Запретить установку принтера групповой политикой
Обновлено: 04.07.2024
Имеется домен, я являюсь администратором поддоменной группы. Как сделать так, чтобы и при открытии общего доступа к принтеру, и уже на текущих расшаренных принтерах не могли печатать пользователи из других поддоменых групп. Отдельно на каждом принтере настраивать доступ долго, принтеров около 100 шт. Можно ли как то создать политику, которая оставит доступ к моим общим принтерам только для пользователей моей поддоменой группы?
Каждый принтер - отдельная группа доступа. Добавляем в группу только тех пользователей, которым разрешено на него печатать. Можно в группу принтера добавлять группу отдела, если весь отдел сидит вокруг принтера.
у меня сейчас около 100 принтеров расшаренных в АД, на каждом принтере настраивать доступ только для своей поддоменной группы долго, если можно как то спустить на пользователей или пк политику, которая оставит доступ только для определенных юзеров, хотелось бы сделать так, чтобы и на будущие расшаренные принтеры сразу давался нужный доступ
centurio_mark, расшареные принтеры - имеется ввиду usb-принтеры, которым предоставлен сетевой доступ средствами ОС?
Дмитрий, да, галочка общий доступ, и ввести в Active Directory
centurio_mark, не дольше чем ждать ответ здесь и потом его реализовывать.
Создать security группы и права на принтеры можно Powershell скриптом разлить.
Добавить в группы пользователей скриптом или если хотите динамическое добавление - политиками.
centurio_mark, сочувствую. От личных принтеров нужно избавляться в пользу нормальных сетевых принтеров и заводить их на print server, где группами уже рулить. Но это уже из пьесы "Как должно быть" Можно написать политику подключения принтеров пользователям где перечислять все доступные ему принтеры (но думаю врядли всем можно печатать на большую часть устройств), но это не запретит пользователю подключить вручную себе притер соседа.
Дмитрий, мне главное, чтобы юзеры из других поддоменых групп, недоступные мне, не могли печатать на моих принтерах, а то звонят и говорят, что на принтере печатают люди из другой организации
Alexey Dmitriev, группа уже есть, а вот как такой скрипт организовать моих знаний не хватит
Нужна абстракция на уровне групп доступа. Например в структурном подразделении сотрудники входят в одну группу, а несколько групп таких подразделений входят в другую группу - которая имеет право печати на конкретном принтере.
Разворачивая доступ к принтерам - вам нужно заранее для него создавать только одну группу доступа и только ее добавить в права на печать. Дальше только жонглируете работниками и группами, к самому принтеру и правам больше не лезете.
Боюсь, что первый раз надо будет настроить все 100 принтеров вручную.
Но вообще такого рода проблемы - обычно преодолеваются переходом на МФУ более дорого класса. Ставится 2-3 штуки на этаже и все ходят к ним. Сначала правда стонут "ох как тяжело поднимать зад со стула, домкраты-то не выдали", но потом привыкают. Такой подход обычно выгоднее, т.к. дорогие большие МФУ дают экономию в цене отпечатка.
Рассмотрим возможности автоматического подключения принтеров пользователям домена Active Directory с помощью групповых политик (GPO). Довольно удобно, когда при первом входе в систему у пользователя сразу устанавливаются и появляются в принтерах доступные ему устройства.
Рассмотрим следующую конфигурацию: в организации имеется 3 отдела, каждый отдел должен печатать документы на собственном цветном сетевом принтере. Ваша задача, как администратора, настроить автоматическое подключение сетевых принтеров пользователям в зависимости от отдела.
Данная инструкция предполагает использованием Group Policy Preferences – расширения групповых политик, которые появились в Windows Server 2008. Соответственно уровень домена должен быть не менее Windows Server 2008, а клиенты не ниже Win XP SP3.Подключение принтеров пользователям через GPO
Создайте три новые группы безопасности в AD (prn_HPColorSales, prn_HPColorIT, prn_HPColorManagers) и добавьте в нее пользователей отделов (наполнение групп пользователей можно автоматизировать по статье “Динамические группы в AD”). Вы можете создать группы в консоли ADUC, или с помощью командлета New-ADGroup:
New-ADGroup "prnHPColorSales" -path 'OU=Groups,OU=Moscow,DC=corp,dc=winitpro,DC=ru' -GroupScope Global –PassThru
Если у вас в домене используется небольшое количество сетевых принтеров (до 30-50), вы можете все их настраивать с помощью одной GPO. Если у вас сложная структура домена, есть сайты AD, используется делегирование прав администраторам филиалов, лучше создать несколько политик подключения принтеров, например по одной политике на сайт или OU. Если вы хотите подключать принтер по IP адресу (не через принт-сервера, а напрямую), выберите пункт TCP/IP Printer. Обратите внимание, что данное ограничение не запрещает любому пользователю домена подключить это принтер вручную в проводнике Windows. Чтобы ограничить доступ к принтеру, нужно изменить права доступа к нему на принт-сервере, ограничив возможность печати определенными группам.При использовании такой групповой политики, новые принтера будут устанавливаться у пользователей, только если на их компьютере уже установлен соответствующий принтеру драйвер печати. Дело в том, что у обычных пользователей нет прав на установку драйверов.
