Làm cách nào tôi có thể thoát khỏi các máy tính Bạn có tin tưởng hộp máy in này và thêm máy in của tôi qua GPO không?

8
  • Máy trạm: Windows 7 (x64) [Cài đặt mục tiêu cho máy in]
  • Máy chủ: Windows Server 2012 R2 (x64) [Thư mục hoạt động, Máy chủ in]

Tôi đã đập đầu vào bàn làm việc để cài đặt máy in này thông qua chính sách nhóm! Vì một số lý do, tôi chỉ đơn giản là KHÔNG thể triển khai máy in này với GPO. Tôi đã cố gắng thiết lập nó để triển khai thông qua Computer Configuration->Policies->Windows Settings->Deployed Printers, cũng như Computer Configuration->Preferences->Control Panel Settings->PrintersUser Configuration->Preferences->Control Panel Settings->Printers. Tôi cũng đã thử đi qua bảng điều khiển Quản lý Máy chủ In của mình để thêm nó thông qua nhắm mục tiêu của người dùng và / hoặc máy tính. Tôi đã thử TẤT CẢ các cách và không có gì hiệu quả. Tôi đã theo dõi một loạt các hướng dẫn và xem một loạt các video chỉ để đảm bảo rằng tôi không thiếu thứ gì đó nhưng nó thực sự là một nhiệm vụ đơn giản (về lý thuyết) ... Nó chỉ không hoạt động.

Khi thử gỡ lỗi, tôi thấy rằng nếu tôi truy cập \\myserver\và nhấp đúp vào máy in, nó sẽ cố gắng cài đặt máy in và sau đó nhắc tôi cài đặt trình điều khiển với lời nhắc loại UAC. nhập mô tả hình ảnh ở đây

Tôi đã thử mọi cách tôi có thể nghĩ để có được hộp thông báo đó để ngừng bật lên. Tôi đã nghiên cứu và nhận thấy rằng nếu tôi chỉnh sửa GPO được gọi Point and Print Restrictionstại Computer Configuration->Policies->Administrative Templates->Printersvà như User Configuration->Policies->Administrative Templates->Control Panel->Printersbạn có thể thử đặt chính sách thành Disabledhoặc Enabledchọn Do not show warning or elevation prompthai Nhắc bảo mật được liệt kê ở cuối cài đặt chính sách.

Vâng, đó cũng là một bức tượng bán thân ...

Tôi đã thấy rằng nếu tôi cố gắng cài đặt thủ công máy in bằng cách truy cập chú và nhập thông tin đăng nhập của Quản trị viên, nó sẽ tải xuống trình điều khiển từ máy chủ và cài đặt máy in (như mong đợi). Nếu người dùng cố gắng tháo máy in và thành công bằng cách nào đó ngay khi họ đăng xuất và quay lại GPO sẽ làm những gì tôi muốn và thêm lại máy in. Nhưng nó yêu cầu tôi phải thêm nó thủ công lần đầu tiên trên MỌI PC.

Sau khi kiểm tra điều này và sau đó loại bỏ máy in khỏi GPO, sau đó đăng xuất và bật lại. Tôi có thể chạy lệnh printui /s /t2để hiển thị GUI cho phép tôi gỡ bỏ các trình điều khiển đã cài đặt một cách dễ dàng để đưa PC trở lại trạng thái ban đầu (yêu cầu thông tin đăng nhập của Quản trị viên). Ngoài ra một điều khác tôi học được là các máy in được lưu trữ trong sổ đăng ký tại HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Print\Connections. Khi tôi đang cố gắng xóa một máy in và nó nói với tôi rằng tôi không thể, tôi chỉ đi đến khóa đăng ký đó và xóa khóa GUID của máy in mà tôi đang cố xóa. Sau đó, chỉ cần khởi động lại dịch vụ Bộ đệm in và bùng nổ. Điều này không giúp được gì cho tôi đến nơi tôi muốn nhưng nó rất hữu ích trong việc gỡ bỏ máy in trong quá trình gỡ lỗi.

Tôi đọc ở đâu đó rằng có thể nguyên nhân là một số loại cập nhật bảo mật windows đã thay đổi một cái gì đó. Nó được phát hành vì một số bài viết cho thấy làm thế nào bạn có thể pwn toàn bộ mạng nếu bạn có thể pwn một máy in. Đôi điều về khi người dùng kết nối với máy in và tải xuống trình điều khiển, nó sẽ cài đặt phần mềm được tiêm và chạy trên máy, v.v ...

