Как разрешить пользователям домена устанавливать принтеры
23.05.2013
itpro
Windows 7
комментариев 20
По умолчанию рядовым пользователям домена запрещено устанавливать принтера (если быть более точными, драйвера принтеров) на доменных компьютерах, а для их установки необходимо наличие у пользователя определённых прав. Это правильно с точки зрения безопасности, ведь установка некорректного или вредоносного (поддельного) драйвера устройства может скомпрометировать или ухудшить работу системы, но крайне неудобно с точки зрения ИТ – отдела. Ведь, если пользователям запрещено устанавливать драйвера принтеров на своих компьютерах, эта забота возлагается на администраторов и ИТ-отдел.
В том случае, если ИТ-администраторы предприятия все-таки решили разрешить пользователям самостоятельно устанавливать драйвера принтеров на своих компьютерах, не предоставляя им прав локальных администраторов, в этой задаче помочь им могут групповые политики Active Directory.
Итак, предполагается, что имеется разнородная сеть и нам необходимо разрешить пользователям самостоятельно подключать сетевые и локальные принтера, и устанавливать их драйвера как на ПК с Windows 7, так и с Windows XP.
Итак, создайте (или отредактируйте существующую политику) и привяжите ее к OU (контейнеру Active Directory), в котором содержатся компьютеры, на которых политикой необходимо разрешить пользователям установку драйверов принтеров (на отдельно стоящем компьютере эту же политику можно реализовать с помощью локальной политики).
Откройте ветку групповых политик Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Local Policies -> Security Options, в которой найдите параметр Devices: Prevent users from installing printer drivers (Устройства: Запретить пользователям установку драйверов принтера). Активируйте политику и отключите ее применение (значение Disabled).
Данная политика подразумевает, что при подключении сетевого принтера, система позволяет пользователю, не обладающего правами администратора, установить драйвера сетевых принтеров.
Следующий момент – нужно разрешить пользователю устанавливать локальные принтера (и их драйвера). В этом случае нас интересует политика Allow non-administrators to install drivers for these device setup classes в разделе: Computer Configuration -> Policies -> Administrative Templates -> System -> Driver Installation.
Включите данную политику, затем зададим типы устройств, которые разрешено пользователям устанавливать самостоятельно (подробнее о принципах установки драйверов в Windows 7 без прав локального администратора). Нажмите кнопку Show, и в появившемся окне добавьте две строки (идентификаторы классов, соответствующие устройствам типа принтер):
Полный список кодов GUID классов устройств в ОС Windows доступен тут:
http://msdn.microsoft.com/en-us/library/ff553426%28v=VS.85%29.aspx
Сохраните изменения в политике.
Следующий момент касается особенностей работы UAC при установке сетевого принтера в Windows Vista и Windows 7. В том случае, если UAC включен, появляется сообщение, в котором требуется указать учетные данные администратора, если же UAC отключен при попытке установить принтер пользователем– система надолго задумывается, и в конце концов выдает сообщение об ошибке: “Windows не удалось подключиться к принтеру. Отказано в доступе”.
Чтобы решить данную проблему необходимо перевести в состояние Disabled политику Point and Print Restrictions . Данная политика находится как в системном, так и пользовательском разделе групповых политик и для поддержки совместимости с предыдущими версиями операционной системы Windows, рекомендуется задавать оба этих параметра. Необходимо отключить обе политики. Находятся он в разделах: Computer Configuration -> Policies -> Administrative Templates -> Printers и User Configuration -> Policies ->Administrative Templates ->Control Panel ->Printers.
Осталось сохранить изменения и протестировать политики на клиентах (потребуется перезагрузка). После перезагрузки и применения групповых политик пользователю будет разрешено самостоятельно устанавливать локальные и подключать сетевые принтера.
Для повышения стабильности и безопасности системы рекомендуется также включить изоляцию драйверов принтеров в Windows 7.
