印表機無法透過群組原則佈署

 

症狀

原本印表機可透過GPO佈署，但從2021年中開始已無法正常佈署。

發生原因

因微軟"PrintNightmare"漏洞CVE-2021-34527，所以在2021七月的更新之後只有系統管理者能安裝已簽署及未簽署的印表機驅動程式，且下載或更新印表機驅動程式會跳出需使用者確認的警告訊息。

解決方式

1. 以本機管理者身分手動安裝網路印表機，這時會出現需要使用者確認的警告訊息，按同意後可安裝(最安全)
2. 在安裝映像檔中預載印表機驅動(且驅動程式版本要與伺服器佈署版本一致，試過改用較新版會造成無法佈署)，但日後更新驅動時仍會遇到使用者確認警告問題。
3. 透過群組原則停用印表機驅動下載及更新警告訊息。以下二選一，我是選停用。
   1. (電腦設定->系統管理範本->印表機->指向並列印限制->停用)
   2. (電腦設定->系統管理範本->印表機->指向並列印限制->啟用:安全性提示皆選擇"不顯示警告或提高權限提示")

確認用戶端群組原則，電腦設定->本機原則->安全性選項->裝置:防止使用者安裝印表機驅動程式->停用

心得與觀察

如果使用HP Universal Print Driver安裝印表機，那麼只需安裝過一次驅動程式，日後該機使用者可直接新增任何適用HP Universal Print Driver的印表機，不會出現警告訊息。

參考資料

1. KB5005010: Restricting installation of new printer drivers after applying the July 6, 2021 updates

2. Allow Non-administrators to Install Printer Drivers via GPO