Как разрешить пользователям домена устанавливать принтеры | Windows для системных администраторов

Как разрешить пользователям домена устанавливать принтеры

По умолчанию рядовым пользователям домена запрещено устанавливать принтера (если быть более точными, драйвера принтеров) на доменных компьютерах, а для их установки необходимо наличие у пользователя определённых прав. Это правильно с точки зрения безопасности, ведь установка некорректного или вредоносного (поддельного) драйвера устройства может скомпрометировать или ухудшить работу системы, но крайне неудобно с точки зрения ИТ – отдела. Ведь, если пользователям запрещено устанавливать драйвера принтеров на своих компьютерах, эта забота возлагается на администраторов и ИТ-отдел.

В том случае, если ИТ-администраторы предприятия все-таки решили разрешить пользователям самостоятельно устанавливать драйвера принтеров на своих компьютерах, не предоставляя им прав локальных администраторов, в этой задаче помочь им могут групповые политики Active Directory.

Итак, предполагается, что имеется разнородная сеть и нам необходимо разрешить пользователям самостоятельно подключать сетевые и локальные принтера, и устанавливать их драйвера как на ПК с Windows 7, так и с Windows XP.

Итак, создайте (или отредактируйте существующую политику)  и привяжите ее к OU (контейнеру Active Directory), в котором содержатся компьютеры, на которых политикой необходимо разрешить пользователям установку драйверов принтеров (на отдельно стоящем компьютере эту же политику можно реализовать с помощью локальной политики).

Откройте ветку групповых политик Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Local Policies -> Security Options, в которой найдите параметр Devices: Prevent users from installing printer drivers (Устройства: Запретить пользователям установку драйверов принтера). Активируйте политику и отключите ее применение (значение  Disabled).

windows: как с помощью групповых политик разрешить пользователям устанавливать принтера

Данная политика подразумевает, что при подключении сетевого принтера, система позволяет пользователю, не обладающего правами администратора, установить драйвера сетевых принтеров.

Следующий момент – нужно разрешить пользователю устанавливать локальные принтера (и их драйвера). В этом случае нас интересует политика Allow non-administrators to install drivers for these device setup classes в разделе: Computer Configuration -> Policies -> Administrative Templates -> System -> Driver Installation.

Включите данную политику, затем зададим типы устройств, которые разрешено пользователям устанавливать самостоятельно (подробнее о принципах установки драйверов в Windows 7 без прав локального администратора). Нажмите кнопку Show, и в появившемся окне добавьте две строки (идентификаторы классов, соответствующие устройствам типа принтер):

{4d36e979-e325-11ce-bfc1-08002be10318}

{4658ee7e-f050-11d1-b6bd-00c04fa372a7}

Полный список кодов GUID классов устройств в ОС Windows доступен тут:

http://msdn.microsoft.com/en-us/library/ff553426%28v=VS.85%29.aspx

Сохраните изменения в политике.

Задаем классы устройств, которые пользователи могут устанавливать без прав администратора

Следующий момент касается особенностей работы UAC при установке сетевого принтера в Windows Vista и Windows 7. В том случае, если UAC включен, появляется сообщение, в котором требуется указать учетные данные администратора, если же UAC отключен  при попытке установить принтер пользователем– система надолго задумывается, и в конце концов выдает сообщение об ошибке: “Windows не удалось подключиться к принтеру. Отказано в доступе”.

Чтобы решить данную проблему необходимо перевести в состояние Disabled политику Point and Print Restrictions . Данная политика находится как в системном, так и пользовательском разделе групповых политик и для поддержки совместимости с предыдущими версиями операционной системы Windows, рекомендуется задавать оба этих параметра. Необходимо отключить обе политики. Находятся он в разделах: Computer Configuration -> Policies -> Administrative Templates -> Printers и User Configuration -> Policies ->Administrative Templates ->Control Panel ->Printers.

windows7 point and print restriction: отключаем UAC для корректной установки драйверов принтеров

Осталось сохранить изменения и протестировать политики на клиентах (потребуется перезагрузка). После перезагрузки и применения групповых политик пользователю  будет разрешено самостоятельно устанавливать локальные и подключать сетевые принтера.

Для повышения стабильности и безопасности системы рекомендуется также включить изоляцию драйверов принтеров  в Windows 7.

Еще записи по теме: Windows 7
Понравилась статья? Скажи спасибо и расскажи друзьям!
Назад:
Вперед:

Комментариев: 19

Оставить комментарий
  1. Сергей | 25.05.2013

    А как это скажется на безопасности?
    Ведь драйвера это обычно exe файл, который скачивается (при сетевом принтере) и запускается от имени Системы. Получается, что любой пользователь сможет своими действиями запустить драйвер-exe, который может оказаться и не драйвером на самом деле. Тот в свою очередь запустится от имени Системы и может наделать делов. Возможет такой сценарий? или я где-то что-то упустил?

    Ответить
    • itpro | 27.05.2013

      Все верно, по сути драйвера принтеров — это отдельные исполняемые программы и потенциально в них можно внедрить вредоносный код и подсунуть ни в чем не подозревающему пользователю. Но ведь точно такой же драйвер можно «подкинуть» и админу, который точно также не заметит ничего подозрительного!?
      Поэтому атаку такого рода реализовать затруднительно если:
      а) На компьютерах стоит свежий антивирус
      б) все драйвера устанавливаются с некой «общей шары», подготовленной администраторами
       
      Драйвера, кстати, поставляются не в exe формате, а в виде inf, dll, cat (и других типов) файлов. + система не позволит установить любой драйвер, и обязательно проверит его класс и подпись

      Ответить
  2. Денис | 04.06.2013

    В Computer Configuration -> Policies -> Administrative Templates -> Printers нет политики Point and Print Restrictions. windows server 2008 R2 стоят все обновления. Как ее установить? Так как при отключении только в User Configuration принтер не устанавливается — нет доступа. При включенном UAC идет запрос на учетные данные, принтер устанавливается. Но я хочу выключить его чтоб пользователи могли сами ставить.

