Point and print restrictions
Windows 7 в корпоративной среде. Часть 2: Организация системы печати
Посетителей: 7100 | Просмотров: 9669 (сегодня 0)
Содержание:
Введение
При переходе на использование новой версии операционной системы важно предусмотреть её совместимость с используемыми в компании технологиями. Одной из таких ключевых технологий является система печати. Основными её компонентами являются: сервера печати, установленные на них принтеры и клиентские компьютеры, использующие эти принтеры. Первостепенное значение в организации и поддержке процесса печати играют:
способ подключения принтеров клиентам;
поддержка одинаковых версий драйверов на серверах печати и клиентских компьютерах.
Рассмотрим это более подробно.
Единообразие драйверов
На серверах печати, терминальных серверах и рабочих станциях рекомендуется для каждой модели принтера поддерживать идентичные версии используемых драйверов. Более того, на серверах печати желательно установить дополнительные драйверы для поддержки клиентских компьютеров с различными типами архитектуры процессора (рис. 1).
Рис.1. Добавление драйверов для других архитектур
Еще одним важным моментом при выборе версии драйвера, является проверка его совместимости с операционными системами, используемыми в организации (особенно с Windows 7). В большинстве случаев такую информацию можно получить на сайте производителя. Например, для принтеров Hewlett-Packard список моделей, совместимых с Windows 7, можно посмотреть тут.
Выбранные для использования драйвера можно заранее добавить в подготовленный образ операционной системы. Этот образ будет использоваться при установке Windows 7 на новых компьютерах. Централизованное обновление драйверов печати на уже существующих рабочих станциях можно провести с помощью скриптов или специализированного программного обеспечения (например, System Center Configuration Manager). При этом часто используется тот факт, что при подключении принтера, драйвер на клиентском компьютере пытается автоматически обновиться/установиться с сервера печати (если версии драйверов на сервере и клиенте не совпадают). В Windows 2000 или Windows XP без пакетов обновления выполнение подобных операций требовало прав локального администратора. В более новых операционных системах это ограничение можно обойти с помощью настройки Point and Print Restrictions, которая задается в групповых политиках. Если данный параметр установлен в состояние Disabled, пользователю разрешается устанавливать драйвера и печатать с любого сервера печати. Установка его в Enabled может привести к «зависанию» клиентских компьютеров при входе пользователя. Пример подобной проблемы можно посмотреть тут.
Для Windows XP SP1 и Windows Vista, соответствующие настройки находятся в
Для Windows 7, расположение настройки Point and Print Restrictions изменилось и было перенесено в компьютерный раздел групповой политики
Для поддержки совместимости с предыдущими версиями операционной системы, в групповых политиках рекомендуется задавать оба этих параметра.
Подключение принтеров
Следующий шаг после установки идентичных версий драйверов — подключение принтеров на клиентские компьютеры. Сделать это можно несколькими способами. Наиболее популярными из них являются:
публикация принтеров в групповых политиках с помощью утилиты print management;
настройка group policy preferrence.
Рассмотрим каждый из них более подробно.
Наиболее традиционным способом подключения принтеров являются логон-скрипты. К преимуществам данного метода можно отнести гибкость при задании условий для подключения и простоту реализации. Например, простейший скрипт для подключения принтера на языке kix имеет вид:
Алгоритм работы следующий. Сначала проверяется наличие пользователя в группе Active Directory «group_for_printer1». При выполнении этого условия пользователю подключается принтер с сетевым именем printer1 с сервера печати MyPrintServer. Другими словами, для реализации автоматического подключения принтера будет достаточно добавить пользователя в соответствующую группу Active Directory и назначить ему данный логон-скрипт. Однако иногда можно потратить довольно много времени на уточнение алгоритмов и исправление ошибок более сложных скриптов.
