Avatar billede edelbo Nybegynder
11. februar 2004 - 10:59 Der er 17 kommentarer

En ikke bruger skal have adgang til printere

Vi har en ekstern konsulent som kommer en gang om ugen. Han har sin egen bærbar med.

Vi køre med en Windows 2000 server med eget domæne.

Mit spørgsmål er så, hvordan sætter jeg konsulentens computer op til, at kunne benytte vores printere og internet, alt andet skal han ikke have adgang til, men samtidig vil jeg heller ikke til at rode med, at hans computer til kobles på vores domæne, da han har et hjemmenetværk allerede, som nok vil konflikte så. Han køre Win Xp!!
Avatar billede strych9 Praktikant
11. februar 2004 - 12:10 #1
Nu er hele ideen med et Windows domæne jo at lave en sikkerheds barriere så alle resourcerne er tilgængelige for security principals inde i domænet :)

Nuvel, jeg går ud fra at din print server også er inde i domænet siden du stiller spørgsmålet på den måde. Hvis din DC og print server er samme maskine så tror jeg ikke det kan lade sig gøre. En DC har ikke nogen lokal sikkerhedsbase styret af LSA.

Hvis det derimod er en anden server der ikke er DC, men er i domænet så skal du lave en lokal gruppe på som du kan kalde feks printer1. Nu højre klikker du på printeren og giver printer1 gruppen permissions til at bruge printeren. Dernæst laver du en global gruppe på samme server, lokalt, og kalder den feks 'eksterne printerbrugere'. Dernæst gør du gruppen 'eksterne printerbrugere' til medlem af printer1 lokal gruppe.
Til allersidst laver du en, stadig lokal, bruger account til konsulenten og gør ham til medlem af 'eksterne printerbrugere'.

Dette er den mest sikre løsning, og samtidig kan du i fremtiden bare lægge folk som har lignende behov ind i denne globale gruppe. Det virker som meget arbejde at lave grupper osv, men dette er faktisk hvad Microsoft selv anbefaler, og som windows admin med flere års erfaring kan jeg kun sige at dette ER den bedste løsning i det lange løb. Især for overskuelighedens skyld.

VH Frantz / MCSE Win2k
Avatar billede edelbo Nybegynder
11. februar 2004 - 12:14 #2
OK, det ser ud til jeg bliver nød til at koble ham på domænet, da vores Domæne Controller og print server er en og samme.

Der er ikke andre muligheder?

Men hvorfor kan konsulenten så gå på Internet gennem vores netværk, uden at han er bruger på dette?
Avatar billede strych9 Praktikant
11. februar 2004 - 12:19 #3
Det kommer an på hvordan jeres netværk er sat op. Bruger i DHCP til at uddele ip konfigurationer? Går det igennem en router eller bruger du en windows kasse med feks RRAS/ICS?  egentlig skulle han bare kunne sætte et ethernet kabel i og skrive de rigtige oplysninger i ip/subnet/default gateway/dns og så skulle han være på.
Avatar billede venturer Nybegynder
11. februar 2004 - 12:22 #4
Internetadgangen er sædvanligvis ikke styret af domænet.

Du kan evt. prøve at oprette en ny bruger i domænet med samme brugernavn og password som jeres konsulent bruger på sin egen maskine.
Du skal så også lave en ny tom gruppe og melde han snye konto ind i denne. Du skal gøre denne gruppe til han primære gruppe og melde ham ud af Domain Users. På den måde har han en konto men ingen rettigheder i domænet. På printeren skal du så tildele rettigheder direkte til hans konto eller den gruppe han er medlem i.

Jeg mener så at han godt kan få lov i det der er sammenfald mellem den konto du har lavet og hans egen. Alt dette uden at ændre på hans egen maskine.

PS: Hej Frantz
Avatar billede strych9 Praktikant
11. februar 2004 - 12:30 #5
Hej Stefan! :D
Jeg mener at hans SID som standalone vil være inkompatibelt idet en SID typisk har et domæne ID nummer skrevet ind i sig.. Så den token han har når han logger på lokalt vil ikke være den samme uanset om der er login/password sammenfald.. I hvert fald i teorien skulle jeg mene.
Avatar billede ole_madsen Ekspert
13. februar 2004 - 09:04 #6
Hvis printeren sidder på samme IP segment som hans maskine kommer til, er det jo bare at sætte den til at printe direkte til printeren, uden om en eventuel printerserver. Hvis altså printeren er tilsluttet netværket direkte gennem en printserverboks eller internt netkort.
Avatar billede ingenting Nybegynder
13. februar 2004 - 09:06 #7
Den er jeg ikke helt med på?? Printeren er tilsuttet via dens interne netkort.
Avatar billede ole_madsen Ekspert
13. februar 2004 - 09:19 #8
Det var heller ikke et helt gennemtænkt svar.