Настройка политики подключения принтеров Point and Print Restrictions
Для корректного подключения принтеров у любого пользователя, вам придется настроить политику Point and Print Restrictions и настроить адреса принт-серверов серверов, с которых пользователей разрешено устанавливать принтеры.
Напомню, что с 2016 года Microsoft с целью безопасности по-умолчанию запретила установку неподписанных и неупакованных драйверов (non-package-aware v3 printer drivers). Смотри статью Проблема подключения сетевых принтеров.Если вы подключаете принтеры через пользовательский раздел политики, перейдите в раздел GPO User Configuration -> Policy -> Administrative Templates -> Control Panel -> Printers -> Printer -> Point and Print Restriction. Включите политику (Enabled) и настройте ее следующим образом:
- Users can only point and print to these servers –укажите список принт-серверов, с которых разрешено устанавливать драйвера (указываются FQDN имена, разделитель точка с запятой);
- When installing driver for new connection -> Do not show warning or elevation prompt
- When installing driver for existing connection -> Do not show warning or elevation prompt.
Аналогичным образом нужно включить политику Package Point and Print – Approved server в разделе User Configuration -> Policies -> Administrative Templates -> Printers и задать в ней список доверенных принт-серверов.
Теперь после перезагрузки компьютера при входе пользователя у него будет автоматически подключаться назначенный ему сетевой принтер.
Раньше для подключения принтеров пользователей мне приходилось использовать VBS /PowerShell скрипты установки и подключения принтеров, которые запускались как Startup скрипты GPO и возможностей фильтрации групповых политик. Однако использовать GPP политики для настройки принтеров на мой взгляд намного проще. Предыдущая статья Следующая статья
Можно распространять принтеры на пользователей и таки образом. Все зависит от инфраструктуры.
Но, на мой взгляд метод с GPP более универсальный и гибкий. Кроме того, не нужно ставить роль принт-сервера, а также можно подключить сетевые принтеры (не опубликованные на принт-сервере) или принтеры с компьютеров других пользователей.
Админ, почини SMTP)))
webmaster@example.com
Blacklisted by the SPF Test (sender forged per policy of "example.com", SPF result: "fail").
37.252.2.22
Если указать ip адрес сетевого принтера, то данная схема не работает. Как быть, если нет принт-сервера, а у принтера только ip?
Сделать принтсервер или расшарить на любом другом компьютере.
См. ремарку. Если вы хотите подключать принтер по IP адресу (не через принт-сервера, а напрямую), выберите пункт TCP/IP Printer.
В поле Printer Path попробуйте указать путь UNC путь к принтеру (в виде \\pcname\hp2000 ), с которого нужно получить драйвер для принтера (это может быть любой другой компьютер с настроенным и расшаренным этим или другим принтером той же модели).
Всё хорошо, только последние два пункта надо настраивать не в User Configuration, а в Сomputer Configuration. Второй скриншот снизу именно из того раздела.
Не корректно выразился. Имел ввиду, что для подключения принтеров через GPO нужно настраивать политику как в разделе User Configuration, так и в разделе Сomputer Configuration. Вот.
Насколько я помню там указывается UNC путь к принтеру, с которого нужно получить драйвера. Т.е. нужно руками подключить и расшиарить этот принтер на одном компьютере.
Добрый день!
Спасибо за статью. Возникло 3 вопроса.
1. Зачем настраивать политики подключения принтеров Point and Print Restrictions. Это же нужно для более старых версий Windows?
2. При перемещении пользователя в другое подразделение принтер не удаляется. А новый появляется.
3. С недавних пор возникла проблема долгой установки принтера на клиентском компьютере. Раньше это происходило после команды gpupdate /force.
Решилось сменой Действия с Замена на Обновить для проблемного принтера. Да, первый логон после создания политики будет немного дольше, но последующие будут залетать махом.
Вариант Replace в GPP используется крайне редко, когда вам нужно что-то сначала гарантированно удалить, а потом установить. Поэтому по умолчанию стоит режиме Update.
А что делать, если принтер все же не подключается? Все настроено в соответствии с вашей статьей, но в логах сыпется ошибка
Элемент предпочтения пользователь "printer_name" в объекте групповой политики "Подключение принтеров " не применен по причине ошибки с кодом '0x80070bcb Указанный драйвер принтера не найден в системе. Необходимо скачать драйвер.' Эта ошибка была отключена.
