• Estación de trabajo: Windows 7 (x64) [Destino de instalación para impresora]
• Servidor: Windows Server 2012 R2 (x64) [Active Directory, servidor de impresión]

¡He estado golpeando mi cabeza contra el escritorio tratando de instalar esta impresora a través de la política de grupo! Por alguna razón, simplemente NO puedo implementar esta impresora con GPO. He intentado configurarlo para implementar a través de Computer Configuration->Policies->Windows Settings->Deployed Printers, así como Computer Configuration->Preferences->Control Panel Settings->Printersy User Configuration->Preferences->Control Panel Settings->Printers. También he intentado pasar por la consola de administración de mi servidor de impresión para agregarla a través de la orientación por usuario o computadora. He intentado TODO TIPO de formas y nada funciona. Seguí un montón de tutoriales y vi un montón de videos solo para asegurarme de que no me faltaba algo, pero realmente es una tarea simple (en teoría) ... Simplemente no funcionará.

Al tratar de depurar el problema, descubrí que si iba \\myserver\y hacía doble clic en la impresora, intentaría instalar la impresora y luego me pediría que instalara los controladores con un indicador de tipo UAC.

He intentado todo lo que se me ocurre para que el cuadro de mensaje deje de aparecer. Lo busqué y descubrí que si iba a editar un GPO llamado Point and Print Restrictionsubicado en Computer Configuration->Policies->Administrative Templates->Printersy estaba como en User Configuration->Policies->Administrative Templates->Control Panel->Printers, podría intentar establecer la política en Disabledo Enabledy elegir Do not show warning or elevation promptlas dos Indicaciones de seguridad que figuran en la parte inferior de la configuración de la política.

Bueno, eso también fue un fracaso ...

Descubrí que si intentaba instalar manualmente la impresora yendo a la unc y escribiendo mis credenciales de administrador, descargaría los controladores del servidor e instalaría la impresora (como se esperaba). Si el usuario intentó eliminar la impresora y tuvo éxito de alguna manera, tan pronto como se desconectó y volvió a iniciar sesión en el GPO, haría lo que yo quisiera y volvería a agregar la impresora. Pero me requirió agregarlo manualmente la primera vez en CADA PC.

Después de probar esto y luego quitar la impresora del GPO, luego cierre la sesión y vuelva a encenderla. Podría ejecutar el comando printui /s /t2para abrir una GUI que me permitiría eliminar los controladores instalados con facilidad para volver a poner la PC en su estado original (solicitando credenciales de administrador). También aprendí algo más: las impresoras estaban almacenadas en el registro ubicado en HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Print\Connections. Cuando intentaba eliminar una impresora y me decía que no podía, simplemente fui a esa clave de registro y eliminé la clave GUID de la impresora que estaba tratando de eliminar. Luego, simplemente reinicié el servicio de cola de impresión y el boom desapareció. Esto no me ayudó a llegar a donde quería, pero fue útil para quitar la impresora durante la depuración del problema.

Leí en alguna parte que tal vez la causa es algún tipo de actualización de seguridad de Windows que cambió algo. Fue lanzado debido a un artículo que muestra cómo podría generar una red completa si pudiera generar una sola impresora. Algo sobre cuando los usuarios se conectan a la impresora y descargan los controladores que instalaría el software inyectado y se ejecutaría en la máquina, etc.

Mi objetivo principal es poder implementar esta impresora en un conjunto de usuarios en esta unidad organizativa con el GPO que estoy usando. Pero todo lo que intento requiere que un administrador inicie sesión para hacerlo (al menos la primera vez). ¿Alguien tiene alguna idea de por qué mi impresora no se agregará automáticamente a través del GPO y también cómo obtengo ese dang "Confía en esta impresora?" mensaje para irse?

La "solución" es descargar controladores de impresión confiables y compatibles con el paquete del fabricante de la impresora; sin embargo, dado que no todos los fabricantes producirán estos controladores, hay una solución que encontré aquí: Cannon Forum - Controladores de impresión compatibles con el paquete (Nota: Esto no funciona para controladores no firmados, pero hay muchos tutoriales disponibles para usted. -signar un controlador de impresión.)

Estos son los pasos para solucionar el problema:

1. Instale los controladores necesarios en el servidor de impresión
2. Tenga en cuenta los controladores que tienen "falso" en la columna "Empaquetado". Todo esto tendrá que modificarse para implementarse a través de la Política de grupo.
3. Edite el registro en su servidor de impresión y vaya a las siguientes ubicaciones:
   • Para controladores de 64 bits: HKLM \ System \ CurrentControlSet \ Control \ Print \ Enviroments \ Windowsx64 \ Drivers \ Version- X \ {Driver Name}
   • Para controladores de 32 bits: HKLM \ System \ CurrentControlSet \ Control \ Print \ Enviroments \ Windows NT x86 \ Drivers \ Version- X \ {Driver Name}
   • Donde "X" es el controlador "Tipo" del controlador de impresión, generalmente "3" o "4"
4. Edite la clave denominada "PrinterDriverAttributes" agregando 1 al valor establecido actualmente. (Ejemplo: si el valor actual es "6", cámbielo a "7".) Esto hará que el servidor de impresión crea que estos controladores están empaquetados.
5. Haga esto para cada controlador que no esté listado como un controlador "Empaquetado".
6. Reinicie el servidor de impresión.
7. Ahora todo se debe implementar a través de la directiva de grupo (siempre que tenga todas las configuraciones habituales de GPO configuradas correctamente).

Estoy en el proceso de implementar esta solución yo mismo; sin embargo, dado que requiere un reinicio del servidor de impresión, no puedo probarlo hasta esta tarde ya que nuestro servidor de impresión también ejecuta algunas aplicaciones en red.

Una solución alternativa para la edición del registro es editar el archivo INF del controlador de impresora y agregar lo siguiente:

Para controladores de 32 bits:

[PrinterPackageInstallation.x86]
PackageAware=TRUE

Para controlador de 64 bits

[PrinterPackageInstallation.amd64]
PackageAware=TRUE

Si decide editar el archivo INF, será más fácil eliminar el controlador del servidor de impresión, editar el archivo INF desde una descarga limpia y luego instalar el controlador editado.

Aparte de esto, verifique la configuración de la directiva de grupo para Point and Print Restrictionsy Package Point and print - Approved Servers.

Información de fondo

El boletín de seguridad de Microsoft MS16-087 detalló un problema de seguridad en el que un servidor de impresión no autorizado podía inyectar código malicioso a través de un ataque de estilo "hombre en el medio". La actualización de seguridad KB3170455 se emitió el 12 de julio de 2016 para solucionarlo, lo que luego alteró la distribución de controladores de impresión desde el servidor de impresión.

Gracias por el truco del registro para que un controlador aparezca como empaquetado. Eso solo no puede hacer el truco. Asegúrese de establecer el Paquete de políticas informáticas y la configuración de impresión en habilitado junto con el servidor de impresión correspondiente.

1. Hack de registro anterior en el servidor de impresión si su controlador aparece como "falso" en la columna empaquetada del Administrador de impresión en el servidor.
2. Configuración de comp. -> plantillas de administrador -> restricciones de apuntar e imprimir habilitadas.

Espero que esto ayude.