Предыдущая статья Следующая статья
Источник
Разрешить пользователям установку принтера
По умолчанию рядовым пользователям домена запрещено устанавливать принтера (если быть более точными, драйвера принтеров) на доменных компьютерах, а для их установки необходимо наличие у пользователя определённых прав. Это правильно с точки зрения безопасности, ведь установка некорректного или вредоносного (поддельного) драйвера устройства может скомпрометировать или ухудшить работу системы, но крайне неудобно с точки зрения ИТ – отдела. Ведь, если пользователям запрещено устанавливать драйвера принтеров на своих компьютерах, эта забота возлагается на администраторов и ИТ-отдел.
В том случае, если ИТ-администраторы предприятия все-таки решили разрешить пользователям самостоятельно устанавливать драйвера принтеров на своих компьютерах, не предоставляя им прав локальных администраторов, в этой задаче помочь им могут групповые политики Active Directory.
Итак, предполагается, что имеется разнородная сеть и нам необходимо разрешить пользователям самостоятельно подключать сетевые и локальные принтера, и устанавливать их драйвера как на ПК с Windows 7, так и с Windows XP.
Итак, создайте (или отредактируйте существующую политику) и привяжите ее к OU (контейнеру Active Directory), в котором содержатся компьютеры, на которых политикой необходимо разрешить пользователям установку драйверов принтеров (на отдельно стоящем компьютере эту же политику можно реализовать с помощью локальной политики).
Откройте ветку групповых политик Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Local Policies -> Security Options, в которой найдите параметр Devices: Prevent users from installing printer drivers (Устройства: Запретить пользователям установку драйверов принтера). Активируйте политику и отключите ее применение (значение Disabled).
Как разрешить пользователям домена устанавливать принтеры-01
Данная политика подразумевает, что при подключении сетевого принтера, система позволяет пользователю, не обладающего правами администратора, установить драйвера сетевых принтеров.
Следующий момент – нужно разрешить пользователю устанавливать локальные принтера (и их драйвера). В этом случае нас интересует политика Allow non-administrators to install drivers for these device setup classes в разделе: Computer Configuration -> Policies -> Administrative Templates -> System -> Driver Installation.
Включите данную политику, затем зададим типы устройств, которые разрешено пользователям устанавливать самостоятельно (подробнее о принципах установки драйверов в Windows 7 без прав локального администратора). Нажмите кнопку Show, и в появившемся окне добавьте две строки (идентификаторы классов, соответствующие устройствам типа принтер):
Полный список кодов GUID классов устройств в ОС Windows доступен тут:
Сохраните изменения в политике.
Как разрешить пользователям домена устанавливать принтеры-02
Следующий момент касается особенностей работы UAC при установке сетевого принтера в Windows Vista и Windows 7. В том случае, если UAC включен, появляется сообщение, в котором требуется указать учетные данные администратора, если же UAC отключен при попытке установить принтер пользователем– система надолго задумывается, и в конце концов выдает сообщение об ошибке: “Windows не удалось подключиться к принтеру. Отказано в доступе”.
Чтобы решить данную проблему необходимо перевести в состояние Disabled политику Point and Print Restrictions . Данная политика находится как в системном, так и пользовательском разделе групповых политик и для поддержки совместимости с предыдущими версиями операционной системы Windows, рекомендуется задавать оба этих параметра. Необходимо отключить обе политики. Находятся он в разделах: Computer Configuration -> Policies -> Administrative Templates -> Printers и User Configuration -> Policies ->Administrative Templates ->Control Panel ->Printers.
Как разрешить пользователям домена устанавливать принтеры-03
Осталось сохранить изменения и протестировать политики на клиентах (потребуется перезагрузка). После перезагрузки и применения групповых политик пользователю будет разрешено самостоятельно устанавливать локальные и подключать сетевые принтера.
Для повышения стабильности и безопасности системы рекомендуется также включить изоляцию драйверов принтеров в Windows 7.
Источник
Разрешить пользователям установку принтера
Описание
Чтобы локальный компьютер мог выполнять печать на сетевом принтере, необходимо установить на компьютере драйвер этого принтера. Данный параметр безопасности определяет, кому при добавлении сетевого принтера разрешается устанавливать драйвер принтера. Если параметр включен, то устанавливать драйвер при добавлении сетевого принтера разрешается только группе «Администраторы и опытные пользователи». Если параметр отключен, то устанавливать драйвер при добавлении сетевого принтера может любой пользователь. Этот параметр позволяет запретить пользователям, не имеющим достаточных полномочий, загружать и устанавливать драйвер принтера, взятый из ненадежного источника.
