doraymefayzo
Sep 01, 2021
view7497
view9
0
Goto Top

PrintNightmare - Installation Netzwerkdrucker - Whitelist

GermanQuestionMicrosoft
Hallo!

Durch die PrintNightmare-Geschichte wurde in unserem Unternehmen eine GPO angepasst, so dass man als normaler User keine Netzwerkdrucker mehr hinzufügen kann, bei der eine Treiberinstallation notwendig ist.
Es wurde der Registry-Wert RestrictDriverInstallationToAdministrators auf 1 gesetzt.

Da ich in Kürze einige Drucker auf unseren Servern hinzufügen muss, sehe ich die Gefahr, dass ich mich bei x-Usern als Admin aufschalten muss um die Treiberinstallation durchzuführen.

Gibt es eine Möglichkeit Treiber, Drucker, Server auf eine Art Whitelist zu setzen, so dass die User die Netzwerkdrucker wieder selbst hinzufügen können?

Oder würde das der o.g. Registry-Eintrag sowieso verhindern?

Ich freue mich über Eure Vorschläge/Antworten.
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 1216401659

Url: https://administrator.de/contentid/1216401659

Printed on: April 27, 2024 at 04:04 o'clock

9 Comments
Latest comment
Goto Top
Member: Drohnald
Drohnald Sep 01, 2021 at 09:10:29 (UTC)
Goto Top
Die konkrete Frage kann ich dir so nicht beantworten, aber vll. hilft folgendes:
Wenn der Treiber schon auf der Maschine ist, muss der User diese nicht selbst erneut installieren.

Soll heißen: man könnte einfach alle nötigen Treiber (universal Treiber z.B.) per MSI auf alle Geräte via GPO/MECM/Skript als Admin installieren, dann muss beim Drucker hinzufügen nichts installiert werden.

Wenn du also weißt, mit welchen Treibern du deine Drucker ausrollen wirst, kannst du die Treiberinstallation schon vorher vornehmen.
Member: doraymefayzo
doraymefayzo Sep 01, 2021 at 09:19:08 (UTC)
Goto Top
Zitat von @Drohnald:

Die konkrete Frage kann ich dir so nicht beantworten, aber vll. hilft folgendes:
Wenn der Treiber schon auf der Maschine ist, muss der User diese nicht selbst erneut installieren.

Soll heißen: man könnte einfach alle nötigen Treiber (universal Treiber z.B.) per MSI auf alle Geräte via GPO/MECM/Skript als Admin installieren, dann muss beim Drucker hinzufügen nichts installiert werden.

Wenn du also weißt, mit welchen Treibern du deine Drucker ausrollen wirst, kannst du die Treiberinstallation schon vorher vornehmen.

Das habe ich mir auch schon gedacht. Allerdings wird es hier nicht gerne gesehen, wenn ich an GPO rumfummel oder welche erstelle.
Member: Doskias
Doskias Sep 01, 2021 at 11:13:27 (UTC)
Goto Top
Ja die Möglichkeit gibt es per GPO und findest du unter administrtiven Vorlagen im Bereich Drucker. Dort gibt einen Schlüssel Point-and-Print-Einschränkungen.

Dort gibt es dann:
Benutzer können Point-and-Print nur mit folgenden Servern verwenden: Aktiviert
Vollqualifizierte Servernamen eingeben (durch Semikolons getrennt) [FQDN deines Printserver]

Effekt: User können zwar jeden Drucker installieren den sie im Netzwerk finden, aber nur mit den Treibern, die der Printserver zur Verfügung stellt.

Ich hab das schon seit Jahren so und bin damit glücklich face-wink

Gruß
Doskias
Member: doraymefayzo
doraymefayzo Sep 01, 2021 at 13:19:59 (UTC)
Goto Top
Zitat von @Doskias:

Ja die Möglichkeit gibt es per GPO und findest du unter administrtiven Vorlagen im Bereich Drucker. Dort gibt einen Schlüssel Point-and-Print-Einschränkungen.

Dort gibt es dann:
Benutzer können Point-and-Print nur mit folgenden Servern verwenden: Aktiviert
Vollqualifizierte Servernamen eingeben (durch Semikolons getrennt) [FQDN deines Printserver]

Effekt: User können zwar jeden Drucker installieren den sie im Netzwerk finden, aber nur mit den Treibern, die der Printserver zur Verfügung stellt.

Ich hab das schon seit Jahren so und bin damit glücklich face-wink

Gruß
Doskias

Also ich habe mal eine GPO mit den von Dir genannten Einstellungen erstellt. Leider geht es trotzdem nicht.
Member: Doskias
Doskias Sep 01, 2021 at 13:28:31 (UTC)
Goto Top
Also dann mal die Grundsatzfragen, da dazu keine Info von dir kommt:

GPUpdate durchgeführt bzw. Rechner neu gestartet? Was sagt GPResult? Hast du es als Computer oder Benutzerpolicy erstellt?

