Het automatisch koppelen van gedeelde printers aan gebruikers in een domein kan best lastig zijn. Vooral als je specifieke groepen of afdelingen wilt bereiken en ervoor wilt zorgen dat ze alleen de juiste printers krijgen. Bovendien heeft Windows het de laatste tijd ingewikkelder gemaakt, met name door de beveiligingswijzigingen rondom driverinstallatie (denk aan CVE-2021-34527, oftewel PrintNightmare).Het doel is om printers automatisch te laten verschijnen wanneer gebruikers inloggen, zonder dat beheerdersrechten nodig zijn of dat ze de printers handmatig hoeven in te stellen. Deze handleiding behandelt twee belangrijke aspecten: het soepel implementeren van printers via Groepsbeleid en het toestaan dat niet-beheerders de benodigde drivers installeren zonder beveiligingswaarschuwingen of fouten.
Hoe u geautomatiseerde printerimplementatie kunt repareren of verbeteren met groepsbeleid
Gedeelde printers beschikbaar stellen aan domein gebruikers via GPO
Dit is eigenlijk de kern van de zaak. Je maakt beveiligingsgroepen aan in Active Directory voor elke afdeling, zoals SharedPrinter_Sales, SharedPrinter_IT, enzovoort. Vervolgens voeg je je gebruikers toe aan die groepen. Je kunt dit handmatig doen in Active Directory Gebruikers en Computers ( dsa.msc) of automatisch groepen aanmaken met PowerShell, bijvoorbeeld:
New-ADGroup "SharedPrinter_Sales" -path 'OU=Groups, OU=Paris, DC=woshub, DC=com' -GroupScope Global –PassThruZodra uw groepen gereed zijn, opent u de Group Policy Management Console ( GPMC.msc) en maakt u een nieuw beleid aan met de naam print_AutoConnect. Koppel dit beleid aan de doel-OU waar uw gebruikers zich bevinden. Als uw domein niet erg groot is, kan één GPO voor alle printers volstaan, maar als het complexer is met verschillende sites of OU’s, is het beter om aparte beleidsregels te maken.
Ga in het groepsbeleidsobject (GPO) naar Gebruikersconfiguratie > Voorkeuren > Instellingen Configuratiescherm > Printers. Hier kunt u een nieuwe gedeelde printer toevoegen via Nieuw > Gedeelde printer. Als u verbinding maakt via IP, selecteer dan TCP/IP-printer.
Kies in de eigenschappen ‘Bijwerken ‘ als actie en voer bij ‘ Gedeeld pad’ het UNC-pad in, bijvoorbeeld \\srv-par-print\hpsales. Zorg ervoor dat het printerstuurprogramma vooraf op de client is geïnstalleerd of maak een stuurprogrammapakket aan dat met het beleid wordt uitgerold. Anders wordt de printer niet geïnstalleerd (Windows kan tegenwoordig kieskeurig zijn wat betreft de ondertekening van stuurprogramma’s).
Schakel onder het tabblad Algemeen de optie ‘Uitvoeren in de beveiligingscontext van de aangemelde gebruiker’ in. Als u dit alleen op een specifieke groep wilt toepassen (zoals SharedPrinter_Sales ), gaat u naar ‘Doelstelling op itemniveau’, klikt u op ‘Doelstelling’ en voegt u een nieuw item ‘Beveiligingsgroep’ toe met de naam van uw groep. Op deze manier kunt u printers eenvoudig beperken. Houd er wel rekening mee dat dit niet voorkomt dat gebruikers handmatig printers aansluiten; daarvoor moet u de beveiligingsmachtigingen van de printer op de printserver zelf aanpassen.
Nadat alles is ingesteld, controleer je de logboeken. Wanneer dit groepsbeleidsobject (GPO) wordt geactiveerd, probeert het printers aan te sluiten. Als er geen stuurprogramma op de client aanwezig is, krijg je gebeurtenis-ID 4096 in het gebeurtenislogboek (toepassing).Soms blokkeert Windows de installatie van stuurprogramma’s voor niet-beheerders, zelfs als je de beperkingen voor Point and Print hebt ingesteld, vooral bij nieuwere Windows-versies. Windows vereist natuurlijk dat je beheerder bent voor de installatie van stuurprogramma’s, tenzij je een alternatieve oplossing gebruikt.
Niet-beheerders kunnen nu printerstuurprogramma’s installeren (omdat Windows het moeilijker maakte).
Sinds 2021 heeft Windows de installatie van stuurprogramma’s in het geheim aangescherpt, verwijzend naar CVE-2021-34527, ook wel bekend als PrintNightmare. Gewone gebruikers kunnen nu niet zomaar stuurprogramma’s van een printserver downloaden en installeren (tenzij ze beheerdersrechten hebben).Tenzij je natuurlijk bepaalde beleidsregels overschrijft. Hieronder lees je wat je kunt doen om niet-beheerders toe te staan stuurprogramma’s te installeren, maar wees gewaarschuwd: dit *kan* je printerserver kwetsbaar maken voor beveiligingslekken als je niet voorzichtig bent.
- Ga naar Computerconfiguratie > Windows-instellingen > Beveiligingsinstellingen > Lokaal beleid > Beveiligingsopties en schakel de optie ‘Apparaten: Voorkom dat gebruikers printerstuurprogramma’s installeren’ uit.
- Ga naar Computerconfiguratie > Beleid > Beheersjablonen > Systeem > Stuurprogramma-installatie. Voeg de GUID’s voor printerapparaatklassen toe aan de instelling ‘Niet-beheerders toestaan stuurprogramma’s te installeren voor deze apparaatklassen’.
{4658ee7e-f050-11d1-b6bd-00c04fa372a7}En
{4d36e979-e325-11ce-bfc1-08002be10318}Op deze manier kunnen gebruikers specifiek printerstuurprogramma’s installeren.
- Ga naar Beheersjablonen > Printers en schakel de optie ‘Point and Print Restrictions ‘ in. Geef uw vertrouwde printservers op (bijvoorbeeld de URL’s van uw printservers) en schakel waarschuwingen of prompts voor verhoogde bevoegdheden uit door ‘ Don’t show warning or elevation prompt ‘ te selecteren.
- Voeg uw printservers toe onder Pakketpunt en Afdrukken — Goedgekeurde servers.
- Dit laatste is cruciaal: u moet installatie van stuurprogramma’s zonder beheerdersrechten toestaan door de registerwaarde RestrictDriverInstallationToAdministrators op 0 te zetten. Voer op een standalone-systeem het volgende commando uit:
reg add "HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint" /v RestrictDriverInstallationToAdministrators /t REG_DWORD /d 0 /fOf, nog beter, gebruik Groepsbeleidvoorkeuren om deze registersleutel op afstand in te stellen op alle relevante machines, zodat handmatige registeraanpassingen niet nodig zijn.
Deze aanpassing stelt niet-beheerders in staat om gedeelde printers en stuurprogramma’s te installeren vanaf vertrouwde servers, zonder dat Windows telkens om verhoogde bevoegdheden vraagt. Wees echter gewaarschuwd: dit verzwakt de beveiliging, waardoor u kwetsbaarder wordt voor beveiligingslekken als u niet zorgvuldig bent met welke printservers u vertrouwt.
Het grappige is dat als je deze registerinstelling niet terugzet naar 1, je systeem kwetsbaar wordt voor PrintNightmare. Idealiter automatiseer je het terugzetten dus nadat de printerinstallatie is voltooid.
Al met al maakt het gebruik van GPP je leven een stuk gemakkelijker dan scripts, vooral als je met meerdere printers en groepen werkt. Houd wel de driverondertekening, het beveiligingsbeleid en de logboeken in de gaten, anders geeft Windows foutmeldingen of weigert het verbinding te maken met printers. Het is een kwestie van de juiste balans vinden, maar als het eenmaal goed is ingesteld, werkt het vrij soepel voor printers op afstand of gedeelde printers in een domeinomgeving.