Wie kann ich das Meldungsfeld "Vertrauen Sie diesem Drucker" entfernen und meinen Drucker über das Gruppenrichtlinienobjekt hinzufügen?

8
  • Arbeitsstation: Windows 7 (x64) [Ziel für Drucker installieren]
  • Server: Windows Server 2012 R2 (x64) [Active Directory, Druckserver]

Ich habe meinen Kopf auf den Schreibtisch geschlagen und versucht, diesen Drucker über Gruppenrichtlinien zu installieren! Aus irgendeinem Grund kann ich diesen Drucker einfach NICHT mit dem Gruppenrichtlinienobjekt bereitstellen. Ich habe versucht, es für die Bereitstellung über Computer Configuration->Policies->Windows Settings->Deployed Printerssowie Computer Configuration->Preferences->Control Panel Settings->Printersund einzurichten User Configuration->Preferences->Control Panel Settings->Printers. Ich habe auch versucht, meine Druckserver-Verwaltungskonsole über Benutzer- und / oder Computer-Targeting hinzuzufügen. Ich habe ALLE Arten ausprobiert und nichts funktioniert. Ich habe eine Reihe von Tutorials befolgt und mir eine Reihe von Videos angesehen, um sicherzugehen, dass mir nichts entgangen ist, aber es ist wirklich eine einfache Aufgabe (theoretisch) ... Es wird einfach nicht funktionieren.

Beim Versuch, das Problem zu beheben, stellte ich fest, dass bei einem \\myserver\Doppelklick auf den Drucker versucht wurde, den Drucker zu installieren, und ich dann aufgefordert wurde, die Treiber mit einer Eingabeaufforderung vom Typ UAC zu installieren. Geben Sie hier die Bildbeschreibung ein

Ich habe alles versucht, was mir einfällt, damit das Meldungsfeld nicht mehr auftaucht. Ich habe mich damit befasst und festgestellt, dass Sie, wenn ich ein Gruppenrichtlinienobjekt mit dem Namen " Point and Print Restrictionsat" Computer Configuration->Policies->Administrative Templates->Printersund "as at" bearbeiten sollte, User Configuration->Policies->Administrative Templates->Control Panel->Printersversuchen könnten, die Richtlinie auf Disabledoder zu setzen Enabledund Do not show warning or elevation promptfür die beiden Sicherheitsanweisungen zu wählen, die unten in den Richtlinieneinstellungen aufgeführt sind.

Nun, das war auch eine Pleite ...

Ich habe festgestellt, dass beim Versuch, den Drucker manuell zu installieren, indem ich auf unc gehe und meine Administratoranmeldeinformationen eingebe, die Treiber vom Server heruntergeladen und der Drucker installiert werden (wie erwartet). Wenn der Benutzer versuchte, den Drucker zu entfernen, und irgendwie erfolgreich war, sobald er sich vom Gruppenrichtlinienobjekt ab- und wieder abmeldete, tat er, was ich wollte, und fügte den Drucker wieder hinzu. Ich musste es jedoch beim ersten Mal auf JEDEM PC manuell hinzufügen.

Nachdem Sie dies getestet und dann den Drucker aus dem Gruppenrichtlinienobjekt entfernt haben, melden Sie sich ab und wieder an. Ich könnte den Befehl ausführen printui /s /t2, um eine grafische Benutzeroberfläche aufzurufen, mit der ich die installierten Treiber problemlos entfernen kann, um den PC wieder in den ursprünglichen Zustand zu versetzen (nach Administratoranmeldeinformationen fragen). Ich habe auch erfahren, dass die Drucker in der Registrierung unter gespeichert sind HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Print\Connections. Als ich versuchte, einen Drucker zu entfernen und es mir sagte, dass ich es nicht konnte, ging ich einfach zu diesem Registrierungsschlüssel und entfernte den GUID-Schlüssel des Druckers, den ich löschen wollte. Dann haben Sie einfach den Print Spooler-Dienst neu gestartet und der Boom war vorbei. Dies war keine Hilfe, um mich dahin zu bringen, wo ich wollte, aber es war hilfreich, den Drucker während des Debuggens des Problems zu entfernen.

Ich habe irgendwo gelesen, dass die Ursache möglicherweise eine Art Windows-Sicherheitsupdate ist, das etwas geändert hat. Es wurde aufgrund eines Artikels veröffentlicht, der zeigt, wie Sie ein gesamtes Netzwerk pwn können, wenn Sie einen einzelnen Drucker pwn können. Wenn Benutzer eine Verbindung zum Drucker herstellen und die Treiber herunterladen, wird injizierte Software installiert und auf dem Computer ausgeführt.

