Die automatische Verbindung freigegebener Drucker für Benutzer in einer Domäne kann recht knifflig sein. Besonders dann, wenn man bestimmte Gruppen oder Abteilungen gezielt ansprechen und sicherstellen möchte, dass diese nur die benötigten Drucker erhalten. Windows hat die Sache in letzter Zeit zusätzlich verkompliziert, insbesondere durch die Sicherheitsänderungen bei der Treiberinstallation (siehe CVE-2021-34527 oder PrintNightmare).Ziel ist es, dass Drucker beim Anmelden der Benutzer automatisch angezeigt werden, ohne dass Administratorrechte oder manuelle Einrichtung erforderlich sind. Dieser Leitfaden behandelt zwei Hauptpunkte: die reibungslose Bereitstellung von Druckern über Gruppenrichtlinien und die Installation der notwendigen Treiber durch Benutzer ohne Administratorrechte, ohne dass Sicherheitswarnungen oder Fehler auftreten.
So beheben oder verbessern Sie die automatische Druckerbereitstellung mithilfe von Gruppenrichtlinien
Bereitstellung freigegebener Drucker für Domänenbenutzer über Gruppenrichtlinien
Dieser Teil ist sozusagen das A und O. Sie richten in Active Directory für jede Abteilung Sicherheitsgruppen ein, z. B.SharedPrinter_Sales, SharedPrinter_IT usw. Anschließend fügen Sie Ihre Benutzer diesen Gruppen hinzu. Dies können Sie manuell in Active Directory-Benutzer und -Computer ( dsa.msc) tun oder Gruppen automatisch mit PowerShell erstellen, z. B.:
New-ADGroup "SharedPrinter_Sales" -path 'OU=Groups, OU=Paris, DC=woshub, DC=com' -GroupScope Global –PassThruSobald Ihre Gruppen eingerichtet sind, öffnen Sie die Gruppenrichtlinienverwaltungskonsole ( GPMC.msc) und erstellen Sie eine neue Richtlinie namens „print_AutoConnect“. Verknüpfen Sie diese mit der Ziel-OU, in der sich Ihre Benutzer befinden. Bei kleineren Domänen reicht eine Gruppenrichtlinie für alle Drucker aus. Bei komplexeren Domänen mit verschiedenen Standorten oder OUs empfiehlt es sich jedoch, separate Richtlinien zu erstellen.
Navigieren Sie in der Gruppenrichtlinie zu Benutzerkonfiguration > Einstellungen > Systemsteuerungseinstellungen > Drucker. Hier fügen Sie einen neuen freigegebenen Drucker über Neu > Freigegebener Drucker hinzu. Bei einer IP-Verbindung wählen Sie TCP/IP-Drucker.
Wählen Sie in den Eigenschaften als Aktion „Aktualisieren “ und geben Sie unter „ Freigegebener Pfad“ den UNC-Pfad an \\srv-par-print\hpsales. Stellen Sie sicher, dass der Druckertreiber zuvor auf dem Client installiert wurde, oder erstellen Sie ein Treiberpaket, das mit der Richtlinie verteilt wird. Andernfalls kann der Drucker nicht installiert werden (Windows ist jetzt sehr genau, was die Treibersignatur angeht).
Aktivieren Sie unter dem Reiter „Allgemein“ die Option „Im Sicherheitskontext des angemeldeten Benutzers ausführen“. Um dies nur für eine bestimmte Gruppe (z. B.„SharedPrinter_Sales “) zu tun, gehen Sie zu „Elementbezogene Zielgruppenansprache“, klicken Sie auf „Zielgruppenansprache “ und fügen Sie ein neues Sicherheitsgruppenelement mit dem Namen Ihrer Gruppe hinzu. So lassen sich Drucker einfach einschränken. Beachten Sie jedoch, dass Benutzer Drucker dadurch nicht manuell verbinden können. Dazu müssen Sie die Druckerberechtigungen auf dem Druckserver selbst anpassen.
Nach der Einrichtung sollten Sie die Protokolle überprüfen. Wenn diese Gruppenrichtlinie ausgeführt wird, versucht sie, Drucker zu verbinden. Falls auf dem Client kein Treiber vorhanden ist, wird im Ereignisprotokoll (Anwendung) die Ereignis-ID 4096 angezeigt. Windows blockiert manchmal die Treiberinstallation für Benutzer ohne Administratorrechte, selbst wenn Sie die Einschränkungen für Point-and-Print festgelegt haben, insbesondere bei neueren Windows-Versionen. Windows verlangt standardmäßig Administratorrechte für die Treiberinstallation, sofern Sie keine alternative Lösung anwenden.
