- Máy trạm: Windows 7 (x64) [Cài đặt mục tiêu cho máy in]
- Máy chủ: Windows Server 2012 R2 (x64) [Thư mục hoạt động, Máy chủ in]
Tôi đã đập đầu vào bàn làm việc để cài đặt máy in này thông qua chính sách nhóm! Vì một số lý do, tôi chỉ đơn giản là KHÔNG thể triển khai máy in này với GPO. Tôi đã cố gắng thiết lập nó để triển khai thông qua Computer Configuration->Policies->Windows Settings->Deployed Printers
, cũng như Computer Configuration->Preferences->Control Panel Settings->Printers
và User Configuration->Preferences->Control Panel Settings->Printers
. Tôi cũng đã thử đi qua bảng điều khiển Quản lý Máy chủ In của mình để thêm nó thông qua nhắm mục tiêu của người dùng và / hoặc máy tính. Tôi đã thử TẤT CẢ các cách và không có gì hiệu quả. Tôi đã theo dõi một loạt các hướng dẫn và xem một loạt các video chỉ để đảm bảo rằng tôi không thiếu thứ gì đó nhưng nó thực sự là một nhiệm vụ đơn giản (về lý thuyết) ... Nó chỉ không hoạt động.
Khi thử gỡ lỗi, tôi thấy rằng nếu tôi truy cập \\myserver\
và nhấp đúp vào máy in, nó sẽ cố gắng cài đặt máy in và sau đó nhắc tôi cài đặt trình điều khiển với lời nhắc loại UAC.
Tôi đã thử mọi cách tôi có thể nghĩ để có được hộp thông báo đó để ngừng bật lên. Tôi đã nghiên cứu và nhận thấy rằng nếu tôi chỉnh sửa GPO được gọi Point and Print Restrictions
tại Computer Configuration->Policies->Administrative Templates->Printers
và như User Configuration->Policies->Administrative Templates->Control Panel->Printers
bạn có thể thử đặt chính sách thành Disabled
hoặc Enabled
chọn Do not show warning or elevation prompt
hai Nhắc bảo mật được liệt kê ở cuối cài đặt chính sách.
Vâng, đó cũng là một bức tượng bán thân ...
Tôi đã thấy rằng nếu tôi cố gắng cài đặt thủ công máy in bằng cách truy cập chú và nhập thông tin đăng nhập của Quản trị viên, nó sẽ tải xuống trình điều khiển từ máy chủ và cài đặt máy in (như mong đợi). Nếu người dùng cố gắng tháo máy in và thành công bằng cách nào đó ngay khi họ đăng xuất và quay lại GPO sẽ làm những gì tôi muốn và thêm lại máy in. Nhưng nó yêu cầu tôi phải thêm nó thủ công lần đầu tiên trên MỌI PC.
Sau khi kiểm tra điều này và sau đó loại bỏ máy in khỏi GPO, sau đó đăng xuất và bật lại. Tôi có thể chạy lệnh printui /s /t2
để hiển thị GUI cho phép tôi gỡ bỏ các trình điều khiển đã cài đặt một cách dễ dàng để đưa PC trở lại trạng thái ban đầu (yêu cầu thông tin đăng nhập của Quản trị viên). Ngoài ra một điều khác tôi học được là các máy in được lưu trữ trong sổ đăng ký tại HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Print\Connections
. Khi tôi đang cố gắng xóa một máy in và nó nói với tôi rằng tôi không thể, tôi chỉ đi đến khóa đăng ký đó và xóa khóa GUID của máy in mà tôi đang cố xóa. Sau đó, chỉ cần khởi động lại dịch vụ Bộ đệm in và bùng nổ. Điều này không giúp được gì cho tôi đến nơi tôi muốn nhưng nó rất hữu ích trong việc gỡ bỏ máy in trong quá trình gỡ lỗi.
Tôi đọc ở đâu đó rằng có thể nguyên nhân là một số loại cập nhật bảo mật windows đã thay đổi một cái gì đó. Nó được phát hành vì một số bài viết cho thấy làm thế nào bạn có thể pwn toàn bộ mạng nếu bạn có thể pwn một máy in. Đôi điều về khi người dùng kết nối với máy in và tải xuống trình điều khiển, nó sẽ cài đặt phần mềm được tiêm và chạy trên máy, v.v ...
Mục tiêu chính của tôi là có thể triển khai máy in này tới một nhóm người dùng trong OU này với GPO tôi đang sử dụng. Nhưng mọi thứ tôi thử đều yêu cầu Quản trị viên phải đăng nhập để thực hiện (ít nhất là lần đầu tiên). Có ai có ý tưởng tại sao máy in của tôi sẽ không tự động thêm thông qua GPO không và làm cách nào tôi có được điều đó "Bạn có tin tưởng máy in này không?" Tin nhắn đi xa?