Comment puis-je me débarrasser de la boîte de message «Faites-vous confiance à cette imprimante» et ajouter mon imprimante via GPO?

8
  • Station de travail: Windows 7 (x64) [Installer la cible pour l'imprimante]
  • Serveur: Windows Server 2012 R2 (x64) [Active Directory, serveur d'impression]

J'ai dénigré ma tête sur le bureau en essayant d'installer cette imprimante via la stratégie de groupe! Pour une raison quelconque, je ne peux tout simplement PAS déployer cette imprimante avec GPO. J'ai essayé de le configurer pour déployer via Computer Configuration->Policies->Windows Settings->Deployed Printers, ainsi que Computer Configuration->Preferences->Control Panel Settings->Printerset User Configuration->Preferences->Control Panel Settings->Printers. J'ai également essayé de passer par ma console de gestion du serveur d'impression pour l'ajouter via le ciblage utilisateur et / ou ordinateur. J'ai essayé TOUTES SORTES de façons et rien ne fonctionne. J'ai suivi un tas de tutoriels et regardé un tas de vidéos juste pour m'assurer que je ne manquais pas quelque chose mais c'est vraiment une tâche simple (en théorie) ... Cela ne fonctionnera tout simplement pas.

En essayant de déboguer le problème, j'ai trouvé que si j'allais \\myserver\et que je double-cliquais sur l'imprimante, il essaierait d'installer l'imprimante et me demanderait ensuite d'installer les pilotes avec une invite de type UAC. entrez la description de l'image ici

J'ai tout essayé pour que cette boîte de message cesse d'apparaître. J'ai creusé dedans et j'ai constaté que si je devais modifier un objet de stratégie de groupe appelé Point and Print Restrictionssitué à Computer Configuration->Policies->Administrative Templates->Printerset était comme User Configuration->Policies->Administrative Templates->Control Panel->Printersvous pouvez essayer de définir la stratégie Disabledou Enabledchoisir Do not show warning or elevation promptles deux invites de sécurité répertoriées au bas des paramètres de stratégie.

Eh bien, c'était aussi un buste ...

J'ai trouvé que si j'essayais d'installer manuellement l'imprimante en accédant à l'unc et en tapant mes informations d'identification d'administrateur, cela téléchargerait les pilotes depuis le serveur et installer l'imprimante (comme prévu). Si l'utilisateur tentait de retirer l'imprimante et réussissait d'une manière ou d'une autre dès qu'il se déconnectait et se reconnectait au GPO, il faisait ce que je voulais et rajoutait l'imprimante. Mais il m'a fallu l'ajouter manuellement la première fois sur CHAQUE PC.

Après avoir testé cela, puis retiré l'imprimante du GPO, puis vous déconnecter et vous reconnecter. Je pourrais exécuter la commande printui /s /t2pour afficher une interface graphique qui me permettrait de supprimer facilement les pilotes installés pour remettre le PC à son état d'origine (en demandant les informations d'identification de l'administrateur). J'ai également appris que les imprimantes étaient stockées dans le registre situé à HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Print\Connections. Lorsque j'essayais de supprimer une imprimante et qu'il m'a dit que je ne pouvais pas, je suis simplement allé à cette clé de registre et j'ai supprimé la clé GUID de l'imprimante que j'essayais de supprimer. Puis vient de redémarrer le service Print Spooler et boom, il avait disparu. Cela ne m'a pas aidé à me rendre où je voulais, mais cela a été utile pour retirer l'imprimante pendant le débogage du problème.

J'ai lu quelque part que la cause est peut-être un type de mise à jour de sécurité Windows qui a changé quelque chose. Il a été publié en raison d'un article montrant comment vous pouvez piloter un réseau entier si vous pouviez piloter une seule imprimante. Quelque chose quand les utilisateurs se connectaient à l'imprimante et téléchargeaient les pilotes, ils installaient le logiciel injecté et s'exécutaient sur la machine, etc ...

Mon objectif principal est de pouvoir déployer cette imprimante sur un ensemble d'utilisateurs dans cette unité d'organisation avec le GPO que j'utilise. Mais tout ce que j'essaie nécessite qu'un administrateur soit connecté pour le faire (au moins la première fois). Quelqu'un a-t-il une idée pourquoi mon imprimante ne s'ajoutera pas automatiquement via le GPO et comment puis-je obtenir ce dang "Faites-vous confiance à cette imprimante?" message pour s'en aller?

Arvo Bowen
la source
Avez-vous jeté un œil à cette question? social.technet.microsoft.com/Forums/windows/en-US/…
Davidw
@Davidw oui, bien sûr. ;) La seule chose que je n'ai pas essayée était la dernière partie de sa réponse (c'était juste parce qu'un commentaire ci-dessous me dégoûtait). Bien que je n'aie jamais pu savoir où le gars de la réponse a fait ceci à "J'ai configuré un GPO pour notre forêt", "L'utilisateur peut uniquement effectuer le P&P sur ces serveurs => Désactivé", "L'utilisateur peut uniquement effectuer le P&P sur les machines de la forêt => Activé" , etc.
Arvo Bowen
@Davidw Je viens juste de le remarquer! ... "Ces paramètres ont été déplacés vers la ruche Local_Machine pour Windows 7. Vous devez utiliser une machine Windows 7 pour gérer les deux ensembles de stratégies (Machine for Windows 7, User for Pre -Windows 7) "d'une autre réponse ... Comment pourrais-je le gérer à partir de la machine locale via GPO? Je suppose que c'est juste un paramètre de registre, mais quel paramètre de registre?
Arvo Bowen
En lisant votre question, je penche vers l'idée que vos pilotes d'imprimante sont la cause de ce problème, si vous devez installer l'imprimante au moins une fois pour qu'elle fonctionne, j'essaierais certainement de changer les pilotes et d'essayer à nouveau . La boîte de dialogue "Faites-vous confiance à cette imprimante" ne vous empêchera pas d'installer l'imprimante à l'aide de GP.
Noor Khaldi
@NoorKhaldi Je pense que cela a à voir avec deux choses ... 1) Les pilotes ne sont pas signés ...! 2) Les pilotes que j'essaie d'installer ne semblent pas être un simple pilote de type HP Laserjet à installer pour une imprimante réseau ... Ces pilotes créent un nouveau type de port spécial pour imprimer / générer des PDF ... Quelle douleur ...
Arvo Bowen