Для средних и крупных организаций может оказаться удобным управление принтерами с помощью утилиты Print Management. Она обеспечивает единую консоль управления всеми серверами печати в организации. Установить Print Management можно как на серверной, так и на клиентской операционных системах (например, Windows 7). Подключение принтеров осуществляется посредством публикации их в групповые политики из консоли управления. Однако это не всегда удобно, т.к. зачастую пользователям, находящимся в одном контейнере Active Directory, требуется подключать различные принтеры. В этом случае для реализации подключения можно создать несколько групповых политик и отфильтровать их с помощью параметров безопасности или WMI-фильтров.
Еще одним из способов назначения принтеров являются Group Policy Preferences. Этот механизм позволяет достаточно гибко подключить принтеры заданным группам пользователей или компьютеров и выбрать, какой из них будет использоваться по умолчанию. Для работы этой технологии на компьютерах с Windows XP или Windows Vista необходима предварительная установка Group Policy Preference Client Side Extensions и XMLLite. При использовании Windows 7 устанавливать дополнительное программное обеспечение не требуется.
В моем случае, при внедрении Windows 7, было решено оставить подключение принтеров логон-скриптами на основе вхождения в группы безопасности Active Directory. Эта исторически сложившаяся технология, и особых предпосылок для отказа от неё не было. Для Windows Vista и Windows 7 была создана групповая политика, разрешающая установку драйверов печати без административных прав. Обновлены версии драйверов на серверах печати и клиентских компьютерах. По возможности принтеры Hewlett-Packard перенастроены на использование Universal Print Driver PCL 6. Параллельно рассматриваются варианты будущего перехода на использование Group Policy Preferences, так как это достаточно гибкий, удобный и наглядный механизм, позволяющий значительно расширить возможности системного администрирования.
Полезные ресурсы
Статья опубликована в рамках конкурса «Наш выбор — Windows 7!». Оригинальный стиль автора сохранен.
Как разрешить пользователям домена устанавливать принтеры
По умолчанию рядовым пользователям домена запрещено устанавливать принтера (если быть более точными, драйвера принтеров) на доменных компьютерах, а для их установки необходимо наличие у пользователя определённых прав. Это правильно с точки зрения безопасности, ведь установка некорректного или вредоносного (поддельного) драйвера устройства может скомпрометировать или ухудшить работу системы, но крайне неудобно с точки зрения ИТ – отдела. Ведь, если пользователям запрещено устанавливать драйвера принтеров на своих компьютерах, эта забота возлагается на администраторов и ИТ-отдел.
В том случае, если ИТ-администраторы предприятия все-таки решили разрешить пользователям самостоятельно устанавливать драйвера принтеров на своих компьютерах, не предоставляя им прав локальных администраторов, в этой задаче помочь им могут групповые политики Active Directory.
Итак, предполагается, что имеется разнородная сеть и нам необходимо разрешить пользователям самостоятельно подключать сетевые и локальные принтера, и устанавливать их драйвера как на ПК с Windows 7, так и с Windows XP.
Итак, создайте (или отредактируйте существующую политику) и привяжите ее к OU (контейнеру Active Directory), в котором содержатся компьютеры, на которых политикой необходимо разрешить пользователям установку драйверов принтеров (на отдельно стоящем компьютере эту же политику можно реализовать с помощью локальной политики).
Откройте ветку групповых политик Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Local Policies -> Security Options, в которой найдите параметр Devices: Prevent users from installing printer drivers (Устройства: Запретить пользователям установку драйверов принтера). Активируйте политику и отключите ее применение (значение Disabled).
Данная политика подразумевает, что при подключении сетевого принтера, система позволяет пользователю, не обладающего правами администратора, установить драйвера сетевых принтеров.
Следующий момент – нужно разрешить пользователю устанавливать локальные принтера (и их драйвера). В этом случае нас интересует политика Allow non-administrators to install drivers for these device setup classes в разделе: Computer Configuration -> Policies -> Administrative Templates -> System -> Driver Installation.
