¿Cómo puedo deshacerme del cuadro de mensaje "Confía en esta impresora" y agregar mi impresora a través de GPO?

8
  • Estación de trabajo: Windows 7 (x64) [Destino de instalación para impresora]
  • Servidor: Windows Server 2012 R2 (x64) [Active Directory, servidor de impresión]

¡He estado golpeando mi cabeza contra el escritorio tratando de instalar esta impresora a través de la política de grupo! Por alguna razón, simplemente NO puedo implementar esta impresora con GPO. He intentado configurarlo para implementar a través de Computer Configuration->Policies->Windows Settings->Deployed Printers, así como Computer Configuration->Preferences->Control Panel Settings->Printersy User Configuration->Preferences->Control Panel Settings->Printers. También he intentado pasar por la consola de administración de mi servidor de impresión para agregarla a través de la orientación por usuario o computadora. He intentado TODO TIPO de formas y nada funciona. Seguí un montón de tutoriales y vi un montón de videos solo para asegurarme de que no me faltaba algo, pero realmente es una tarea simple (en teoría) ... Simplemente no funcionará.

Al tratar de depurar el problema, descubrí que si iba \\myserver\y hacía doble clic en la impresora, intentaría instalar la impresora y luego me pediría que instalara los controladores con un indicador de tipo UAC. ingrese la descripción de la imagen aquí

He intentado todo lo que se me ocurre para que el cuadro de mensaje deje de aparecer. Lo busqué y descubrí que si iba a editar un GPO llamado Point and Print Restrictionsubicado en Computer Configuration->Policies->Administrative Templates->Printersy estaba como en User Configuration->Policies->Administrative Templates->Control Panel->Printers, podría intentar establecer la política en Disabledo Enabledy elegir Do not show warning or elevation promptlas dos Indicaciones de seguridad que figuran en la parte inferior de la configuración de la política.

Bueno, eso también fue un fracaso ...

Descubrí que si intentaba instalar manualmente la impresora yendo a la unc y escribiendo mis credenciales de administrador, descargaría los controladores del servidor e instalaría la impresora (como se esperaba). Si el usuario intentó eliminar la impresora y tuvo éxito de alguna manera, tan pronto como se desconectó y volvió a iniciar sesión en el GPO, haría lo que yo quisiera y volvería a agregar la impresora. Pero me requirió agregarlo manualmente la primera vez en CADA PC.

Después de probar esto y luego quitar la impresora del GPO, luego cierre la sesión y vuelva a encenderla. Podría ejecutar el comando printui /s /t2para abrir una GUI que me permitiría eliminar los controladores instalados con facilidad para volver a poner la PC en su estado original (solicitando credenciales de administrador). También aprendí algo más: las impresoras estaban almacenadas en el registro ubicado en HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Print\Connections. Cuando intentaba eliminar una impresora y me decía que no podía, simplemente fui a esa clave de registro y eliminé la clave GUID de la impresora que estaba tratando de eliminar. Luego, simplemente reinicié el servicio de cola de impresión y el boom desapareció. Esto no me ayudó a llegar a donde quería, pero fue útil para quitar la impresora durante la depuración del problema.

Leí en alguna parte que tal vez la causa es algún tipo de actualización de seguridad de Windows que cambió algo. Fue lanzado debido a un artículo que muestra cómo podría generar una red completa si pudiera generar una sola impresora. Algo sobre cuando los usuarios se conectan a la impresora y descargan los controladores que instalaría el software inyectado y se ejecutaría en la máquina, etc.

Mi objetivo principal es poder implementar esta impresora en un conjunto de usuarios en esta unidad organizativa con el GPO que estoy usando. Pero todo lo que intento requiere que un administrador inicie sesión para hacerlo (al menos la primera vez). ¿Alguien tiene alguna idea de por qué mi impresora no se agregará automáticamente a través del GPO y también cómo obtengo ese dang "Confía en esta impresora?" mensaje para irse?

Arvo Bowen
fuente
¿Has echado un vistazo a esta pregunta? social.technet.microsoft.com/Forums/windows/en-US/…
Davidw
@Davidw sí, seguro que lo hice. ;) Lo único que no intenté fue la última parte de su respuesta (eso fue solo porque un comentario a continuación me desactivó). Aunque nunca pude averiguar dónde hizo el tipo de respuesta en "Configuré un GPO para nuestro bosque", "El usuario solo puede enviar P&P a estos servidores => Deshabilitado", "El usuario solo puede P&P a máquinas en su bosque => Habilitado" , etc.
Arvo Bowen
@Davidw ¡Sin embargo, acabo de notar esto! ... "Esta configuración se ha movido a la sección Local_Machine para Windows 7. Debe usar una máquina con Windows 7 para administrar los dos conjuntos de políticas (Máquina para Windows 7, Usuario para Pre -Windows 7) "de otra respuesta ... ¿Cómo lo gestionaría desde la máquina local a través de GPO? Supongo que es solo una configuración de registro, pero ¿qué configuración de registro?
Arvo Bowen
Leyendo su pregunta, me estoy inclinando hacia la idea de que los controladores de su impresora son la causa de este problema, si tiene que instalar la impresora al menos una vez para que funcione, seguramente trataría de cambiar los controladores y volver a intentarlo . El cuadro de diálogo "Confía en esta impresora" no le impedirá instalar la impresora con GP.
Noor Khaldi
@NoorKhaldi Creo que tiene que ver con dos cosas ... 1) ¡Los controladores no están firmados ...! 2) Los controladores que estoy tratando de instalar no parecen ser un simple controlador de tipo HP Laserjet para instalar para una impresora de red ... Estos controladores crean un nuevo tipo especial de puerto para imprimir / generar archivos PDF ... Qué dolor ...
Arvo Bowen

Respuestas:

10

La "solución" es descargar controladores de impresión confiables y compatibles con el paquete del fabricante de la impresora; sin embargo, dado que no todos los fabricantes producirán estos controladores, hay una solución que encontré aquí: Cannon Forum - Controladores de impresión compatibles con el paquete (Nota: Esto no funciona para controladores no firmados, pero hay muchos tutoriales disponibles para usted. -signar un controlador de impresión.)

Estos son los pasos para solucionar el problema:

  1. Instale los controladores necesarios en el servidor de impresión
  2. Tenga en cuenta los controladores que tienen "falso" en la columna "Empaquetado". Todo esto tendrá que modificarse para implementarse a través de la Política de grupo.
  3. Edite el registro en su servidor de impresión y vaya a las siguientes ubicaciones:
    • Para controladores de 64 bits: HKLM \ System \ CurrentControlSet \ Control \ Print \ Enviroments \ Windowsx64 \ Drivers \ Version- X \ {Driver Name}
    • Para controladores de 32 bits: HKLM \ System \ CurrentControlSet \ Control \ Print \ Enviroments \ Windows NT x86 \ Drivers \ Version- X \ {Driver Name}
    • Donde "X" es el controlador "Tipo" del controlador de impresión, generalmente "3" o "4"
  4. Edite la clave denominada "PrinterDriverAttributes" agregando 1 al valor establecido actualmente. (Ejemplo: si el valor actual es "6", cámbielo a "7".) Esto hará que el servidor de impresión crea que estos controladores están empaquetados.
  5. Haga esto para cada controlador que no esté listado como un controlador "Empaquetado".
  6. Reinicie el servidor de impresión.
  7. Ahora todo se debe implementar a través de la directiva de grupo (siempre que tenga todas las configuraciones habituales de GPO configuradas correctamente).

Estoy en el proceso de implementar esta solución yo mismo; sin embargo, dado que requiere un reinicio del servidor de impresión, no puedo probarlo hasta esta tarde ya que nuestro servidor de impresión también ejecuta algunas aplicaciones en red.

Una solución alternativa para la edición del registro es editar el archivo INF del controlador de impresora y agregar lo siguiente:

Para controladores de 32 bits:

[PrinterPackageInstallation.x86]
PackageAware=TRUE

Para controlador de 64 bits

[PrinterPackageInstallation.amd64]
PackageAware=TRUE

Si decide editar el archivo INF, será más fácil eliminar el controlador del servidor de impresión, editar el archivo INF desde una descarga limpia y luego instalar el controlador editado.

Aparte de esto, verifique la configuración de la directiva de grupo para Point and Print Restrictionsy Package Point and print - Approved Servers.

Información de fondo

El boletín de seguridad de Microsoft MS16-087 detalló un problema de seguridad en el que un servidor de impresión no autorizado podía inyectar código malicioso a través de un ataque de estilo "hombre en el medio". La actualización de seguridad KB3170455 se emitió el 12 de julio de 2016 para solucionarlo, lo que luego alteró la distribución de controladores de impresión desde el servidor de impresión.

Slicktrick
fuente
3
Si el Paso 4 parece extraño, es porque PrinterDriverAttributes es en realidad una matriz de bits donde cada bit indica una configuración diferente. El último bit (menos significativo) indica si el controlador es parte de un paquete de controladores. Por lo tanto, incrementar el valor en uno modificará el último bit en el campo. Ver: msdn.microsoft.com/en-us/library/windows/desktop/…
P.Turpie
Desde el punto de vista del administrador de sistemas, este es el camino a seguir. Implica una considerable preparación y verificación en el servidor de impresión, pero eso se debe a que los administradores deben estar al tanto de lo que se implementa, lo que representa un peligro, etc. Sin embargo, una vez que el servidor de impresión tiene los controladores preestablecidos, cualquier sistema cliente que se conecte a la impresora podrá instalar los controladores en segundo plano, sin puntos de control UAC.
George Erhard
1
Tenga en cuenta que puede reiniciar solo el servicio "Servidor" en el servidor de impresión y se actualizará con la nueva configuración sin reiniciar el servidor. Reiniciar este servicio puede tener otras repercusiones, pero puede ser una mejor solución que reiniciar el servidor para algunos administradores .
Thomas
1

Gracias por el truco del registro para que un controlador aparezca como empaquetado. Eso solo no puede hacer el truco. Asegúrese de establecer el Paquete de políticas informáticas y la configuración de impresión en habilitado junto con el servidor de impresión correspondiente.

  1. Hack de registro anterior en el servidor de impresión si su controlador aparece como "falso" en la columna empaquetada del Administrador de impresión en el servidor.
  2. Configuración de comp. -> plantillas de administrador -> restricciones de apuntar e imprimir habilitadas.

Espero que esto ayude.

nx u
fuente