GPO 派送印表機

gpo print 部暑

super288 2023-04-24 19:08:51 ‧ 1744 瀏覽

分享至

各位前輩好

我目前在使用GPO派送印表機出現一些問題,有先參考前輩的作法
1.我是使用列印伺服器-->選定印表機並進行GPO政策指定部署
2.我指定後我遇到一直無法成功安裝印表機
3.我在想我的問題是使用者的電腦無印表機驅動,若有驅動可以成功派送,若無則不會成功
4.也有修改GPO-->指向並列印限制-->改成停用,不顯示警告
5.因為使用者若要安裝印表機,若是第一次安裝也是需要有管理者帳號才可以安裝,之後去點同款的印表機就不用帳密可以直接安裝使用
6.有什麼方法可以將印表機驅動先行到派送使用者的電腦?如下圖一

圖一

參考至
https://ithelp.ithome.com.tw/questions/10193289

https://ithelp.ithome.com.tw/questions/10197157

看更多先前的討論...收起先前的討論...

setsuna iT邦新手 2 級 ‧ 2023-04-26 15:13:24 檢舉

1. Windows 設定->本機原則/安全性選項->裝置: 防止使用者安裝印表機驅動程式已停用
2. 系統管理範本->指向並列印限制->已停用
3. 系統管理範本->限制系統管理員安裝列印驅動程式->已停用
4. 允許非系統管理員安裝這些裝置安裝類別的驅動程式->允許使用者安裝以下類別的驅動程式套件:{4658ee7e-f050-11d1-b6bd-00c04fa372a7}
5. 允許非系統管理員安裝這些裝置安裝類別的驅動程式->允許使用者安裝以下類別的驅動程式套件:{4d36e979-e325-11ce-bfc1-08002be10318}
6. 使用者設定->指向並列印限制->已停用

因為微軟的更新導致我無法部署印表機，但我設定這些原則後就可以正常派送，即使是新購空機也能正常派送。
但這些設定會降低安全性。

super288 iT邦研究生 3 級 ‧ 2023-04-30 00:07:16 檢舉

前輩感謝辛苦協助,目前測試遇到如下問題
一.
其中第3個我找不到您說的政策設定?
我是在電腦-->原則-->系統管理範本->印表機-->但我只有找到第3個設定的地方

二.我後來是在找某台電腦去修改REGEDIT如下,但這個依前輩的作法沒有去修改~但若有修改這個機碼就可以正常派送,但這個好像之前的漏洞有相關,不知是否前輩第3個地方不同造成的?
Hive: HKEY_LOCAL_MACHINE
Key path: Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint
Value name: RestrictDriverInstallationToAdministrators
Value type: REG_DWORD
Value data: 0

三.我目前若使用此種設定,我套用成功後的電腦連移除印表也是都要打管理者密碼才可以移除

我的SERVER是SERVER 2019 ,樹系網域是Windows Server 2008 R2

setsuna iT邦新手 2 級 ‧ 2023-04-30 01:40:42 檢舉

我的Server也是Windows2019，樹系網域是Windows Server 2012 R2。

1. 電腦-->原則-->系統管理範本->印表機->"限制系統管理員安裝列印驅動程式->已停用"，這設定連我家裡的Win11也看得到。如果你沒有，你可能要更新系統範本檔試試。

2. 這機碼就是將"限制系統管理員安裝列印驅動程式"設為"已停用"。但我還是建議你在群組原則裡設定。雖然群組原則極大多數是直接修改登錄值，但有些登錄值修改後並不會變更原有的原則；而你修改原則卻能看到登錄值被修改。

3. 我目前所有網域使用者在他們的自己的電腦上都只有本機power users的權限。我將他們的電腦轉移OU，他們就會自動移除舊OU印表機並自動新增新OU印表機，他們也能直接移除印表機不需要管理者介入。
我記得我之前有做過測試，即使是本機users群組也能自動新增移除印表機(這是去年的事，我印象中是如此)

這些設定跟微軟之前PrintNightmare相關，所以這些設定會降低安全性。我也試過其他的方式，雖然保有安全性但好用程度跟限制多了點。目前這作法我們的各稽核團隊跟資安團隊還沒有意見就是了(他們沒問我也沒主動提....)