Mục tiêu chính của tôi là có thể triển khai máy in này tới một nhóm người dùng trong OU này với GPO tôi đang sử dụng. Nhưng mọi thứ tôi thử đều yêu cầu Quản trị viên phải đăng nhập để thực hiện (ít nhất là lần đầu tiên). Có ai có ý tưởng tại sao máy in của tôi sẽ không tự động thêm thông qua GPO không và làm cách nào tôi có được điều đó "Bạn có tin tưởng máy in này không?" Tin nhắn đi xa?

active-directory  group-policy  windows-server-2012-r2  printer  network-printer 
Arvo Bowen
nguồn
Bạn đã xem câu hỏi này chưa? social.technet.microsoft.com/Forums/windows/en-US/ từ
Davidw
@Davidw yea tôi chắc chắn đã làm. ;) Điều duy nhất tôi không cố gắng là phần cuối cùng trong câu trả lời của anh ấy (đó chỉ là vì một bình luận bên dưới đã tắt tôi về nó). Mặc dù tôi không bao giờ có thể tìm ra anh chàng trả lời đã làm điều này ở đâu , v.v.
Arvo Bowen
@Davidw Tôi mới nhận thấy điều này! ... "Những cài đặt này đã được chuyển sang tổ hợp Local_Machine cho Windows 7. Bạn cần sử dụng máy Windows 7 để quản lý hai bộ chính sách (Máy cho Windows 7, Người dùng cho Pre -Windows 7) "từ một câu trả lời khác ... Làm thế nào tôi có thể quản lý nó từ máy cục bộ thông qua GPO? Tôi đoán nó chỉ là một cài đặt đăng ký nhưng cài đặt đăng ký nào?
Arvo Bowen
Đọc qua câu hỏi của bạn, tôi nghiêng về ý tưởng rằng trình điều khiển máy in của bạn là nguyên nhân của vấn đề này, nếu bạn phải cài đặt máy in ít nhất một lần để nó hoạt động, tôi chắc chắn sẽ thử thay đổi trình điều khiển và thử lại . Hộp thoại "Bạn có tin tưởng máy in này" sẽ không ngăn bạn cài đặt máy in bằng GP.
Noor Khaldi
@NoorKhaldi Tôi nghĩ rằng nó phải làm với hai điều ... 1) Các trình điều khiển không được ký ...! 2) Các trình điều khiển tôi đang cố cài đặt dường như không phải là trình điều khiển HP Laserjet đơn giản để cài đặt cho máy in mạng ... Các trình điều khiển này tạo ra một loại cổng mới đặc biệt để in / tạo PDF ... Thật là một nỗi đau ...
Arvo Bowen

Câu trả lời:

10

"Khắc phục" là tải xuống trình điều khiển in nhận biết gói tin cậy từ nhà sản xuất máy in; tuy nhiên, vì không phải tất cả các nhà sản xuất sẽ sản xuất các trình điều khiển này, nên có một công việc xung quanh tôi tìm thấy ở đây: Cannon Forum - Trình điều khiển in Aware (Lưu ý: Điều này không hoạt động đối với các trình điều khiển không dấu, nhưng có rất nhiều hướng dẫn ngoài kia -đăng ký trình điều khiển in.)

Dưới đây là các bước để giải quyết vấn đề:

  1. Cài đặt trình điều khiển cần thiết trên máy chủ in
  2. Lưu ý bất kỳ trình điều khiển nào có "sai" được liệt kê trong cột "Đóng gói". Tất cả những điều này sẽ phải được sửa đổi để triển khai thông qua Chính sách nhóm.
  3. Chỉnh sửa sổ đăng ký trên máy chủ in của bạn và đi đến các vị trí sau:
    • Đối với trình điều khiển 64 bit: HKLM \ System \ CurrentControlset \ Control \ Print \ Enviroments \ Windowsx64 \ Driver \ Version- X \ {Tên trình điều khiển}
    • Đối với trình điều khiển 32 bit: HKLM \ System \ CurrentControlset \ Control \ Print \ Enviroments \ Windows NT x86 \ Driver \ Version- X \ {Tên trình điều khiển}
    • Trong đó "X" là trình điều khiển in "Loại", thường là "3" hoặc "4"
  4. Chỉnh sửa khóa có tên "PrinterDriverAttribut" bằng cách thêm 1 vào bất kỳ giá trị nào hiện đang được đặt. (Ví dụ: nếu giá trị hiện tại là "6", hãy đổi nó thành "7".) Điều này sẽ khiến máy chủ in tin rằng các trình điều khiển này được đóng gói.
  5. Làm điều này cho mọi trình điều khiển không được liệt kê là trình điều khiển "Đóng gói".
  6. Khởi động lại máy chủ in.
  7. Bây giờ mọi thứ sẽ triển khai thông qua Chính sách nhóm (miễn là bạn có tất cả các cài đặt GPO thông thường được định cấu hình chính xác).