Réponses:

10

Le «correctif» consiste à télécharger des pilotes d'impression fiables et compatibles avec les packages auprès du fabricant de l'imprimante; cependant, comme tous les fabricants ne produiront pas ces pilotes, il y a une solution que j'ai trouvée ici: Forum Cannon - Pilotes d'impression connaissant les packages (Remarque: cela ne fonctionne pas pour les pilotes non signés, mais il existe de nombreux didacticiels pour vous -signature d'un pilote d'impression.)

Voici les étapes pour contourner le problème:

  1. Installez les pilotes requis sur le serveur d'impression
  2. Notez tous les pilotes qui ont "false" dans la colonne "Packaged". Tous ces éléments devront être modifiés pour être déployés via la stratégie de groupe.
  3. Modifiez le registre sur votre serveur d'impression et accédez aux emplacements suivants:
    • Pour les pilotes 64 bits: HKLM \ System \ CurrentControlSet \ Control \ Print \ Enviroments \ Windowsx64 \ Drivers \ Version- X \ {Nom du pilote}
    • Pour les pilotes 32 bits: HKLM \ System \ CurrentControlSet \ Control \ Print \ Enviroments \ Windows NT x86 \ Drivers \ Version- X \ {Nom du pilote}
    • Où "X" est le pilote d'impression "Type", généralement "3" ou "4"
  4. Modifiez la clé nommée "PrinterDriverAttributes" en ajoutant 1 à la valeur actuellement définie. (Exemple: si la valeur actuelle est "6", changez-la en "7".) Cela fera croire au serveur d'impression que ces pilotes sont emballés.
  5. Effectuez cette opération pour chaque pilote qui n'est pas répertorié en tant que pilote «packagé».
  6. Redémarrez le serveur d'impression.
  7. Tout doit maintenant être déployé via la stratégie de groupe (à condition que tous les paramètres GPO habituels soient correctement configurés).

Je suis moi-même en train de déployer ce correctif; cependant, comme il nécessite un redémarrage du serveur d'impression, je ne peux pas le tester jusqu'à ce soir car notre serveur d'impression exécute également quelques applications en réseau.

Une autre solution à la modification du Registre consiste à modifier le fichier INF du pilote d'imprimante et à ajouter ce qui suit:

Pour les pilotes 32 bits:

[PrinterPackageInstallation.x86]
PackageAware=TRUE

Pour pilote 64 bits

[PrinterPackageInstallation.amd64]
PackageAware=TRUE

Si vous décidez de modifier le fichier INF, il sera plus facile de supprimer le pilote du serveur d'impression, de modifier le fichier INF à partir d'un nouveau téléchargement, puis d'installer le pilote modifié.

En dehors de cela, revérifiez les paramètres de stratégie de groupe pour Point and Print Restrictionset Package Point and print - Approved Servers.

Informations de fond

Le Bulletin de sécurité Microsoft MS16-087 a détaillé un problème de sécurité dans lequel un serveur d'impression non autorisé pouvait injecter du code malveillant via une attaque de type "homme au milieu". La mise à jour de sécurité KB3170455 a été publiée le 12 juillet 2016 pour la corriger, ce qui a ensuite perturbé la distribution des pilotes d'impression à partir du serveur d'impression.

Slicktrick
la source
3
Si l'étape 4 semble bizarre, c'est parce que PrinterDriverAttributes est en fait un tableau de bits où chaque bit indique un paramètre différent. Le dernier bit (le moins significatif) indique si le pilote fait partie d'un package de pilotes. Ainsi, l'incrémentation de la valeur de un modifiera le dernier bit du champ. Voir: msdn.microsoft.com/en-us/library/windows/desktop/…
P.Turpie
Du point de vue de l'administrateur système, c'est la voie à suivre. Cela implique une préparation et une vérification considérables sur le serveur d'impression, mais c'est parce que nous, les administrateurs, sommes censés être conscients de ce qui est déployé, de ce qui pose un danger, et cetera. Toutefois, une fois que les pilotes du serveur d'impression ont été pré-installés, tous les systèmes clients qui se connectent à l'imprimante pourront installer les pilotes en arrière-plan, sans points de contrôle UAC.
George Erhard
1
Notez que vous pouvez redémarrer uniquement le service "Serveur" sur le serveur d'impression et qu'il se mettra à jour avec les nouveaux paramètres sans redémarrer le serveur. Le redémarrage de ce service peut avoir d'autres répercussions, mais peut être une meilleure solution que le redémarrage du serveur pour certains administrateurs .
Thomas
1

Merci pour le piratage du registre afin qu'un pilote apparaisse tel quel. Cela ne suffit pas à lui seul. Veuillez vous assurer que vous définissez le package de stratégie informatique et les paramètres d'impression sur activé avec le serveur d'impression concerné.

  1. Au-dessus du registre, piratez le serveur d'impression si votre pilote apparaît comme "faux" dans la colonne packagée du gestionnaire d'impression sur le serveur.
  2. Configuration de la compilation -> modèles d'administration -> restrictions de point et d'impression activées.

J'espère que cela t'aides.

nx u
la source