Mein Hauptziel ist es, diesen Drucker mit dem von mir verwendeten Gruppenrichtlinienobjekt für eine Reihe von Benutzern in dieser Organisationseinheit bereitstellen zu können. Für alles, was ich versuche, muss jedoch ein Administrator angemeldet sein, um dies zu tun (zumindest beim ersten Mal). Hat jemand eine Idee, warum sich mein Drucker nicht automatisch über das Gruppenrichtlinienobjekt hinzufügt und wie ich das verdammte "Vertrauen Sie diesem Drucker?" Nachricht wegzugehen?

Arvo Bowen
quelle
Haben Sie sich diese Frage angesehen? social.technet.microsoft.com/Forums/windows/en-US/…
Davidw
@ Davidw ja, das habe ich wirklich getan. ;) Das einzige, was ich nicht versuche, war der letzte Teil seiner Antwort (das war nur, weil mich ein Kommentar unten ausgeschaltet hat). Obwohl ich unter "Ich habe ein Gruppenrichtlinienobjekt für unsere Gesamtstruktur konfiguriert" nie herausfinden konnte, wo der Antwortende dies getan hat, "Benutzer kann nur P & P an diese Server senden => Deaktiviert", "Benutzer kann nur an Maschinen in der Gesamtstruktur P & P senden => Aktiviert". , etc.
Arvo Bowen
@Davidw Ich habe dies jedoch gerade bemerkt! ... "Diese Einstellungen wurden in den Local_Machine-Hive für Windows 7 verschoben. Sie müssen einen Windows 7-Computer verwenden, um die beiden Richtliniensätze zu verwalten (Computer für Windows 7, Benutzer für Pre) -Windows 7) "aus einer anderen Antwort ... Wie würde ich es vom lokalen Computer über GPO verwalten? Ich vermute, es ist nur eine Registrierungseinstellung, aber welche Registrierungseinstellung?
Arvo Bowen
Wenn ich Ihre Frage durchlese, neige ich zu der Idee, dass Ihre Druckertreiber die Ursache für dieses Problem sind. Wenn Sie den Drucker mindestens einmal installieren müssen, damit er funktioniert, würde ich sicher versuchen, die Treiber zu ändern und es erneut zu versuchen . Das Dialogfeld "Vertrauen Sie diesem Drucker" hindert Sie nicht daran, den Drucker mit GP zu installieren.
Noor Khaldi
@NoorKhaldi Ich denke, es hat mit zwei Dingen zu tun ... 1) Die Treiber sind nicht signiert ...! 2) Die Treiber, die ich installieren möchte, scheinen kein einfacher HP Laserjet-Treiber zu sein, der für einen Netzwerkdrucker installiert werden kann ... Diese Treiber erstellen einen speziellen neuen Porttyp zum Drucken / Generieren von PDFs ... Was für ein Schmerz ...
Arvo Bowen

Antworten:

10

Das "Update" besteht darin, vertrauenswürdige, paketfähige Druckertreiber vom Druckerhersteller herunterzuladen. Da jedoch nicht alle Hersteller diese Treiber produzieren, habe ich hier eine Lösung gefunden: Cannon Forum - Package-Aware Print Drivers (Hinweis: Dies funktioniert nicht für nicht signierte Treiber, aber es gibt viele Tutorials für Selbstfahrer -signieren eines Druckertreibers.)

Hier sind die Schritte, um das Problem zu umgehen:

  1. Installieren Sie die erforderlichen Treiber auf dem Druckserver
  2. Beachten Sie alle Treiber, bei denen "false" in der Spalte "Packaged" aufgeführt ist. All dies muss geändert werden, um über Gruppenrichtlinien bereitgestellt zu werden.
  3. Bearbeiten Sie die Registrierung auf Ihrem Druckserver und rufen Sie die folgenden Speicherorte auf:
    • Für 64-Bit-Treiber: HKLM \ System \ CurrentControlSet \ Control \ Print \ Enviroments \ Windowsx64 \ Drivers \ Version- X \ {Driver Name}
    • Für 32-Bit-Treiber: HKLM \ System \ CurrentControlSet \ Control \ Print \ Enviroments \ Windows NT x86 \ Treiber \ Version- X \ { Treibername }
    • Wobei "X" der Druckertreiber "Typ" ist, normalerweise entweder "3" oder "4"
  4. Bearbeiten Sie den Schlüssel "PrinterDriverAttributes", indem Sie 1 zu dem aktuell festgelegten Wert hinzufügen. (Beispiel: Wenn der aktuelle Wert "6" ist, ändern Sie ihn in "7".) Dadurch wird der Druckserver davon überzeugt, dass diese Treiber gepackt sind.
  5. Tun Sie dies für jeden Treiber, der nicht als "gepackter" Treiber aufgeführt ist.
  6. Starten Sie den Druckserver neu.
  7. Alles sollte jetzt über Gruppenrichtlinien bereitgestellt werden (vorausgesetzt, Sie haben alle üblichen Gruppenrichtlinienobjekteinstellungen korrekt konfiguriert).