Gruß
Doskias
Member: doraymefayzo
doraymefayzo Sep 01, 2021 at 13:30:37 (UTC)
Goto Top
Zitat von @Doskias:

Also dann mal die Grundsatzfragen, da dazu keine Info von dir kommt:

GPUpdate durchgeführt bzw. Rechner neu gestartet? Was sagt GPResult? Hast du es als Computer oder Benutzerpolicy erstellt?

Gruß
Doskias

Ja, ein GPUpdate habe ich natürlich durchgeführt. Laut GPResult wurde die GPO auch erfolgreich verarbeitet. Ich habe es als Computerpolicy erstellt und auch korrekt verknüpft.
Member: Dani
Dani Sep 01, 2021 at 15:07:36 (UTC)
Goto Top
Moin,
PrintNightmare - 3 Richtlinien werden benötigt. Funktioniert bei uns wie es soll.


Gruß,
Dani
Member: doraymefayzo
doraymefayzo Sep 02, 2021 at 05:56:43 (UTC)
Goto Top
Zitat von @Dani:

Moin,
PrintNightmare - 3 Richtlinien werden benötigt. Funktioniert bei uns wie es soll.


Gruß,
Dani

Hallo Dani,

vielen Dank für den Tipp.

Das Problem ist, dass ich die dritte Richtline nicht umsetzen kann bzw. darf, weil genau dieser Wert durch eine Änderung einer Unternehmensweiten Richtlinie auf aktiviert gesetzt wird.
Member: Doskias
Doskias Sep 02, 2021 at 07:15:08 (UTC)
Goto Top
Zitat von @doraymefayzo:
Hallo Dani,

vielen Dank für den Tipp.

Das Problem ist, dass ich die dritte Richtline nicht umsetzen kann bzw. darf, weil genau dieser Wert durch eine Änderung einer Unternehmensweiten Richtlinie auf aktiviert gesetzt wird.

Die dritte Richtlinie kannte ich auch noch nicht. Bei mir funktioniert es allerdings auch ohne. Wieso? Weil ich die Installation von Treibern generell (auch vor dem PrintNightmare) schon per GPO geregelt hab. Das war mir gestern allerdings entfallen.

Vorweg: Wir haben ein recht restriktives Sicherheitskonzept, daher habe ich noch einige andere GPOs die Installationen erlauben und/oder verbieten. Vielleicht hilft dir das ja weiter. Bei uns ist zunächst folgende GPO aktiv:

Administrative Vorlage -> System -> Geräteinstallation -> Einschränkung bei der Geräteinstallation

1. Richtlinie: Installation von Geräten verhindern, die nicht in anderen Richtlinie beschrieben sind
2. Administratoren das Außerkraftsetzen der Richtlinie erlauben
3. Installation von Geräten mit Treibern zulassen, die diesen Gerätesetupklassen entsprechen

Dann unter :
Administrative Vorlage -> System -> Treiberinstallation
4. Installation von Treibern für diese Gerätesetupklassen ohne Administratorrechten zulassen

Unter Punkt 3 und 4 sind dann jeweils die Geräte-Klassen-ID der Drucker (zusätzlich zu einigen anderen Geräten) eingetragen.

Zusätzlich zu der gestern schon genannten Point und Print Einstellung dürfen also bei mir User problemlos Druckertreiber installieren, sofern die GUID des Druckers freigegeben ist, allerdings nur wenn der Treiber vom Printserver kommt.

Darüber hinaus (Vorteil von Standardisierung) habe ich genau zwei Druckertypen. Einmal große Etagendrucker und einmal Abteilungsdrucker. Jeder User bekommt bei der Anmeldung per GPO einen Abteilungsdrucker und einen Etagendrucker. Damit sind zumindest alle Druckertreiber erstmal vorhanden. Theoretisch kann dann jeder User sich selbst Drucker hinzufügen, aber in der Praxis sind meine User eher so gestrickt, dass sie mich anrufen und sagen, dass ihnen ein Drucker fehlt und dann kommt der per GPO bei der nächsten Anmeldung.

Probiere mal aus ob du mit der Freigabe der Geräteklassen weiterkommst: Siehe dazu:
https://forsenergy.com/de-de/devmgr/html/2f70806d-2b69-44e8-8c9e-c578a2e ...

Die Möglichkeiten nach https://support.microsoft.com/de-de/topic/kb5005652-verwalten-des-instal ... hast du mit deinen Kollegen schon besprochen?
Und ja da steht, dass das alles nicht so sicher ist wie den Wert auf 1 zu setzen. Aber ihr müsst ja einen Weg finden zu arbeiten.

Gruß
Doskias
GermanQuestionMicrosoft