Windows 7 および Windows Server 2008 R2 の既定のセキュリティ設定を使用すると、ローカルの Administrators グループのメンバーでないユーザーがインストールできるプリンター ドライバーは、Windows に用意されているドライバーやデジタル署名されたプリンター ドライバー パッケージのドライバーなど、信頼できるプリンター ドライバーだけになります。これにより、ユーザーは、テストされていないプリンター ドライバーや信頼性のないプリンター ドライバー、または変更によって悪意のあるコード (マルウェア) が含まれているドライバーをインストールすることがなくなります。ただしこれは、現在の環境でテストされ承認済みのドライバーであっても、共有プリンター用に適切なドライバーをインストールできない場合があることを意味します。
ここでは、ローカルの Administrators グループのメンバーでないユーザーがプリント サーバーに接続して、そのサーバーでホストされているプリンター ドライバーをインストールできるようにする方法について説明します。
-
プリント サーバーのプリンター ドライバー パッケージをインストールする
-
グループ ポリシーを使用してユーザーまたはコンピューターにプリンター接続を展開する
-
グループ ポリシーを使用してプリンター ドライバーのセキュリティ設定を変更する
プリント サーバーのプリンター ドライバー パッケージをインストールする
プリンター ドライバー パッケージはデジタル署名されたプリンター ドライバーで、ドライバーのすべてのコンポーネントがクライアント コンピューターのドライバー ストアにインストールされます (サーバー コンピューターとクライアント コンピューターで、Windows 7 または Windows Server 2008 R2 が実行されている場合)。また、ローカルの Administrators グループのメンバーでないユーザーは、Windows 7 または Windows Server 2008 R2 が実行されているプリント サーバー上でプリンター ドライバー パッケージを使用することにより、プリント サーバーへ接続したり、更新されたプリンター ドライバーをインストールまたは入手することができます。
プリンター ドライバー パッケージを使用するには、Windows Server 2008 R2 または Windows 7 を実行しているプリント サーバーで、プリンターのベンダーから目的のプリンター ドライバー パッケージをダウンロードしてインストールします。
注 | |
Windows Server 2003、Windows XP、および Windows 2000 を実行しているクライアント コンピューターに、プリント サーバーからプリンター ドライバー パッケージをダウンロードしてインストールすることもできます。ただし、これらのクライアント コンピューターでは、ドライバーのデジタル署名が確認されず、またドライバー ストアにドライバーの一部のコンポーネントがインストールされません。これは、クライアントのオペレーティング システムではサポートされていない機能を持つドライバーがあるためです。 |
グループ ポリシーを使用してユーザーまたはコンピューターにプリンター接続を展開する
印刷の管理をグループ ポリシーと共に使用すると、ユーザーにローカルの管理者特権がなくてもプリンター接続をプリンター フォルダーに自動的に追加できます。詳細については、「グループ ポリシーを使用してプリンターを展開する」を参照してください。
グループ ポリシーを使用してプリンター ドライバーのセキュリティ設定を変更する
ポイントと印刷の制限グループ ポリシー設定を使用すると、プリント サーバーからプリンター ドライバーをインストールする方法を制御できます。この設定を使用して、信頼された特定のプリント サーバーへの接続のみをユーザーに許可できます。この設定によって、悪意のあるプリンター ドライバーやテストされていないプリンター ドライバーをホストしている可能性のある他のプリント サーバーへの接続が防止されるため、セキュリティを損なうことなくプリンター ドライバー インストールの警告メッセージを無効にできます。
ユーザーが接続できるプリント サーバーを制限する前に、ユーザーの印刷ニーズを十分に検討してください。ユーザーが支社や別の部門の共有プリンターにときどき接続する必要がある場合は、それらのプリント サーバーを一覧に含めるようにします (そのサーバーにインストールされているプリンター ドライバーを信頼している場合)。
また、ポイントと印刷の制限設定を使用すると警告メッセージ全体を無効にできますが、それらのユーザーに対する Windows 7 および Windows Server 2008 R2 の強化されたプリンター ドライバー インストールのセキュリティ機能も無効になります。
注 | |
以下の手順は、Windows Server 2008 R2 に付属しているバージョンのグループ ポリシー管理コンソール (GPMC) を使用することを前提としています。Windows Server 2008 R2 の GPMC をインストールするには、サーバー マネージャーの機能の追加ウィザードを使用してください。別のバージョンの GPMC を使用している場合は、手順が少し異なることがあります。 |
ポイントと印刷の制限設定を変更するには |
グループ ポリシー管理コンソール (GPMC) を開きます。
GPMC コンソール ツリーで、プリンター ドライバーのセキュリティ設定を変更するユーザー アカウントが格納されているドメインまたは組織単位 (OU) に移動します。
目的のドメインまたは OU を右クリックし、[このドメインに GPO を作成し、このコンテナーにリンクする] をクリックします。次に、新しい GPO の名前を入力し、[OK] をクリックします。
作成した GPO を右クリックし、[編集] をクリックします。
グループ ポリシー管理エディター ツリーで、[ユーザーの構成] をクリックし、[ポリシー] をクリックします。次に、[管理用テンプレート] をクリックし、[コントロール パネル] をクリックして、[プリンター] をクリックします。
[ポイントと印刷の制限] を右クリックし、[プロパティ] をクリックします。
信頼している特定のプリント サーバーへの接続のみをユーザーに許可するには |
[ポイントと印刷の制限] ダイアログ ボックスで [有効] をクリックします。
[ユーザーが [ポイントと印刷] をできるサーバー] チェック ボックスがオフになっている場合は、オンにします。
テキスト ボックスに、ユーザーに接続を許可するサーバーの完全修飾名を入力します。それぞれの名前をセミコロンで区切ります。
[新しい接続用にドライバーをインストールした場合] ボックスの [警告または昇格時のプロンプトを表示しない] を選択します。
[既存の接続用にドライバーを更新した場合] ボックスの [警告のみを表示する] を選択します。
[OK] をクリックします。
注 Windows 7 および Windows Server 2008 R2 を実行しているコンピューターでドライバー インストールの警告メッセージと昇格時のプロンプトを無効にするには、[ポイントと印刷の制限] ダイアログ ボックスで、[無効] をクリックし、[OK] をクリックします。このように設定すると、Windows 7 および Windows Server 2008 R2 の強化されたプリンター ドライバー インストールのセキュリティ機能も無効になります。
その他の考慮事項
- このタスクを実行するには、管理者資格情報が必要です。
その他の参照情報
-
プリンターとプリント サーバーの管理
-
印刷のアーキテクチャとドライバーのサポートに関するページ (英語の可能性あり) (
https://go.microsoft.com/fwlink/?LinkID=92657 )