Примечания
Если администратор установил путь доверительных отношений для загрузки драйверов, данный параметр утрачивает силу. Если используются доверенные пути, подсистема печати будет пытаться загрузить драйвер именно по такому пути. В случае успешной загрузки драйвер устанавливается от имени любого пользователя. Если загрузка по доверенному пути завершается неудачно, драйвер не устанавливается и сетевой принтер не добавляется.
Если данный параметр включен, но на локальном компьютере уже имеется драйвер для сетевого принтера, пользователи все равно могут добавлять сетевой принтер.
Этот параметр не влияет на возможность добавления сетевого принтера.
Гилев Вячеслав 2004-04-02 20:40:23
енто было по "Устройства: запретить пользователям установку драйверов принтера"
далее
"Изменение параметров среды оборудования"
Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя
Описание
Определяет, каким группам безопасности разрешено изменять значения общесистемных параметров среды.
По умолчанию: «Администраторы», «Локальная система».
далее
"Загрузка и выгрузка драйверов устройств"
Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя
Описание
Определяет, какие пользователи могут динамически загружать и выгружать драйверы устройств. Эта привилегия необходима для установки драйверов устройств Plug and Play.
Источник
Как в Windows 10 настроить доступ к принтеру в локальной сети
Многие современные принтеры – это устройства с поддержкой сетевого проводного или беспроводного подключения, они не подвязываются к какому-то одному компьютеру, не зависят от его настроек и состояния активности, а подключаются напрямую к роутеру или коммутатору и являют собой самостоятельные устройства локальной сети. К которым, соответственно, в любой момент имеют доступ все сетевые пользователи и могут отправлять свои документы на печать. Но если принтер не предусматривает возможности подключения к сети, его придётся подсоединять к одному из компьютеров и настраивать на нём общий доступ. Как это сделать? И как потом с других компьютеров сети получить доступ к такому общему принтеру?
1. Общий доступ
Первым делом необходимо настроить общий доступ в целом к ресурсам компьютера по локальной сети и к принтеру в частности. Для этого он должен быть включён, настроен, на компьютере с Windows 10, к которому он подключён, должны быть установлены его драйверы. Кликаем по значку сети в системном трее «Десятки».
В первом разделе «Состояние» открывшихся системных параметров жмём значок параметров общего доступа.
В сетевом обнаружении ставим галочку активности сетевого обнаружения. Также ставим галочку автонастройки на сетевых устройствах. Ниже делаем активным общий доступ к файлам и (то, что нам нужно непосредственно) принтерам.
2. Настройка службы FDResPub
Для открытия доступа к принтерам и данным компьютера необходимо, чтобы была активна системная служба FDResPub, отвечающая за публикацию компьютерных устройств с их расшаренными ресурсами в сети. Запускаем системные службы, для этого вводим в поиск: services.msc
Ищем службу FDResPub и проверяем, чтобы её тип запуска был автоматическим.
3. Настройка в свойствах принтера
Снова возвращаемся к системным параметрам, идём в раздел «Устройства», а в нём – в подраздел «Принтеры и сканеры». Кликаем принтер, который нужно сделать общедоступным, и жмём кнопку «Управление».
Здесь нам нужны его свойства. В окошке свойств идём во вкладку «Доступ» и активируем общий доступ. Также смотрим, чтобы ниже была поставлена галочка прорисовки заданий на клиентских (т.е. сетевых) компьютерах. Применяем изменения.
4. Настройка принтера на сетевых компьютерах
Что нужно сделать каждому из пользователей сетевых компьютеров, чтобы иметь возможность печати на принтере с общим доступом? Каждый такой пользователь должен добавить принтер, т.е. сделать его отображаемым и доступным в среде Windows своего компьютера. Если это Windows 10, в ней открываем системные параметры, идём в раздел «Устройства», далее – «Принтеры и сканеры». И добавляем принтер.
Источник