При этом вручную принтер подключается, правда выдается запрос о доверии к этому принтеру и этому серверу печати. После ручного добавления принтера политика будет работать нормально, пока не удалишь драйвер принтера с клиента
KB5005652 — управление поведением драйвера по умолчанию (CVE-2021–34481)
Сводка
Windows обновлений, выпущенных 10 августа 2021 г. и более поздних версий, для установки драйверов по умолчанию требуются права администратора. Мы внося это изменение в поведение по умолчанию, чтобы снизить риск на всех Windows, включая устройства, которые не используют функции Point и Print или Print. Дополнительные сведения см. в пунктах Изменение поведения по умолчанию и CVE-2021–34481.
По умолчанию пользователи без прав администратора больше не могут делать следующее с помощью точки и печати:
Установка новых принтеров с помощью драйверов на удаленном компьютере или сервере
Мы не распространяем принтеры политиками, но в политики настроены так чтобы пользователь без прав админа мог подключить принтер с любого сервера. Может вам поможет:
Computer Configuration / Administrative Templates
Printers / Point and Print Restrictions = Disabled
System / Device Installation / Allow remote access to the Plug and Play interface = Enabled
System / Driver Installation / Allow non-administrators to install drivers for these device setup classes = Enabled
Allow Users to install device drivers for these classes:
User Configuration / Administrative Templates / Control Panel / Printers
Browse the network to find printers = Enabled
Point and Print Restrictions = Disabled
Prevent addition of printers = Disabled
Prevent deletion of printers = Disabled
Все тоже самое. И драйвера новые ,но все равно 0x80070bcb. HP, Brother нормально прокинулись, а Ricoh просят обновить драйвер. И хоть ты тресни.
И кстати:
When installing driver for new connection -> Do not show warning or elevation prompt
When installing driver for existing connection -> Do not show warning or elevation prompt.
Вот этих пунктов нет в User configurations.
Включал выключал этот
Добрый день!
А в для этого примера, при создании GPO AutoConnect, в фильтре безопасности тогда что должно быть для этой политики прописано, если группы задаются в Нацеливании?
Спасибо!
Не проще ли цеплять принтер к ПК, а не терминале печать будет работать через EasyPrint на локальном принтере.
Добрый день, подскажите а если у меня нет принтсервера то как указать unc путь и можно как-то указать ему путь на файловый сервер где драйвера лежат или все таки принт сервер надо разворачивать
Настроил по мануалу, все заработало, принтер установился автоматически.
На Вашем сайте очень качественные инструкции, уже не первый раз выручают!
Спасибо большое за Ваш труд!
ставил однажды так принтеры. столкнулся с одной очень неприятной штукой, после отключения пользователя от политики, ему продолжает устанавливается принтер. Где-то это в профиле прописывается или еще где-то? пользователю уже не нужен этот принтер, а он продолжает ставится.
Политика безопасности для принтеров
И так что мы с вами имеем:
но еще не касались аспектов безопасности, что не есть хорошо, так как это очень важный критерий. Представим себе ситуацию, что у вас на предприятии есть цветной принтер с весьма дорогой заправкой. Предположим, что у человека есть права на компьютере и он при желании зайдя по UNC (\\) пути на сервер печати, сможет поставить себе данный принтер и, например, в незаметное для админа время напечатать свои фотографии, так сказать сэкономить. Через какое-то время вы обнаружите, что картриджи пусты, но вас будут уверять, что те чей это принтер на нем не печатали, и начнется разбирательство, кто печатал и израсходовал, в итоге виноватым будите все равно вы, так как не можете отследить кто это сделал и не сделали ничего, чтобы избежать данной ситуации.
Или еще пример у меня на работе есть цветной принтер и его ответственные сотрудники используют для распечатывания на фотобумаге сертификатов о прохождении семинаров по гос закупкам, были случаи в моей практике, что менеджер отправлял на печать свои договора на цветной принтер, так как он ближе и бывали случаи, что в этот момент там загрузили фотобумагу 🙂 ору было вагон, чтобы такого не произошло у ас должна быть выработана политика безопасности принтеров.
И так, что мы с вами можем сделать, раз у нас есть с вами Active Directory, то мы воспользуемся ее преимуществом, а именно членством в группах (более подробно про основы AD читайте по ссылке)
Как я и говорил, зайдя по UNC пути на сервер печати мы видим список принтеров, при наличии прав мы например можем поставить принтер Главный вход ресепшен. Давайте запретив печатание на нем для всех кроме определенной группы.
Зайдите в оснастку Active Directory пользователи и компьютеры, выберите нужное вам место, где вы создаете группы безопасности и создайте новую.