Men når han sættes på netværket - så undersøg hvilken IP adresse han har. Kører i DHCP får han selvfølgelig automatisk en ordentlig IP adresse, gateway og subnet mask, og så vil der ingen problemer være overhovedet.
Det var i tilfældet af at du manuelt var nødt til at tildele en IP adresse, men ikke ønskede at han brugte jeres gateway. Så kan man stadig printe direkte til en printer, blot man benytter samme segment.

Det gør det muligt at printe direkte, selv om de ikke har fælles gateway og subnet mask (i de fleste tilfælde).

I begge tilfælde, skal der blot oprettes en "lokal" printer, og oprettes en "TCP/IP netværksport" under installationen af printeren - fuldstændig som hvis du installerer printeren på din printerserver. Du behøver ikke at dele printeren på hans PC.

Men så skriver PC´en direkte til printeren, uden om jeres printerserver, og han behøver derfor ingen rettigheder overhovedet, da han blot udnytter netværket og ikke domænet.
Avatar billede strych9 Praktikant
13. februar 2004 - 13:13 #9
ole_madsen: Men sagen er at han ikke har en print server boks, men bruger win2k som print server, og så vidt jeg havde forstået var det ikke en printer der kommunikerer over TCP/IP...
Avatar billede ole_madsen Ekspert
13. februar 2004 - 14:21 #10
Et internt netkort i en printer = Print server boks.

Jeg kender kun meget få printservere der ikke kommunikerer TCP/IP, og jeg har ikke forstået at printeren ikke skulle snakke TCP/IP.
Avatar billede strych9 Praktikant
13. februar 2004 - 15:12 #11
Ja hvis man bruger windows 2000 som print server så kan den kommunikere tcp/ip.. nu er det sådan at der er en ACL på printere i windows 2000 og printere betragtes i et windows domæne som en resources på lige fod med en fil. En printer, i microsoft sprog, er ikke den ting lavet af metal og plastic som står ved siden af servere. Printeren er den ting som du kan sætte permissions på i ACL og som er linket til active directorys sikkerhedsmodel. Prøv engang at højre-klikke på en printer og vælg sikkerheds fanebladet. Så kan du måske forstå problemet...
Avatar billede ole_madsen Ekspert
13. februar 2004 - 15:20 #12
Jo, men finten er jo at ved at printe direkte til printere, har du slet intet med windows 2000 domænet at gøre. Det er helt ren kommunikation mellem Windows 2000 workstation pc´en og printeren. Fuldstændig som mellem en mainframe og selvsamme printer.

Windows 2000 domænet har jo heller ikke råderet over en alm. pc, der ikke er logget på domænet.

En IP enhed kan skal sagtens eksistere uden et domæne...
Avatar billede strych9 Praktikant
13. februar 2004 - 15:23 #13
Det ved jeg godt. Men hvis printeren nu er sluttet lokalt til hans DC?? :)
Det tyder meget på siden han ikke bare kunne lave en ny printer til konsulenten på en anden maskine.. men måske han selv kan komme her og afgøre det på et tidspunkt.
Avatar billede ole_madsen Ekspert
13. februar 2004 - 15:45 #14
Er den sluttet direkte til en PC (om det så er DC eller en anden PC) er det selvfølgelig en helt anden sag.

Men når nu han i 09:06:51 skriver at printeren er tilsluttet "via dens interne netkort", tolker jeg det altså som om der er netkort i printeren.
Avatar billede strych9 Praktikant
13. februar 2004 - 15:48 #15
men spørgsmålet er stillet af "edelbo". Kommentaren 09:06:51 er lavet af "ingenting".. Kunne selvfølgelig være een og samme.
Avatar billede ole_madsen Ekspert
13. februar 2004 - 15:52 #16
:-) En mindre detalje jeg har overset. Så må vi have Ingenting eller Edelbo på banen.
Avatar billede edelbo Nybegynder
13. februar 2004 - 15:53 #17
strych9: Hvis du kigger under brugeren Ingenting's spørgsmål omkring Win Xp "disk væk efter ny installation", så har du forklaringen. Jeg hjælper ingenting med den disk, vi er til dagligt venner, og han sidder og svare på sit spørgsmpål direkte fra min computer, så derfor har vi lige fået dem viklet sammen, jeg er kommer til at svare på hans spørgsmål, ligesom han er på mit, sorry, men det gik lidt hurtigt! Men der er ikke tale om den samme bruger, så ved du det!!
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester