9
PrintNightmare - Installation Netzwerkdrucker - Whitelist
Hallo!
Durch die PrintNightmare-Geschichte wurde in unserem Unternehmen eine GPO angepasst, so dass man als normaler User keine Netzwerkdrucker mehr hinzufügen kann, bei der eine Treiberinstallation notwendig ist.
Es wurde der Registry-Wert RestrictDriverInstallationToAdministrators auf 1 gesetzt.
Da ich in Kürze einige Drucker auf unseren Servern hinzufügen muss, sehe ich die Gefahr, dass ich mich bei x-Usern als Admin aufschalten muss um die Treiberinstallation durchzuführen.
Gibt es eine Möglichkeit Treiber, Drucker, Server auf eine Art Whitelist zu setzen, so dass die User die Netzwerkdrucker wieder selbst hinzufügen können?
Oder würde das der o.g. Registry-Eintrag sowieso verhindern?
Ich freue mich über Eure Vorschläge/Antworten.
Durch die PrintNightmare-Geschichte wurde in unserem Unternehmen eine GPO angepasst, so dass man als normaler User keine Netzwerkdrucker mehr hinzufügen kann, bei der eine Treiberinstallation notwendig ist.
Es wurde der Registry-Wert RestrictDriverInstallationToAdministrators auf 1 gesetzt.
Da ich in Kürze einige Drucker auf unseren Servern hinzufügen muss, sehe ich die Gefahr, dass ich mich bei x-Usern als Admin aufschalten muss um die Treiberinstallation durchzuführen.
Gibt es eine Möglichkeit Treiber, Drucker, Server auf eine Art Whitelist zu setzen, so dass die User die Netzwerkdrucker wieder selbst hinzufügen können?
Oder würde das der o.g. Registry-Eintrag sowieso verhindern?
Ich freue mich über Eure Vorschläge/Antworten.
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1216401659
Url: https://administrator.de/forum/printnightmare-installation-netzwerkdrucker-whitelist-1216401659.html
Ausgedruckt am: 12.04.2025 um 15:04 Uhr
9 Kommentare
Neuester Kommentar
Die konkrete Frage kann ich dir so nicht beantworten, aber vll. hilft folgendes:
Wenn der Treiber schon auf der Maschine ist, muss der User diese nicht selbst erneut installieren.
Soll heißen: man könnte einfach alle nötigen Treiber (universal Treiber z.B.) per MSI auf alle Geräte via GPO/MECM/Skript als Admin installieren, dann muss beim Drucker hinzufügen nichts installiert werden.
Wenn du also weißt, mit welchen Treibern du deine Drucker ausrollen wirst, kannst du die Treiberinstallation schon vorher vornehmen.
Wenn der Treiber schon auf der Maschine ist, muss der User diese nicht selbst erneut installieren.
Soll heißen: man könnte einfach alle nötigen Treiber (universal Treiber z.B.) per MSI auf alle Geräte via GPO/MECM/Skript als Admin installieren, dann muss beim Drucker hinzufügen nichts installiert werden.
Wenn du also weißt, mit welchen Treibern du deine Drucker ausrollen wirst, kannst du die Treiberinstallation schon vorher vornehmen.
Zitat von @Drohnald:
Die konkrete Frage kann ich dir so nicht beantworten, aber vll. hilft folgendes:
Wenn der Treiber schon auf der Maschine ist, muss der User diese nicht selbst erneut installieren.
Soll heißen: man könnte einfach alle nötigen Treiber (universal Treiber z.B.) per MSI auf alle Geräte via GPO/MECM/Skript als Admin installieren, dann muss beim Drucker hinzufügen nichts installiert werden.
Wenn du also weißt, mit welchen Treibern du deine Drucker ausrollen wirst, kannst du die Treiberinstallation schon vorher vornehmen.
Die konkrete Frage kann ich dir so nicht beantworten, aber vll. hilft folgendes:
Wenn der Treiber schon auf der Maschine ist, muss der User diese nicht selbst erneut installieren.
Soll heißen: man könnte einfach alle nötigen Treiber (universal Treiber z.B.) per MSI auf alle Geräte via GPO/MECM/Skript als Admin installieren, dann muss beim Drucker hinzufügen nichts installiert werden.
Wenn du also weißt, mit welchen Treibern du deine Drucker ausrollen wirst, kannst du die Treiberinstallation schon vorher vornehmen.
Das habe ich mir auch schon gedacht. Allerdings wird es hier nicht gerne gesehen, wenn ich an GPO rumfummel oder welche erstelle.
Ja die Möglichkeit gibt es per GPO und findest du unter administrtiven Vorlagen im Bereich Drucker. Dort gibt einen Schlüssel Point-and-Print-Einschränkungen.
Dort gibt es dann:
Benutzer können Point-and-Print nur mit folgenden Servern verwenden: Aktiviert
Vollqualifizierte Servernamen eingeben (durch Semikolons getrennt) [FQDN deines Printserver]
Effekt: User können zwar jeden Drucker installieren den sie im Netzwerk finden, aber nur mit den Treibern, die der Printserver zur Verfügung stellt.
Ich hab das schon seit Jahren so und bin damit glücklich
Gruß
Doskias
Dort gibt es dann:
Benutzer können Point-and-Print nur mit folgenden Servern verwenden: Aktiviert
Vollqualifizierte Servernamen eingeben (durch Semikolons getrennt) [FQDN deines Printserver]
Effekt: User können zwar jeden Drucker installieren den sie im Netzwerk finden, aber nur mit den Treibern, die der Printserver zur Verfügung stellt.
Ich hab das schon seit Jahren so und bin damit glücklich
Gruß
Doskias
Zitat von @Doskias:
Ja die Möglichkeit gibt es per GPO und findest du unter administrtiven Vorlagen im Bereich Drucker. Dort gibt einen Schlüssel Point-and-Print-Einschränkungen.
Dort gibt es dann:
Benutzer können Point-and-Print nur mit folgenden Servern verwenden: Aktiviert
Vollqualifizierte Servernamen eingeben (durch Semikolons getrennt) [FQDN deines Printserver]
Effekt: User können zwar jeden Drucker installieren den sie im Netzwerk finden, aber nur mit den Treibern, die der Printserver zur Verfügung stellt.
Ich hab das schon seit Jahren so und bin damit glücklich
Gruß
Doskias
Ja die Möglichkeit gibt es per GPO und findest du unter administrtiven Vorlagen im Bereich Drucker. Dort gibt einen Schlüssel Point-and-Print-Einschränkungen.
Dort gibt es dann:
Benutzer können Point-and-Print nur mit folgenden Servern verwenden: Aktiviert
Vollqualifizierte Servernamen eingeben (durch Semikolons getrennt) [FQDN deines Printserver]
Effekt: User können zwar jeden Drucker installieren den sie im Netzwerk finden, aber nur mit den Treibern, die der Printserver zur Verfügung stellt.
Ich hab das schon seit Jahren so und bin damit glücklich
Gruß
Doskias
Also ich habe mal eine GPO mit den von Dir genannten Einstellungen erstellt. Leider geht es trotzdem nicht.
Also dann mal die Grundsatzfragen, da dazu keine Info von dir kommt:
GPUpdate durchgeführt bzw. Rechner neu gestartet? Was sagt GPResult? Hast du es als Computer oder Benutzerpolicy erstellt?
Gruß
Doskias
GPUpdate durchgeführt bzw. Rechner neu gestartet? Was sagt GPResult? Hast du es als Computer oder Benutzerpolicy erstellt?
Gruß
Doskias
Zitat von @Doskias:
Also dann mal die Grundsatzfragen, da dazu keine Info von dir kommt:
GPUpdate durchgeführt bzw. Rechner neu gestartet? Was sagt GPResult? Hast du es als Computer oder Benutzerpolicy erstellt?
Gruß
Doskias
Also dann mal die Grundsatzfragen, da dazu keine Info von dir kommt:
GPUpdate durchgeführt bzw. Rechner neu gestartet? Was sagt GPResult? Hast du es als Computer oder Benutzerpolicy erstellt?
Gruß
Doskias
Ja, ein GPUpdate habe ich natürlich durchgeführt. Laut GPResult wurde die GPO auch erfolgreich verarbeitet. Ich habe es als Computerpolicy erstellt und auch korrekt verknüpft.
Zitat von @Dani:
Moin,
PrintNightmare - 3 Richtlinien werden benötigt. Funktioniert bei uns wie es soll.
Gruß,
Dani
Moin,
PrintNightmare - 3 Richtlinien werden benötigt. Funktioniert bei uns wie es soll.
Gruß,
Dani
Hallo Dani,
vielen Dank für den Tipp.
Das Problem ist, dass ich die dritte Richtline nicht umsetzen kann bzw. darf, weil genau dieser Wert durch eine Änderung einer Unternehmensweiten Richtlinie auf aktiviert gesetzt wird.
Zitat von @doraymefayzo:
Hallo Dani,
vielen Dank für den Tipp.
Das Problem ist, dass ich die dritte Richtline nicht umsetzen kann bzw. darf, weil genau dieser Wert durch eine Änderung einer Unternehmensweiten Richtlinie auf aktiviert gesetzt wird.
Hallo Dani,
vielen Dank für den Tipp.
Das Problem ist, dass ich die dritte Richtline nicht umsetzen kann bzw. darf, weil genau dieser Wert durch eine Änderung einer Unternehmensweiten Richtlinie auf aktiviert gesetzt wird.
Die dritte Richtlinie kannte ich auch noch nicht. Bei mir funktioniert es allerdings auch ohne. Wieso? Weil ich die Installation von Treibern generell (auch vor dem PrintNightmare) schon per GPO geregelt hab. Das war mir gestern allerdings entfallen.
Vorweg: Wir haben ein recht restriktives Sicherheitskonzept, daher habe ich noch einige andere GPOs die Installationen erlauben und/oder verbieten. Vielleicht hilft dir das ja weiter. Bei uns ist zunächst folgende GPO aktiv:
Administrative Vorlage -> System -> Geräteinstallation -> Einschränkung bei der Geräteinstallation
1. Richtlinie: Installation von Geräten verhindern, die nicht in anderen Richtlinie beschrieben sind
2. Administratoren das Außerkraftsetzen der Richtlinie erlauben
3. Installation von Geräten mit Treibern zulassen, die diesen Gerätesetupklassen entsprechen
Dann unter :
Administrative Vorlage -> System -> Treiberinstallation
4. Installation von Treibern für diese Gerätesetupklassen ohne Administratorrechten zulassen
Unter Punkt 3 und 4 sind dann jeweils die Geräte-Klassen-ID der Drucker (zusätzlich zu einigen anderen Geräten) eingetragen.
Zusätzlich zu der gestern schon genannten Point und Print Einstellung dürfen also bei mir User problemlos Druckertreiber installieren, sofern die GUID des Druckers freigegeben ist, allerdings nur wenn der Treiber vom Printserver kommt.
Darüber hinaus (Vorteil von Standardisierung) habe ich genau zwei Druckertypen. Einmal große Etagendrucker und einmal Abteilungsdrucker. Jeder User bekommt bei der Anmeldung per GPO einen Abteilungsdrucker und einen Etagendrucker. Damit sind zumindest alle Druckertreiber erstmal vorhanden. Theoretisch kann dann jeder User sich selbst Drucker hinzufügen, aber in der Praxis sind meine User eher so gestrickt, dass sie mich anrufen und sagen, dass ihnen ein Drucker fehlt und dann kommt der per GPO bei der nächsten Anmeldung.
Probiere mal aus ob du mit der Freigabe der Geräteklassen weiterkommst: Siehe dazu:
https://forsenergy.com/de-de/devmgr/html/2f70806d-2b69-44e8-8c9e-c578a2e ...
Die Möglichkeiten nach https://support.microsoft.com/de-de/topic/kb5005652-verwalten-des-instal ... hast du mit deinen Kollegen schon besprochen?
Und ja da steht, dass das alles nicht so sicher ist wie den Wert auf 1 zu setzen. Aber ihr müsst ja einen Weg finden zu arbeiten.
Gruß
Doskias
