøver ikke at dele printeren på hans PC.

Men så skriver PC´en direkte til printeren, uden om jeres printerserver, og han behøver derfor ingen rettigheder overhovedet, da han blot udnytter netværket og ikke domænet.

ole_madsen: Men sagen er at han ikke har en print server boks, men bruger win2k som print server, og så vidt jeg havde forstået var det ikke en printer der kommunikerer over TCP/IP...

Et internt netkort i en printer = Print server boks.

Jeg kender kun meget få printservere der ikke kommunikerer TCP/IP, og jeg har ikke forstået at printeren ikke skulle snakke TCP/IP.

Ja hvis man bruger windows 2000 som print server så kan den kommunikere tcp/ip.. nu er det sådan at der er en ACL på printere i windows 2000 og printere betragtes i et windows domæne som en resources på lige fod med en fil. En printer, i microsoft sprog, er ikke den ting lavet af metal og plastic som står ved siden af servere. Printeren er den ting som du kan sætte permissions på i ACL og som er linket til active directorys sikkerhedsmodel. Prøv engang at højre-klikke på en printer og vælg sikkerheds fanebladet. Så kan du måske forstå problemet...

Jo, men finten er jo at ved at printe direkte til printere, har du slet intet med windows 2000 domænet at gøre. Det er helt ren kommunikation mellem Windows 2000 workstation pc´en og printeren. Fuldstændig som mellem en mainframe og selvsamme printer.

Windows 2000 domænet har jo heller ikke råderet over en alm. pc, der ikke er logget på domænet.

En IP enhed kan skal sagtens eksistere uden et domæne...

Det ved jeg godt. Men hvis printeren nu er sluttet lokalt til hans DC?? :)
Det tyder meget på siden han ikke bare kunne lave en ny printer til konsulenten på en anden maskine.. men måske han selv kan komme her og afgøre det på et tidspunkt.

Er den sluttet direkte til en PC (om det så er DC eller en anden PC) er det selvfølgelig en helt anden sag.

Men når nu han i 09:06:51 skriver at printeren er tilsluttet "via dens interne netkort", tolker jeg det altså som om der er netkort i printeren.

men spørgsmålet er stillet af "edelbo". Kommentaren 09:06:51 er lavet af "ingenting".. Kunne selvfølgelig være een og samme.

:-) En mindre detalje jeg har overset. Så må vi have Ingenting eller Edelbo på banen.

strych9: Hvis du kigger under brugeren Ingenting's spørgsmål omkring Win Xp "disk væk efter ny installation", så har du forklaringen. Jeg hjælper ingenting med den disk, vi er til dagligt venner, og han sidder og svare på sit spørgsmpål direkte fra min computer, så derfor har vi lige fået dem viklet sammen, jeg er kommer til at svare på hans spørgsmål, ligesom han er på mit, sorry, men det gik lidt hurtigt! Men der er ikke tale om den samme bruger, så ved du det!!