How can I get rid of the “Do you trust this printer” message box and add my printer via GPO?
- Workstation: Windows 7 (x64) [Install target for printer]
- Server: Windows Server 2012 R2 (x64) [Active Directory, Print Server]
I have been bashing my head on the desk trying to get this printer to be installed via group policy! For some reason, I simply can NOT get this printer deployed with GPO. I have tried setting it up to deploy via Computer Configuration->Policies->Windows Settings->Deployed Printers, as well as Computer Configuration->Preferences->Control Panel Settings->Printers and User Configuration->Preferences->Control Panel Settings->Printers. I have also tried going through my Print Server Management console to add it via user and/or computer targeting. I have tried ALL KINDS of ways and nothing is working. I followed a bunch of tutorials and watched a bunch of videos just to make sure I was not missing something but it really is a simple task (in theory)... It just will not work.
In trying to debug the issue I found that if I went to \\myserver\ and double clicked on the printer it would try to install the printer and then prompt me to install the drivers with a UAC type prompt.
Я перепробовал все, что мог, чтобы это окно сообщения перестало появляться. Я покопался в нем и обнаружил, что если бы мне пришлось отредактировать объект групповой политики под названием Ограничения на указание и печать , расположенный в Конфигурация компьютера-> Политики-> Административные шаблоны-> Принтеры , и было бы как на Конфигурация пользователя-> Политики-> Административные шаблоны-> Панель управления-> Принтеры , вы можете попробовать установить для политики значение Отключено или Включено и выберите Не показать предупреждение или запрос на повышение прав для двух запросов безопасности, перечисленных в нижней части настроек политики.
Что ж, это тоже провал ...
Я обнаружил, что если я попытаюсь вручную установить принтер, перейдя в unc и введя свои учетные данные администратора, он загрузит драйверы с сервера и установит принтер (как и ожидалось). Если пользователь попытался удалить принтер и каким-то образом ему это удалось, как только он выйдет из системы и снова войдет в нее, объект групповой политики сделает то, что я хочу, и снова добавит принтер. Но мне потребовалось добавить его вручную в первый раз на КАЖДОМ ПК.
После тестирования и удаления принтера из GPO, затем выхода из системы и повторного включения. Я мог запустить команду printui / s / t2 , чтобы вызвать графический интерфейс, который позволил бы мне легко удалить установленные драйверы и вернуть компьютер в исходное состояние (запрашивая учетные данные администратора). Еще я узнал, что принтеры хранились в реестре, расположенном по адресу HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Print \ Connections . Когда я пытался удалить принтер, и он сказал мне, что я не могу, я просто зашел в этот раздел реестра и удалил ключ GUID принтера, который пытался удалить. Затем просто перезапустил службу диспетчера очереди печати, и она исчезла. Это не помогло мне добраться туда, где я хотел, но помогло удалить принтер во время отладки проблемы.
Я где-то читал, что, возможно, причина в каком-то обновлении безопасности Windows, которое что-то изменило. Он был выпущен из-за статьи, в которой показывалось, как можно запустить всю сеть, если у вас есть возможность запустить один принтер. Что-то о том, когда пользователи подключались к принтеру и загружали драйверы, он устанавливал внедренное программное обеспечение и запускал на машине и т. Д.
Моя главная цель - иметь возможность развернуть этот принтер для группы пользователей в этом подразделении с GPO, который я использую. Но все, что я пробую, требует, чтобы для этого был авторизован администратор (по крайней мере, в первый раз). Кто-нибудь знает, почему мой принтер не добавляется автоматически через GPO, а также как я могу получить эту чертову фразу «Вы доверяете этому принтеру?» сообщение, чтобы уйти?
The "fix" is to download trusted, package-aware print drivers from the printer manufacturer; however, since not all manufacturers will produce these drivers, there is a work around that I found here: Cannon Forum - Package-Aware Print Drivers (Note: This does not work for unsigned drivers, but there are plenty of tutorials out there for self-signing a print driver.)
Here are the steps to get around the issue:
- Install the required drivers on the print server
- Note any drivers that have "false" listed under the "Packaged" column. All of these will have to be modified to deploy via Group Policy.
- Edit the registry on your print server and go to the following locations:
- For 64-bit drivers: HKLM\System\CurrentControlSet\Control\Print\Enviroments\Windowsx64\Drivers\Version-X\{Driver Name}
- For 32-bit drivers: HKLM\System\CurrentControlSet\Control\Print\Enviroments\Windows NT x86\Drivers\Version-X\{Driver Name}
- Where "X" is the print driver "Type", usually either "3" or "4"
- Edit the key named "PrinterDriverAttributes" by adding 1 to whatever value is currently set. (Example: if the current value is "6", change it to "7".) This will make the print server believe that these drivers are packaged.
- Do this for every driver that is not listed as a "Packaged" driver.
- Restart the print server.
- Everything should now deploy through Group Policy (provided you have all the usual GPO settings configured correctly).
I am in the process of deploying this fix myself; however, since it requires a restart of the print server I cannot test it until this evening since our print server also runs a few networked applications.
An alternate solution to the registry edit is to edit the printer driver INF file and add the following:
For 32-bit drivers:
[PrinterPackageInstallation.x86]
PackageAware=TRUE
For 64-bit driver
[PrinterPackageInstallation.amd64]
PackageAware=TRUE
If you decide to edit the INF file, it'll be easier to remove the driver from the print server, edit the INF file from a clean download, and then install the edited driver.
Aside from this, double check the Group Policy settings for Point and Print Restrictions and Package Point and print - Approved Servers.
Background Info
Microsoft Security Bulletin MS16-087 detailed a security issue where a rogue print server could inject malicious code through a "man in the middle" style attack. Security update KB3170455 was issued on July 12, 2016 to fix it, which then messed with the distribution of print drivers from the print server.
Спасибо за взлом реестра, чтобы драйвер появился в пакете. Одно это не может помочь. Убедитесь, что вы включили Пакет политик компьютера и параметры печати для соответствующего сервера печати.
- Выполните взлом реестра на сервере печати, если ваш драйвер отображается как «false» в столбце упакованных пакетов диспетчера печати на сервере.
- Конфигурация компьютера -> шаблоны администратора -> ограничения на указание и печать включены.
Надежда это помогает.