Выбираем группу безопасности Глобальную и задаем ей нужное вам имя, в мое политике безопасности принтеров название по стандарту идет с действия, в моем случае разрешить и далее, что именно. Занесите в данную группу всех сотрудников кому вы будите разрешать печать.
Все группа создана, чтобы повысить Безопасность принтеров, идем дальше. Идем на сервер печати и нажимаем WIN+R, в окне выполнить введите printmanagement.msc, чтобы открыть оснастку Управление печатью.
Раскрываем пункт принтеры и находим нужный, щелкаем по нему правым кликом и выбираем его свойства.
Переходим на вкладку Безопасность, выбираем в списке, он еще кстати называется ACL (Accsess Control List) выбираем группу Все, и снизу снимаем для нее галку Печать.
Далее нажимаем кнопку добавить и добавляем из AD нашу ранее созданную группу, тем кому мы разрешаем печать на данном принтере.
И ставим для нее галку Печать в поле разрешить.
Все первый этап безопасности принтеров в Active Directory выполнен, и мы ограничили круг лиц, кто может им пользоваться, теперь даже если принтер стоит у человека, и при его отсутствии в нужной группе, он не даст ему печатать. Еще можете пойти дальше и, например, задать в свойствах на вкладке Дополнительно время работы принтера.
Безопасность принтеров так же еще производится в ограничении доступа к веб интерфейсу. Да любой принтер имеет веб мордочку, попасть на нее можно открыв браузер и ввести либо DNS имя или IP адрес, заданный ему. Тут нужно ограничить административный раздел, для примера я покажу для принтера HP. Тут переходим в раздел система.
и меняем пароль по умолчанию для вашего печатающего устройства, после этого вы ограничили доступ к веб интерфейсу.
Как видите, организовать политику безопасности для печатающих устройств совсем не сложно, самое основное, чтобы просто знать где и как могут использоваться некие лазейки, но все приходит с опытом и практикой. В следующей статье я расскажу, как можно задавать нужные настройки, такие как куда сканировать или другие настройки, через групповую политику.
Отключение запрета установки драйвера устройств в редакторе локальной групповой политики
Этот способ подойдет в том случае, если на вашем компьютере установлена Windows 10, 8.1 или Windows 7 Профессиональная, Корпоративная или Максимальная (для домашней редакции используйте следующий метод).
- Нажмите клавиши Win+R на клавиатуре, введите gpedit.msc и нажмите Enter.
- В открывшемся редакторе локальной групповой политики перейдите к разделу Конфигурация компьютера — Административные шаблоны — Система — Установка устройства — Ограничения на установку устройств.
- В правой части редактора убедитесь, что для всех параметров включено «Не задана». Если это не так, дважды кликните по параметру и измените значение на «Не задано».
После этого можно закрыть редактор локальной групповой политики и снова запустить установку — ошибка при установке драйверов больше не должна появиться.
Отключение системной политики, запрещающей установку устройства в редакторе реестра
Если на вашем компьютере установлена домашняя редакция Windows или вам проще выполнить действия в редакторе реестра, чем в редакторе локальной групповой политики, используйте следующие шаги, чтобы отключить запрет установки драйверов устройств:
- Нажмите клавиши Win+R, введите regedit и нажмите Enter.
- В редакторе реестра перейдите к разделу
- В правой части редактора реестра удалите все значения в этом разделе — именно они отвечают за запрет установки устройств.
Как правило, после выполнения описанных действий перезагрузка не требуется — изменения вступают в силу сразу же и драйвер устанавливается без ошибок.
А вдруг и это будет интересно:
08.07.2020 в 21:12
09.07.2020 в 09:59
Не могло на биос никак повлиять. То есть совпадение, проблема в чем-то другом (может, кабель монитора задели?)
02.11.2020 в 10:53
Что делать, если такой папки вообще нет в реестре?
02.11.2020 в 12:46
А в аналогичном подразделе HKEY_CURRENT_USER тоже нет?
Компьютер не корпоративный случайно?
23.04.2021 в 21:59
Нету такой папки в реестре, и аналогичном подразделе HKEY_CURRENT_USER, винда корпоративная, что делать?
24.04.2021 в 13:14
В политиках тоже ничего подобного?
А компьютер не в домене случайно?
24.04.2021 в 14:52
25.04.2021 в 09:44
04.05.2021 в 05:58
У меня эта проблема только при установке дров на адаптер блютуз. Я пытался всеми способами, разных сайтов ничего не помогает.
23.08.2021 в 13:56
Спасибо большое, вам, за понятный и доступный метод! А то я мучался три месяца и не знал что делать! Всё получилось и флешки заработали на компе! Спасибо.
Читайте также: