Меню Рубрики

Установка принтера запрещена политикой

Устройства: запретить пользователям установку драйверов принтера. Devices: Prevent users from installing printer drivers

Область применения Applies to

В этой статье описаны рекомендации, расположение, значения и рекомендации по обеспечению безопасности для устройств: запретить пользователям устанавливать параметры политики безопасности для драйверов принтеров. Describes the best practices, location, values, and security considerations for the Devices: Prevent users from installing printer drivers security policy setting.

Справочник Reference

Для печати устройства на сетевом принтере драйвер для этого сетевого принтера должен быть установлен локально. For a device to print to a network printer, the driver for that network printer must be installed locally. Устройства: запретить пользователям устанавливать драйвер принтера. определяет, кто может добавлять драйверы принтеров в рамках добавления сетевого принтера. The Devices: Prevent users from installing printer drivers policy setting determines who can install a printer driver as part of adding a network printer. Если вы задаете значение Enabled, только администраторы и пользователи смогут установить драйвер принтера в рамках добавления сетевого принтера. When you set the value to Enabled, only Administrators and Power Users can install a printer driver as part of adding a network printer. Если задать для параметра **** значение Disabled, любой пользователь может установить драйвер принтера в рамках добавления сетевого принтера. Setting the value to Disabled allows any user to install a printer driver as part of adding a network printer. Этот параметр предотвращает загрузку и установку ненадежного драйвера принтера для пользователей, не имеющих привилегий. This setting prevents unprivileged users from downloading and installing an untrusted printer driver.

Этот параметр не влияет на то, что вы настроили надежный путь для загрузки драйверов. This setting has no impact if you have configured a trusted path for downloading drivers. При использовании надежных путей подсистема печати пытается использовать надежный путь для загрузки драйвера. When using trusted paths, the print subsystem attempts to use the trusted path to download the driver. При успешном скачивании надежного пути драйвер устанавливается от имени любого пользователя. If the trusted path download succeeds, the driver is installed on behalf of any user. В случае сбоя при загрузке надежного пути драйвер не устанавливается, а сетевой принтер не добавляется. If the trusted path download fails, the driver is not installed and the network printer is not added.

Несмотря на то, что в некоторых организациях может быть уместно, чтобы пользователи могли устанавливать драйверы принтеров на свои рабочие станции, это не подходит для серверов. Although it might be appropriate in some organizations to allow users to install printer drivers on their own workstations, this is not suitable for servers. Установка драйвера принтера на сервере может привести к тому, что система станет менее стабильной. Installing a printer driver on a server can cause the system to become less stable. Это право на серверах должны иметь только администраторы. Only administrators should have this user right on servers. Злонамеренный пользователь может попытаться повредить систему, установив ненужные драйверы принтера. A malicious user might deliberately try to damage the system by installing inappropriate printer drivers.

Читайте также:  Установка webmin для ubuntu

Возможные значения Possible values

Рекомендации Best practices

  • Рекомендуется устанавливать устройства, чтобы запретить пользователям устанавливать драйверы принтеров для включения. It is advisable to set Devices: Prevent users from installing printer drivers to Enabled. Устанавливать принтеры на серверы смогут только пользователи групп операторов администрирования, опытных пользователей и сервера. Only users in the Administrative, Power User, or Server Operator groups will be able to install printers on servers. Если этот параметр включен, но драйвер сетевого принтера уже есть на локальном компьютере, пользователи по-прежнему могут добавить сетевой принтер. If this policy setting is enabled, but the driver for a network printer already exists on the local computer, users can still add the network printer. Этот параметр политики не влияет на возможность пользователя добавлять локальный принтер. This policy setting does not affect a user’s ability to add a local printer.

Назначение Location

Параметры компьютера Конфигуратион\виндовс Сеттингс\секурити Сеттингс\локал ПолиЦиес\секурити Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

Значения по умолчанию Default values

В приведенной ниже таблице перечислены фактические и действующие значения по умолчанию для этой политики. The following table lists the actual and effective default values for this policy. Значения по умолчанию также указаны на странице свойств политики. Default values are also listed on the policy’s property page.

Тип сервера или объект групповой политики Server type or GPO Значение по умолчанию Default value
Политика домена по умолчанию Default Domain Policy Не определено Not defined
Политика контроллера домена по умолчанию Default Domain Controller Policy Не определено Not defined
Параметры по умолчанию отдельного сервера Stand-Alone Server Default Settings Включено Enabled
Параметры по умолчанию, действующие на контроллере домена DC Effective Default Settings Включено Enabled
Действующие параметры по умолчанию для рядового сервера Member Server Effective Default Settings Включено Enabled
Параметры по умолчанию, действующие на клиентском компьютере Client Computer Effective Default Settings Отключено Disabled

Средства управления политикой Policy management

В этом разделе описаны возможности и инструменты, которые можно использовать для управления политикой. This section describes features and tools that are available to help you manage this policy.

Необходимость перезапуска Restart requirement

Нет. None. Изменения этой политики вступают в силу без перезагрузки компьютера, когда они хранятся на локальном компьютере или распределены через групповую политику. Changes to this policy become effective without a computer restart when they are saved locally or distributed through Group Policy.

Вопросы безопасности Security considerations

В этом разделе описывается, каким образом злоумышленник может использовать компонент или его конфигурацию, как реализовать меры противодействия, а также рассматриваются возможные отрицательные последствия их реализации. This section describes how an attacker might exploit a feature or its configuration, how to implement the countermeasure, and the possible negative consequences of countermeasure implementation.

Уязвимость Vulnerability

В некоторых организациях может быть уместно, чтобы пользователи могли устанавливать драйверы принтеров на свои рабочие станции. It may be appropriate in some organizations to allow users to install printer drivers on their own workstations. Однако вы должны иметь доступ только для администраторов, а не пользователей, так как установка драйвера принтера на сервере может привести к тому, что компьютер станет менее стабильным. However, you should allow only administrators, not users, to do so on servers because printer driver installation on a server may unintentionally cause the computer to become less stable. Злоумышленник может установить ненужные драйверы принтера в преднамеренную попытку повредить компьютер или случайно установить вредоносную программу, имитируую как драйвер принтера. A malicious user could install inappropriate printer drivers in a deliberate attempt to damage the computer, or a user might accidentally install malicious software that masquerades as a printer driver.

Противодействие Countermeasure

Включите устройства: запретить пользователям устанавливать параметры драйверов принтера . Enable the Devices: Prevent users from installing printer drivers setting.

Возможное влияние Potential impact

Только члены групп администраторов, опытных пользователей и операторов сервера могут устанавливать принтеры на серверы. Only members of the Administrator, Power Users, or Server Operator groups can install printers on the servers. Если этот параметр политики включен, но драйвер сетевого принтера уже есть на локальном компьютере, пользователи по-прежнему могут добавить сетевой принтер. If this policy setting is enabled but the driver for a network printer already exists on the local computer, users can still add the network printer.

источник

Политика, ограничивающая установку сетевого принтера

Все новые темы

Автор
AMK44
Новичок

Зарегистрирован: 13.01.2006
Пользователь #: 31,684
Сообщения: 80

Добавлено: Ср 15 Фев, 2006 19:33 Заголовок сообщения: Политика, ограничивающая установку сетевого принтера
Вернуться к началу
Зарегистрируйтесь и реклама исчезнет!

DJForce
Участник форума

Зарегистрирован: 26.11.2007
Пользователь #: 64,095
Сообщения: 414

Добавлено: Пн 12 Июл, 2010 11:47 Заголовок сообщения:
Вернуться к началу
Maley
Активный участник

Зарегистрирован: 07.04.2007
Пользователь #: 54,097
Сообщения: 731
Откуда: Moscow

Голоса: 11

Добавлено: Пн 12 Июл, 2010 11:52 Заголовок сообщения:
_________________
MCSA -> MCSE
Вернуться к началу
dj_lexa
Новичок

Зарегистрирован: 01.12.2010
Пользователь #: 92,958
Сообщения: 3

Добавлено: Ср 01 Дек, 2010 20:01 Заголовок сообщения:
Вернуться к началу
ADMINDM
guru

Зарегистрирован: 04.11.2007
Пользователь #: 63,218
Сообщения: 6740


Голоса: 209

Добавлено: Чт 02 Дек, 2010 1:26 Заголовок сообщения:
_________________
Если помог мой ответ — щёлкните по ссылке :
http://sysadmins.ru/reputation.php?a=add&u=63218&p=13191050&c=ac4064c1
«Знание некоторых принципов легко возмещает незнание некоторых фактов»
Вернуться к началу
dj_lexa
Новичок

Зарегистрирован: 01.12.2010
Пользователь #: 92,958
Сообщения: 3

Добавлено: Чт 02 Дек, 2010 12:05 Заголовок сообщения:
Вернуться к началу
ADMINDM
guru

Зарегистрирован: 04.11.2007
Пользователь #: 63,218
Сообщения: 6740


Голоса: 209

Добавлено: Пт 03 Дек, 2010 3:06 Заголовок сообщения:
_________________
Если помог мой ответ — щёлкните по ссылке :
http://sysadmins.ru/reputation.php?a=add&u=63218&p=13191050&c=ac4064c1
«Знание некоторых принципов легко возмещает незнание некоторых фактов»
Вернуться к началу
Armagedon
Новичок

Зарегистрирован: 01.05.2011
Пользователь #: 130,795
Сообщения: 1

источник

Как разрешить пользователям домена устанавливать принтеры

По умолчанию рядовым пользователям домена запрещено устанавливать принтера (если быть более точными, драйвера принтеров) на доменных компьютерах, а для их установки необходимо наличие у пользователя определённых прав. Это правильно с точки зрения безопасности, ведь установка некорректного или вредоносного (поддельного) драйвера устройства может скомпрометировать или ухудшить работу системы, но крайне неудобно с точки зрения ИТ – отдела. Ведь, если пользователям запрещено устанавливать драйвера принтеров на своих компьютерах, эта забота возлагается на администраторов и ИТ-отдел.

В том случае, если ИТ-администраторы предприятия все-таки решили разрешить пользователям самостоятельно устанавливать драйвера принтеров на своих компьютерах, не предоставляя им прав локальных администраторов, в этой задаче помочь им могут групповые политики Active Directory.

Итак, предполагается, что имеется разнородная сеть и нам необходимо разрешить пользователям самостоятельно подключать сетевые и локальные принтера, и устанавливать их драйвера как на ПК с Windows 7, так и с Windows XP.

Итак, создайте (или отредактируйте существующую политику) и привяжите ее к OU (контейнеру Active Directory), в котором содержатся компьютеры, на которых политикой необходимо разрешить пользователям установку драйверов принтеров (на отдельно стоящем компьютере эту же политику можно реализовать с помощью локальной политики).

Откройте ветку групповых политик Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Local Policies -> Security Options, в которой найдите параметр Devices: Prevent users from installing printer drivers (Устройства: Запретить пользователям установку драйверов принтера). Активируйте политику и отключите ее применение (значение Disabled).

Данная политика подразумевает, что при подключении сетевого принтера, система позволяет пользователю, не обладающего правами администратора, установить драйвера сетевых принтеров.

Следующий момент – нужно разрешить пользователю устанавливать локальные принтера (и их драйвера). В этом случае нас интересует политика Allow non-administrators to install drivers for these device setup classes в разделе: Computer Configuration -> Policies -> Administrative Templates -> System -> Driver Installation.

Включите данную политику, затем зададим типы устройств, которые разрешено пользователям устанавливать самостоятельно (подробнее о принципах установки драйверов в Windows 7 без прав локального администратора). Нажмите кнопку Show, и в появившемся окне добавьте две строки (идентификаторы классов, соответствующие устройствам типа принтер):

Полный список кодов GUID классов устройств в ОС Windows доступен тут:
http://msdn.microsoft.com/en-us/library/ff553426%28v=VS.85%29.aspx

Сохраните изменения в политике.

Следующий момент касается особенностей работы UAC при установке сетевого принтера в Windows Vista и Windows 7. В том случае, если UAC включен, появляется сообщение, в котором требуется указать учетные данные администратора, если же UAC отключен при попытке установить принтер пользователем– система надолго задумывается, и в конце концов выдает сообщение об ошибке: “Windows не удалось подключиться к принтеру. Отказано в доступе”.

Чтобы решить данную проблему необходимо перевести в состояние Disabled политику Point and Print Restrictions . Данная политика находится как в системном, так и пользовательском разделе групповых политик и для поддержки совместимости с предыдущими версиями операционной системы Windows, рекомендуется задавать оба этих параметра. Необходимо отключить обе политики. Находятся он в разделах: Computer Configuration -> Policies -> Administrative Templates -> Printers и User Configuration -> Policies ->Administrative Templates ->Control Panel ->Printers.

Осталось сохранить изменения и протестировать политики на клиентах (потребуется перезагрузка). После перезагрузки и применения групповых политик пользователю будет разрешено самостоятельно устанавливать локальные и подключать сетевые принтера.

Для повышения стабильности и безопасности системы рекомендуется также включить изоляцию драйверов принтеров в Windows 7.

источник