Tôi đang trong quá trình triển khai bản sửa lỗi này; tuy nhiên, vì nó yêu cầu khởi động lại máy chủ in nên tôi không thể kiểm tra nó cho đến tối nay vì máy chủ in của chúng tôi cũng chạy một vài ứng dụng được nối mạng.

Một giải pháp thay thế cho chỉnh sửa sổ đăng ký là chỉnh sửa tệp INF trình điều khiển máy in và thêm vào như sau:

Đối với trình điều khiển 32 bit:

[PrinterPackageInstallation.x86]
PackageAware=TRUE

Đối với trình điều khiển 64 bit

[PrinterPackageInstallation.amd64]
PackageAware=TRUE

Nếu bạn quyết định chỉnh sửa tệp INF, việc xóa trình điều khiển khỏi máy chủ in sẽ dễ dàng hơn, chỉnh sửa tệp INF từ bản tải xuống sạch, sau đó cài đặt trình điều khiển đã chỉnh sửa.

Ngoài ra, hãy kiểm tra kỹ cài đặt Chính sách nhóm cho Point and Print RestrictionsPackage Point and print - Approved Servers.

Thông tin cơ bản

Bản tin bảo mật của Microsoft MS16-087 đã nêu chi tiết một vấn đề bảo mật trong đó một máy chủ in giả mạo có thể tiêm mã độc thông qua một cuộc tấn công kiểu "người ở giữa". Bản cập nhật bảo mật KB3170455 được phát hành vào ngày 12 tháng 7 năm 2016 để sửa lỗi, sau đó bị rối với việc phân phối trình điều khiển in từ máy chủ in.

Slicktrick
nguồn
3
Nếu Bước 4 có vẻ kỳ lạ, thì đó là bởi vì PrinterDriverAttribut thực sự là một mảng bit trong đó mỗi bit chỉ ra một cài đặt khác nhau. Bit cuối cùng (ít quan trọng nhất) cho biết trình điều khiển có phải là một phần của gói trình điều khiển hay không. Vì vậy, tăng giá trị lên một sẽ sửa đổi bit cuối cùng trong trường. Xem: msdn.microsoft.com/en-us/l
Library / windows / desktop / Fiêu
Từ quan điểm quản trị hệ thống, đây là cách để đi. Nó liên quan đến việc chuẩn bị và kiểm tra đáng kể trên máy chủ in, nhưng đó là bởi vì các quản trị viên của chúng tôi phải nhận thức được những gì đã triển khai, điều gì gây nguy hiểm, et cetera. Tuy nhiên, một khi máy chủ in có trình điều khiển được dàn dựng sẵn, mọi hệ thống máy khách gắn vào máy in sẽ có thể cài đặt trình điều khiển trong nền, không có điểm kiểm tra UAC.
George Erhard
1
Lưu ý rằng bạn chỉ có thể khởi động lại dịch vụ "Máy chủ" trên máy chủ in và nó sẽ cập nhật với cài đặt mới mà không cần khởi động lại máy chủ. Khởi động lại dịch vụ này có thể có những hậu quả khác, nhưng có thể là một giải pháp tốt hơn so với khởi động lại máy chủ đối với một số quản trị viên .
Thomas
1

Cảm ơn đã hack registry để có một trình điều khiển đi lên như đóng gói. Điều đó một mình có thể không làm các mẹo. Vui lòng đảm bảo rằng bạn đặt Gói chính sách máy tính và cài đặt in được bật cùng với máy chủ in có liên quan.

  1. Trên sổ đăng ký hack trên máy chủ in nếu trình điều khiển của bạn hiển thị là "sai" trong cột đóng gói của Trình quản lý in trên máy chủ.
  2. Cấu hình Comp -> mẫu quản trị -> bật và hạn chế in.

Hi vọng điêu nay co ich.

bạn là ai
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.