Включите данную политику, затем зададим типы устройств, которые разрешено пользователям устанавливать самостоятельно (подробнее о принципах установки драйверов в Windows 7 без прав локального администратора). Нажмите кнопку Show, и в появившемся окне добавьте две строки (идентификаторы классов, соответствующие устройствам типа принтер):
Полный список кодов GUID классов устройств в ОС Windows доступен тут:
http://msdn.microsoft.com/en-us/library/ff553426%28v=VS.85%29.aspx
Сохраните изменения в политике.
Следующий момент касается особенностей работы UAC при установке сетевого принтера в Windows Vista и Windows 7. В том случае, если UAC включен, появляется сообщение, в котором требуется указать учетные данные администратора, если же UAC отключен при попытке установить принтер пользователем– система надолго задумывается, и в конце концов выдает сообщение об ошибке: “Windows не удалось подключиться к принтеру. Отказано в доступе”.
Чтобы решить данную проблему необходимо перевести в состояние Disabled политику Point and Print Restrictions . Данная политика находится как в системном, так и пользовательском разделе групповых политик и для поддержки совместимости с предыдущими версиями операционной системы Windows, рекомендуется задавать оба этих параметра. Необходимо отключить обе политики. Находятся он в разделах: Computer Configuration -> Policies -> Administrative Templates -> Printers и User Configuration -> Policies ->Administrative Templates ->Control Panel ->Printers.
Осталось сохранить изменения и протестировать политики на клиентах (потребуется перезагрузка). После перезагрузки и применения групповых политик пользователю будет разрешено самостоятельно устанавливать локальные и подключать сетевые принтера.
Для повышения стабильности и безопасности системы рекомендуется также включить изоляцию драйверов принтеров в Windows 7.
Point and print restrictions
Книга: Windows Server 2012 R2 Storage, Security, & Networking Pocket Consultant
Configuring point and print restrictions
Configuring point and print restrictions
In Group Policy, the Point And Print Restrictions setting controls security warnings and elevation prompts when users point and print and when drivers for printer connections need to be configured. This setting is found in the Administrative Templates for Computer Configuration under the Printers node.
Table 10-1 summarizes how the Point And Print Restrictions setting is used. Note that prior to Windows 7 and Windows Vista Service Pack 2, Point And Print Restrictions were implemented by using User Configuration policy. If you configure Point And Print Restrictions in User Configuration policy, the settings will be ignored by computers running Windows Vista Service Pack 2, Windows 7, and later versions of Windows.
TABLE 10-1 Point and print restrictions
| WHEN THE POLICY SETTING IS | THE POLICY WORKS AS FOLLOWS |
|---|---|
| Enabled | Clients can point and print to any server. You can configure Clients to show or hide warning and elevation prompts when users point and print and when a driver for an existing printer connection needs to be updated. |
| Not Configured | Clients can point and print to any server in the forest. Clients also will not show a warning and elevation prompt when users point and print or when a driver for an existing printer connection needs to be updated. |
| Disabled | Clients can point and print to any server. Clients also will not show a warning and elevation prompt when users point and print or when a driver for an existing printer connection needs to be updated. |
By default, Windows allows a user who is not a member of the local Administrators group to install only trustworthy printer drivers, such as those provided by Windows or in digitally signed printer driver packages. When you enable the Point And Print Restrictions setting, you also make it possible for users who are not members of the local Administrators group to install printer connections deployed in Group Policy that include additional or updated printer drivers that are not in the form of digitally signed printer driver packages. If you do not enable this setting, users might need to provide the credentials of a user account that belongs to the local Administrators group.
You can enable and configure the Point And Print Restrictions setting in Group Policy by following these steps:
1. In the Group Policy Management Console, press and hold or right-click the GPO for the site, domain, or organizational unit with which you want to work, and then tap or click Edit. This opens the policy editor for the GPO.
2. In the Group Policy Management Editor, expand the Administrative Templates for Computer Configuration, and then select the Printers node.