Ich bin gerade dabei, dieses Update selbst bereitzustellen. Da jedoch ein Neustart des Druckservers erforderlich ist, kann ich ihn erst heute Abend testen, da auf unserem Druckserver auch einige Netzwerkanwendungen ausgeführt werden.

Eine alternative Lösung für die Registrierungsbearbeitung besteht darin, die INF-Datei des Druckertreibers zu bearbeiten und Folgendes hinzuzufügen:

Für 32-Bit-Treiber:

[PrinterPackageInstallation.x86]
PackageAware=TRUE

Für 64-Bit-Treiber

[PrinterPackageInstallation.amd64]
PackageAware=TRUE

Wenn Sie die INF-Datei bearbeiten möchten, ist es einfacher, den Treiber vom Druckserver zu entfernen, die INF-Datei von einem sauberen Download zu bearbeiten und dann den bearbeiteten Treiber zu installieren.

Überprüfen Sie außerdem die Gruppenrichtlinieneinstellungen für Point and Print Restrictionsund Package Point and print - Approved Servers.

Hintergrundinformation

Im Microsoft Security Bulletin MS16-087 wurde ein Sicherheitsproblem beschrieben, bei dem ein nicht autorisierter Druckserver bösartigen Code durch einen Angriff im "Man in the Middle" -Stil injizieren könnte. Das Sicherheitsupdate KB3170455 wurde am 12. Juli 2016 veröffentlicht, um das Problem zu beheben. Anschließend wurde die Verteilung der Druckertreiber vom Druckserver beeinträchtigt.

Slicktrick
quelle
3
Wenn Schritt 4 seltsam erscheint, liegt dies daran, dass PrinterDriverAttributes tatsächlich ein Bit-Array ist, bei dem jedes Bit eine andere Einstellung angibt. Das letzte Bit (niedrigstwertig) gibt an, ob der Treiber Teil eines Treiberpakets ist. Wenn Sie also den Wert um eins erhöhen, wird das letzte Bit im Feld geändert. Siehe: msdn.microsoft.com/en-us/library/windows/desktop/…
P.Turpie
Aus Sicht des Systemadministrators ist dies der richtige Weg. Es erfordert eine beträchtliche Vorbereitung und Überprüfung auf dem Druckserver, aber das liegt daran, dass wir Administratoren wissen sollten, was bereitgestellt wird, was eine Gefahr darstellt und so weiter. Sobald auf dem Druckserver die Treiber vorinstalliert sind, können alle an den Drucker angeschlossenen Client-Systeme die Treiber ohne UAC-Prüfpunkte im Hintergrund installieren.
George Erhard
1
Beachten Sie, dass Sie nur den "Server" -Dienst auf dem Druckserver neu starten können und dieser mit den neuen Einstellungen aktualisiert wird, ohne den Server neu zu starten. Ein Neustart dieses Dienstes kann andere Auswirkungen haben, ist jedoch für einige Administratoren möglicherweise eine bessere Lösung als ein Neustart des Servers .
Thomas
1

Vielen Dank für den Registrierungs-Hack, damit ein Treiber als Paket angezeigt wird. Das allein reicht vielleicht nicht aus. Stellen Sie sicher, dass Sie das Computerrichtlinienpaket und die Druckeinstellungen zusammen mit dem betreffenden Druckserver auf "Aktiviert" setzen.

  1. Über dem Registrierungshack auf dem Druckserver, wenn Ihr Treiber in der gepackten Spalte des Druckmanagers auf dem Server als "falsch" angezeigt wird.
  2. Comp config -> Admin-Vorlagen -> Point and Print-Einschränkungen aktiviert.

Hoffe das hilft.

nx u
quelle