Обнаружили одну неприятную проблему с одним из июльский обновлений безопасности Microsoft. Речь о KB3170455, выпущенном 12 июля 2016 года. После установки данного обновления в домене могут возникнуть проблемы при попытке подключить сетевой принтер.
Проблема проявлялась следующим образом:
При попытке на доменных клиентах (Windows 10, Windows 7) установить (подключить) принтер с принт-сервера (на Windows Server 2008 R2), появляется ошибка.
Connect to Printer
A policy is in effect on your computer which prevents you from connecting to this print queue. Please contact your system administrator.
На некоторых моделях принтеров при попытке подключить сетевой принтер появлялось другое сообщение:
Do you trust this printer?
Windows needs to download and install a software driver from \\PrintServerName computer to print to PrinterName. Proceed only if you trust the \\PrintServerName and the network
Windows требуется загрузить и установить драйвер с компьютера \\PrintServerName для печати на PrinterName…
При нажатии на кнопку «Установить драйвер» появляется окно UAC с предложением ввести учетные данные администратора. Хотя ранее пользователи могли без проблем подключать эти принтера (включена политика, позволяющая обычным пользователям устанавливать драйвера принтеров без прав локального администратора).
Путем сравнения установленных обновлений на проблемных компьютерах, обнаружили, что проблема наблюдается на компьютерах с установленным апдейтом KB3170455 (MS16-087: Description of the security update for Windows print spooler components: July 12, 2016). И действительно, при удалении этого обновления принтера подключаются корректно.
wusa.exe /uninstall /kb:3170455 /quiet /norestart
Но не все так просто, обновление на самом деле не кривое, а исправляет конкретную критическую уязвимость в подсистеме печати Windowsю. Обновление в том числе предполагает выдавать предупреждение пользователя при попытке установить недоверенные или неподписанные драйвера принтеров. Да и в Windows 10 это обновление вшито в кумулятивное обновление, и так просто его уже не откатишь. Так что простым удалением обновления проблему не решить.
В статье https://support.microsoft.com/en-us/kb/3170005 указаны критерии, которым должны соответствовать драйвера принтеров, чтобы они могли корректно устанавливаться на клиентах:
- Драйвер должен быть доверенным (подписан доверенной цифровой подписью)
- Драйвер должен быть упакованным (Package-aware print drivers). Установка неупакованных драйверов (non-package-aware v3 printer drivers) через режим Point and Print Restrictions невозможна
Поэтому Microsoft рекомендует:
- заменить драйвера на принт-серверах на упакованные (спецификация Package-aware V3). Определить является ли драйвер упакованным или нет, можно с помощью консоли Print Manager, откройте раздел с драйверами. Нас интересует колонка Packaged, для упакованных драйверов указан статус True.
Останется включить политики Point and Print Restrictions (в разделах Computer Configuration > Policies > Admin Templates > Printers и в User Configuration > Policies > Admin Templates > Control Panel > Printers) и выставить Do not show warning or elevation prompt (Не показывать предупреждение или запрос на повышение прав). Дополнительно указываем FQDN имена доверенных принт-серверов. - если драйвера являются устаревшими и обновить их нельзя, рекомендуется предустанавливать их на клиентских ПК. В этом случае при подключении принтеров проблем не возникнет.
А может быть просто отключить политику проверки Administrative Templates > Control Panel > Printers -> Only use Package Point and print = Disabled? По логике этим самым разрешается установка неупакованных драйверов.
Как у вас получилось? решилась проблема отключением данной политики?
Спасибо огромное про трюк с реестром, долго бился почему же некоторые принтеры не просят повышения прав, а некоторые (как раз canon) постоянно просят
MS признали наличие ошибки, появился отдельная KB _https://support.microsoft.com/en-us/kb/3187022 — Print functionality is broken after any of the MS16-098 security updates are installed
Судя по которой, проблема фиксится в бюллетене _https://technet.microsoft.com/library/security/MS16-106
Ничего не помогло,только удаление этой обновки.
ещё есть вариант в дополнении к политике point and print настроить политику «Функция указания и печати для пакетов — Разрешенные серверы» и указать там fqdn принт-сервера, после обновления политики на рабочих машинах, принтеры которые требовали обновить драйвер автоматом и без запросов на повышения прав поставят дрова.
Добавлю, в качестве fqdn можно указать шаблоном, например *.company.com
Доброго дня, стаття написана в 2016, але мені допомогла в 2021 (дякую)
Мне помог трюк с реестром! Спасибо. Принтер Canon MF 3010. Здесь нужно менять только в атрибутах реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Environments\Windows NT x86\Drivers\Version-3\Microsoft enhanced Point and Print compatibility driver\
Кликаем справа в самом вверху по имени- Attributes — устанавливаем значение на 1 (например стоит 2, значит приплюсовываем 1) У меня так было, всё получилось. Остальное не прокатило.
Делаем на компьютере, в котором нужно установить принтер, чтобы работал по сети. Самое интересное, на старых 10 работает без всех манипуляций, а уже на новой системе такой косяк.