    Ответить
    • itpro | 05.06.2013

      С какого компьютера осуществляется редактирование политик? Это должен быть либо сервер с Windows 2008 R2 либо Windows 7/8 с установленным RSAT.

      ЗЫ. Какой уровень домена?

      Ответить
  3. Denis | 05.06.2013

    Политики редактируется в самом домене под windows server 2008 R2, домен 2 уровня. При отображении всех политик также не нахожу политику Point and Print Restrictions

    Ответить
  4. Denis | 05.06.2013

    Да действительно у меня 2008 standart просто с SP2, не учел. Есть ли возможность включить эту политику на этом сервере? Домен 2 уровоня.

    Ответить
    • itpro | 05.06.2013

      Win 2008 разрабатываля для работы с Vista, возможно нужно искать какую-то специфическую политику для Vista, либо попробуйте на своем компе с win 7 установить rsat и запустить редактор политик уже с нее — скорее всего политика появится.

       

      Ответить
  5. Denis | 05.06.2013

    Да действительно у меня 2008 standard просто с SP2, не учел. Есть ли возможность включить эту политику на этом сервере через RSAT на windows7? Домен 2 уровня.

    Ответить
  6. Denis | 05.06.2013

    Поставил RSAT политика там отобразилась на windows7, применил ее, но на серввере win2008 ST не появилась она. Делал gpupdate /force , домен не перегружал так как в данный момент не возможно, после перезагрузки думаю появиться она. Все равно спасибо!

    Ответить
    • itpro | 05.06.2013

      Применять и обновлять (gpupdate /force) политику нужно не к контроллеру домена, а к рабочим станциям с Windows 7.
       

      Ответить
  7. Denis | 05.06.2013

    Да я обновлял политику на рабочей станции, а также ее перегрузил. В домене на самом сервере также не отображается эта политика. Вечером попробую перегрузить его. При установке принтера на раб станции также выскакивает ошибка, дрова устанавливаються а затем ошибка 0х000007е.

    Ответить
  8. Евгений | 30.10.2013

    Спасибо большое. Спасли. Парился на винде7 с этим. Теперь все прекрасно ставится. Вот только бы еще найти как разрешить юзерам удалять и настраивать порты на этих принтерах. А то на вкладку заходишь , а поле не активно

    Ответить
  9. Иван | 06.11.2013

    Огромное спасибо. Заработало почти все =)Под ХР все работает прекрасно. Все принтеры устанавливаются. А вот под семеркой не на все принтеры ставятся драйвера. Выскакивает табличка «Вы доверяете этому принтеру», а после нее «Windows не удается подключиться к принтеру. Отказано в доступе».Происходит это с такими принтерами HP LJ P2035n; Ricoh Aficio MP 171LN; Ricoh Aficio MP 2000Хотя другие принтеры: Ricoh Aficio MP 201; Kyocera FS-4020DN; Xerox Workcenter 7435 — устанавливаюстся прекрасно.

    Ответить
    • itpro | 06.11.2013

      Возможно дело в UAC (http://winitpro.ru/index.php/2011/10/17/problemy-s-ustanovkoj-setevyx-printerov-v-windows-7/) или наличии цифровой подписи у драйверов принтеров, которые успешно  устанавливаются (http://winitpro.ru/index.php/2011/11/08/kak-otklyuchit-proverku-cifrovoj-podpisi-drajvera-v-windows-7/)

      Ответить
      • Иван | 07.11.2013

        UAC отключен.
        Point and Print Restrictions
        Point and Print Restrictions
        Devices: Prevent users from installing printer drivers
        в состоянии Disable

        Проверка цифровой подписи «Code Signing for Device Drivers’ » отключена

        Видимо проблема в чем-то другом.

        Ответить
        • itpro | 07.11.2013

          Странно все это…
          А при включенном UAC установка выполняется (разумеется если ввести учетные данные администратора)?

          Ответить
          • Иван | 08.11.2013

            При включенном UAC, все тоже самое <табличка «Вы доверяете этому принтеру», а после нее «Windows не удается подключиться к принтеру. Отказано в доступе»> Учетные данные не предлагает вводить видимо из-за примененных политик описанных выше.

            Ответить
  10. Сергей | 25.10.2015

    Здравствуйте, а как разрешить пользователям на server 2008 R2 безопасно извлекать флешки,-можно только под админом.

    Ответить
    • itpro | 26.10.2015

      Включите политику Computer Configuration->Windows Settings->Security Settings->Local Policies->Security Options->Devices:Allowed to format and eject removable media, изменив ее на «Administrators and Interactive Users». В этом случае все пользователи системы смогут извлекать usb устройства.

      Ответить
Полные правила комментирования на сайте winitpro.ru. Вопросы, не связанные с содержимым статьи или ее обсуждением удаляются.

Сказать Спасибо! можно на этой странице или (еще лучше) поделиться с друзями ссылкой на понравившуюся статью в любимой социальной сети(специально для этого на сайте присуствуют кнопки популярных соц. сетей).

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Я не робот( Обязательно отметьте)



MAXCACHE: 0.27MB/0.02321 sec