3. In the main pane, double-tap or double-click Point And Print Restrictions.
4. In the Point And Print Restrictions dialog box, shown in Figure 10-9, select Enabled.
FIGURE 10-9 Configure point and print restrictions.
The Blog
Jonathan Lefebvre November 3, 2016 WINDOWS 10 12 Comments
We came across a strange issue today on Windows 10 devices that we haven’t seen since the Windows Vista days. Users has started to get prompts for User Account Control(UAC) when connecting to some printers. The Point and Print feature is responible for this as it easily allow standard users to install printer drivers from trusted print server.
The problem appeared right after applying last July monthly updates. (MS16-087)
[su_box title=”Description” style=”glass” title_color=”#F0F0F0″]This security update resolves vulnerabilities in Microsoft Windows. The more severe of the vulnerabilities could allow remote code execution if an attacker is able to execute a man-in-the-middle (MiTM) attack on a workstation or print server, or set up a rogue print server on a target network.[/su_box]
Windows 10 Point Print UAC Prompt Cause
Microsoft as tightened the requirement for printer drivers on print servers.
- Are using a print server
- Allow standard user to install printer drivers using the Point and Print Group Policy
- Are using old printer driver that might have the following :
- Non-package-aware v3 printer drivers
- Unsigned or expired certificate validation drivers
Following MS16-087 installation, you receive a UAC prompt and a Connect to Printer error after a printer installation attempt. (A policy is in effect on your computer which prevents you from connecting to this print queue. Please contact your system Administaor)
Here’s the list of the specific KB per OS that create the issue :
- KB3163912
- Windows 10
- KB3172985
- Windows 10 v1511
- KB3170455
- Windows Vista
- Windows 7
- Windows 8.1
- Windows Server 2008
- Windows Server 2008 R2
- Windows Server 2012
- Windows Server 2012 R2
How to fix it
Part 1
Part 1 of the solution is available in the October 2016 Preview of Monthly Quality Rollup available for all operating system except Windows 10 (October 16th). Microsoft has released an update that lets network administrators configure policies that permit the installation of print drivers that they consider are safe. This update also allows network administrators to deploy printer connections that they consider safe.
[su_box title=”Note” style=”glass” title_color=”#F0F0F0″]If you are not familiar with preview updates, take a look at the following blog post.[/su_box]
This mean, if you are facing the issue, the official fix for it will be available for production use on the next Patch Tuesday (November 8th) as part of the Monthly Quality Rollup.
[su_box title=”Important” style=”glass” box_color=”#000000″ title_color=”#F0F0F0″]**Update 2016/11/10** Microsoft as released an update that was in preview in Octobre 2016. KB3197868 https://support.microsoft.com/en-ca/kb/3197868 After testing, it’s working as excepted. The second GPO part still required to make this work.[/su_box]
KB in preview
KB in production
Part 2
Part 2 consist having the right GPO settings for Point and Print.
Two GPO settings must be applied :
- Under Computer Configuration / Policies / Administrative Templates / Printers, set Package Point and Print – Approved server to Enabled
- Each print server must be added to the list with the fully qualified server name
- Under Computer Configuration / Policies / Administrative Templates / Printers, set Point and Print Restrictions to Enabled
- Each print server must be added to the list with the fully qualified server name, seperated by semi-colons
- When installing driver for new connection, select Do not show warning or elevation prompt
- When installing driver for existing connection, select Do not show warning or elevation prompt
How useful was this post?
Click on a star to rate it!
Average rating 0 / 5. Vote count: 0
No votes so far! Be the first to rate this post.
Contributor of System Center Dudes. Based in Montreal, Canada, Senior Microsoft SCCM consultant, working in the industry for more than 10 years. He developed a strong knowledge of SCCM and MDT to build automated OS deployment solution for clients, managed large and complexe environment, including Point of Sale (POS) related projects.