Ermöglichung der Installation von Druckertreibern durch Benutzer ohne Administratorrechte (weil Windows es schwieriger gemacht hat)
Seit 2021 hat Windows die Treiberinstallationen im Hintergrund verschärft und dabei auf CVE-2021-34527, auch bekannt als PrintNightmare, verwiesen. Normale Benutzer können nun nicht mehr einfach Treiber von einem Druckserver herunterladen und installieren (es sei denn, sie sind Administratoren).Es sei denn, Sie umgehen bestimmte Richtlinien. Hier erfahren Sie, wie Sie Benutzern ohne Administratorrechte die Treiberinstallation ermöglichen können. Seien Sie jedoch gewarnt: Dies *könnte* Ihren Druckserver Sicherheitslücken aussetzen, wenn Sie nicht vorsichtig vorgehen.
- Gehen Sie zu Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen und deaktivieren Sie die Option „Geräte: Benutzer daran hindern, Druckertreiber zu installieren“.
- Navigieren Sie zu Computerkonfiguration > Richtlinien > Administrative Vorlagen > System > Treiberinstallation. Fügen Sie die GUIDs für Druckergeräteklassen zu der Option „ Nicht-Administratoren dürfen Treiber für diese Geräteklassen installieren“ hinzu.
{4658ee7e-f050-11d1-b6bd-00c04fa372a7}Und
{4d36e979-e325-11ce-bfc1-08002be10318}Auf diese Weise können Benutzer gezielt *Drucker*treiber installieren.
- Unter „Administrative Vorlagen“ > „Drucker“ aktivieren Sie die Option „Point-and-Print-Einschränkungen“. Geben Sie Ihre vertrauenswürdigen Druckserver (z. B.Ihre Druckserver-URLs) an und deaktivieren Sie Warnungen oder Aufforderungen zur Rechteerweiterung, indem Sie „ Warnung oder Aufforderung zur Rechteerweiterung nicht anzeigen“ auswählen.
- Fügen Sie Ihre Druckserver unter Package Point and Print — Zugelassene Server hinzu.
- Dieser letzte Schritt ist entscheidend – Sie müssen die Installation von Treibern ohne Administratorrechte zulassen, indem Sie den Registrierungsschlüssel „RestrictDriverInstallationToAdministrators“ auf 0 ändern. Führen Sie auf einem eigenständigen System folgenden Befehl aus:
reg add "HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint" /v RestrictDriverInstallationToAdministrators /t REG_DWORD /d 0 /fOder, noch besser, verwenden Sie Gruppenrichtlinienpräferenzen, um diesen Registrierungsschlüssel remote auf allen relevanten Rechnern festzulegen und so manuelle Änderungen an der Registrierung zu vermeiden.
Diese Optimierung ermöglicht es Benutzern ohne Administratorrechte, freigegebene Drucker und Treiber von vertrauenswürdigen Servern zu installieren, ohne dass Windows jedes Mal um erhöhte Berechtigungen fragt. Allerdings ist Vorsicht geboten: Dies schwächt die Sicherheit und macht Sie anfällig für Sicherheitslücken, wenn Sie nicht sorgfältig auswählen, welchen Druckservern Sie vertrauen.
Das Ironische daran: Wenn Sie diese Registrierungseinstellung anschließend nicht wieder auf 1 zurücksetzen, wird Ihr System anfällig für PrintNightmare. Daher ist es ideal, das Zurücksetzen nach Abschluss der Druckerinstallation zu automatisieren.
Zusammenfassend lässt sich sagen, dass die Verwendung von Gruppenrichtlinienpräferenzen (GPP) die Arbeit deutlich vereinfacht, insbesondere bei der Verwaltung mehrerer Drucker und Gruppen. Achten Sie jedoch auf die Treibersignatur, die Sicherheitsrichtlinien und die Protokolle – andernfalls kann Windows Fehler ausgeben oder die Verbindung zu Druckern verweigern. Es erfordert etwas Fingerspitzengefühl, aber nach der korrekten Einrichtung läuft die Verwendung von Remote- oder freigegebenen Druckern in einer Domänenumgebung reibungslos.