По умолчанию рядовым пользователям домена запрещено устанавливать принтера (если быть более точными, драйвера принтеров) на доменных компьютерах, а для их установки необходимо наличие у пользователя определённых прав. Это правильно с точки зрения безопасности, ведь установка некорректного или вредоносного (поддельного) драйвера устройства может скомпрометировать или ухудшить работу системы, но крайне неудобно с точки зрения ИТ – отдела. Ведь, если пользователям запрещено устанавливать драйвера принтеров на своих компьютерах, эта забота возлагается на администраторов и ИТ-отдел.
В том случае, если ИТ-администраторы предприятия все-таки решили разрешить пользователям самостоятельно устанавливать драйвера принтеров на своих компьютерах, не предоставляя им прав локальных администраторов, в этой задаче помочь им могут групповые политики Active Directory.
Итак, предполагается, что имеется разнородная сеть и нам необходимо разрешить пользователям самостоятельно подключать сетевые и локальные принтера, и устанавливать их драйвера как на ПК с Windows 7, так и с Windows XP.
Итак, создайте (или отредактируйте существующую политику) и привяжите ее к OU (контейнеру Active Directory), в котором содержатся компьютеры, на которых политикой необходимо разрешить пользователям установку драйверов принтеров (на отдельно стоящем компьютере эту же политику можно реализовать с помощью локальной политики).
Откройте ветку групповых политик Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Local Policies -> Security Options, в которой найдите параметр Devices: Prevent users from installing printer drivers (Устройства: Запретить пользователям установку драйверов принтера). Активируйте политику и отключите ее применение (значение Disabled).
Данная политика подразумевает, что при подключении сетевого принтера, система позволяет пользователю, не обладающего правами администратора, установить драйвера сетевых принтеров.
Следующий момент – нужно разрешить пользователю устанавливать локальные принтера (и их драйвера). В этом случае нас интересует политика Allow non-administrators to install drivers for these device setup classes в разделе: Computer Configuration -> Policies -> Administrative Templates -> System -> Driver Installation.
Включите данную политику, затем зададим типы устройств, которые разрешено пользователям устанавливать самостоятельно (подробнее о принципах установки драйверов в Windows 7 без прав локального администратора). Нажмите кнопку Show, и в появившемся окне добавьте две строки (идентификаторы классов, соответствующие устройствам типа принтер):
{4d36e979-e325-11ce-bfc1-08002be10318}
{4658ee7e-f050-11d1-b6bd-00c04fa372a7}
Полный список кодов GUID классов устройств в ОС Windows доступен тут:
http://msdn.microsoft.com/en-us/library/ff553426%28v=VS.85%29.aspx
Сохраните изменения в политике.
Следующий момент касается особенностей работы UAC при установке сетевого принтера в Windows Vista и Windows 7. В том случае, если UAC включен, появляется сообщение, в котором требуется указать учетные данные администратора, если же UAC отключен при попытке установить принтер пользователем– система надолго задумывается, и в конце концов выдает сообщение об ошибке: “Windows не удалось подключиться к принтеру. Отказано в доступе”.
Чтобы решить данную проблему необходимо перевести в состояние Disabled политику Point and Print Restrictions . Данная политика находится как в системном, так и пользовательском разделе групповых политик и для поддержки совместимости с предыдущими версиями операционной системы Windows, рекомендуется задавать оба этих параметра. Необходимо отключить обе политики. Находятся он в разделах: Computer Configuration -> Policies -> Administrative Templates -> Printers и User Configuration -> Policies ->Administrative Templates ->Control Panel ->Printers.
Осталось сохранить изменения и протестировать политики на клиентах (потребуется перезагрузка). После перезагрузки и применения групповых политик пользователю будет разрешено самостоятельно устанавливать локальные и подключать сетевые принтера.
Для повышения стабильности и безопасности системы рекомендуется также включить изоляцию драйверов принтеров в Windows 7.
А как это скажется на безопасности?
Ведь драйвера это обычно exe файл, который скачивается (при сетевом принтере) и запускается от имени Системы. Получается, что любой пользователь сможет своими действиями запустить драйвер-exe, который может оказаться и не драйвером на самом деле. Тот в свою очередь запустится от имени Системы и может наделать делов. Возможет такой сценарий? или я где-то что-то упустил?
Все верно, по сути драйвера принтеров — это отдельные исполняемые программы и потенциально в них можно внедрить вредоносный код и подсунуть ни в чем не подозревающему пользователю. Но ведь точно такой же драйвер можно «подкинуть» и админу, который точно также не заметит ничего подозрительного!?
Поэтому атаку такого рода реализовать затруднительно если:
а) На компьютерах стоит свежий антивирус
б) все драйвера устанавливаются с некой «общей шары», подготовленной администраторами
Драйвера, кстати, поставляются не в exe формате, а в виде inf, dll, cat (и других типов) файлов. + система не позволит установить любой драйвер, и обязательно проверит его класс и подпись
В Computer Configuration -> Policies -> Administrative Templates -> Printers нет политики Point and Print Restrictions. windows server 2008 R2 стоят все обновления. Как ее установить? Так как при отключении только в User Configuration принтер не устанавливается — нет доступа. При включенном UAC идет запрос на учетные данные, принтер устанавливается. Но я хочу выключить его чтоб пользователи могли сами ставить.
С какого компьютера осуществляется редактирование политик? Это должен быть либо сервер с Windows 2008 R2 либо Windows 7/8 с установленным RSAT.
ЗЫ. Какой уровень домена?
Политики редактируется в самом домене под windows server 2008 R2, домен 2 уровня. При отображении всех политик также не нахожу политику Point and Print Restrictions
Да действительно у меня 2008 standart просто с SP2, не учел. Есть ли возможность включить эту политику на этом сервере? Домен 2 уровоня.
Win 2008 разрабатываля для работы с Vista, возможно нужно искать какую-то специфическую политику для Vista, либо попробуйте на своем компе с win 7 установить rsat и запустить редактор политик уже с нее — скорее всего политика появится.
Да действительно у меня 2008 standard просто с SP2, не учел. Есть ли возможность включить эту политику на этом сервере через RSAT на windows7? Домен 2 уровня.
Поставил RSAT политика там отобразилась на windows7, применил ее, но на серввере win2008 ST не появилась она. Делал gpupdate /force , домен не перегружал так как в данный момент не возможно, после перезагрузки думаю появиться она. Все равно спасибо!
Применять и обновлять (gpupdate /force) политику нужно не к контроллеру домена, а к рабочим станциям с Windows 7.
Да я обновлял политику на рабочей станции, а также ее перегрузил. В домене на самом сервере также не отображается эта политика. Вечером попробую перегрузить его. При установке принтера на раб станции также выскакивает ошибка, дрова устанавливаються а затем ошибка 0х000007е.
Спасибо большое. Спасли. Парился на винде7 с этим. Теперь все прекрасно ставится. Вот только бы еще найти как разрешить юзерам удалять и настраивать порты на этих принтерах. А то на вкладку заходишь , а поле не активно
Огромное спасибо. Заработало почти все =)Под ХР все работает прекрасно. Все принтеры устанавливаются. А вот под семеркой не на все принтеры ставятся драйвера. Выскакивает табличка «Вы доверяете этому принтеру», а после нее «Windows не удается подключиться к принтеру. Отказано в доступе».Происходит это с такими принтерами HP LJ P2035n; Ricoh Aficio MP 171LN; Ricoh Aficio MP 2000Хотя другие принтеры: Ricoh Aficio MP 201; Kyocera FS-4020DN; Xerox Workcenter 7435 — устанавливаюстся прекрасно.
Возможно дело в UAC (https://winitpro.ru/index.php/2011/10/17/problemy-s-ustanovkoj-setevyx-printerov-v-windows-7/) или наличии цифровой подписи у драйверов принтеров, которые успешно устанавливаются (https://winitpro.ru/index.php/2011/11/08/kak-otklyuchit-proverku-cifrovoj-podpisi-drajvera-v-windows-7/)
UAC отключен.
Point and Print Restrictions
Point and Print Restrictions
Devices: Prevent users from installing printer drivers
в состоянии Disable
Проверка цифровой подписи «Code Signing for Device Drivers’ » отключена
Видимо проблема в чем-то другом.
Странно все это…
А при включенном UAC установка выполняется (разумеется если ввести учетные данные администратора)?
При включенном UAC, все тоже самое <табличка «Вы доверяете этому принтеру», а после нее «Windows не удается подключиться к принтеру. Отказано в доступе»> Учетные данные не предлагает вводить видимо из-за примененных политик описанных выше.
Здравствуйте, а как разрешить пользователям на server 2008 R2 безопасно извлекать флешки,-можно только под админом.
Включите политику Computer Configuration->Windows Settings->Security Settings->Local Policies->Security Options->Devices:Allowed to format and eject removable media, изменив ее на «Administrators and Interactive Users». В этом случае все пользователи системы смогут извлекать usb устройства.
При включеном UAC на рабочих станциях этот способ не работает?