Mit den Standardsicherheitseinstellungen für Windows 7 und Windows Server 2008 R2 können Benutzer, die nicht Mitglied der lokalen Gruppe Administratoren sind, nur vertrauenswürdige Druckertreiber installieren, z. B. solche, die mit Windows oder in digital signierten Druckertreiberpaketen bereitgestellt werden. Auf diese Weise wird sichergestellt, dass Benutzer keine nicht getesteten oder unzuverlässigen Druckertreiber oder Treiber installieren, die so geändert wurden, dass sie bösartigen Code (Malware) enthalten. Dies bedeutet jedoch in manchen Fällen, dass Benutzer den richtigen Treiber für einen freigegebenen Drucker selbst dann nicht installieren können, wenn der Treiber getestet und in Ihrer Umgebung genehmigt wurde.
In den folgenden Abschnitten finden Sie Informationen dazu, wie Sie es Benutzern, die nicht Mitglied der lokalen Gruppe Administratoren sind, erlauben können, Verbindungen mit einem Druckerserver herzustellen und vom Server gehostete Druckertreiber zu installieren:
-
Installieren von Druckertreiberpaketen auf dem Druckerserver
-
Bereitstellen von Druckerverbindungen für Benutzer oder Computer über Gruppenrichtlinien
-
Ändern von Sicherheitseinstellungen für Druckertreiber über Gruppenrichtlinien
Installieren von Druckertreiberpaketen auf dem Druckerserver
Druckertreiberpakete sind digital signierte Druckertreiber, mit denen alle Komponenten des Treibers im Treiberspeicher von Clientcomputern installiert werden (wenn der Server und die Clientcomputer unter Windows 7 oder Windows Server 2008 R2 ausgeführt werden). Zudem können Benutzer, die nicht Mitglied der lokalen Gruppe Administratoren sind, bei Verwendung von Druckertreiberpaketen auf einem Druckerserver unter Windows 7 oder Windows Server 2008 R2 Verbindungen mit dem Druckerserver herstellen und aktualisierte Druckertreiber installieren oder empfangen.
Laden Sie zur Verwendung von Druckertreiberpaketen auf einem Druckerserver unter Windows Server 2008 R2 oder Windows 7 die entsprechenden Druckertreiberpakete von der Website des Druckerlieferanten herunter, und installieren Sie diese.
 | Hinweis |
|
Sie können Druckertreiberpakete auch von einem Druckerserver herunterladen und auf Clientcomputern unter Windows Server 2003, Windows XP und Windows 2000 installieren. Auf den Clientcomputern wird dann jedoch nicht die digitale Signatur des Treibers überprüft, und zudem werden nicht alle Treiberkomponenten im Treiberspeicher installiert, da das Clientbetriebssystem diese Features nicht unterstützt. |
Bereitstellen von Druckerverbindungen für Benutzer oder Computer über Gruppenrichtlinien
Die Druckverwaltung kann zusammen mit Gruppenrichtlinien verwendet werden, um dem Ordner Drucker automatisch Druckerverbindungen hinzuzufügen, ohne dass Berechtigungen als lokaler Administrator erforderlich sind. Weitere Informationen (möglicherweise in englischer Sprache) finden Sie unter Bereitstellen von Druckern mithilfe der Gruppenrichtlinie.
Ändern von Sicherheitseinstellungen für Druckertreiber über Gruppenrichtlinien
Mit der Gruppenrichtlinieneinstellung Point-and-Print-Beschränkungen können Sie steuern, wie Benutzer Druckertreiber von Druckerservern installieren können. Mithilfe dieser Einstellung können Sie festlegen, dass Benutzer Verbindungen nur mit bestimmten Druckerservern herstellen können, denen Sie vertrauen. Da mit dieser Einstellung verhindert wird, dass Benutzer Verbindungen mit anderen Druckerservern herstellen, auf denen möglicherweise schädliche oder nicht getestete Druckertreiber gehostet werden, können Sie die Warnmeldungen bei der Druckertreiberinstallation deaktivieren, ohne dass sich dies negativ auf die Sicherheit auswirkt.
Werten Sie sorgfältig die Druckanforderungen der Benutzer aus, bevor Sie die Druckerserver einschränken, mit denen diese Verbindungen herstellen können. Wenn Benutzer gelegentlich Verbindungen mit freigegebenen Druckern in einer Zweigniederlassung oder einer anderen Abteilung herstellen müssen, stellen Sie sicher, dass diese Druckerserver in der Liste aufgeführt sind (sofern Sie den auf den Servern installierten Druckertreibern vertrauen).
Über die Einstellung Point-and-Print-Beschränkungen können Sie Warnungen auch ganz deaktivieren, jedoch wird dadurch für die betreffenden Benutzer die erweiterte Sicherheit von Windows 7 und Windows Server 2008 R2 bei der Druckertreiberinstallation deaktiviert.
| Hinweis |
|
Bei der folgenden Prozedur wird davon ausgegangen, dass Sie die Version der GPMC (Group Policy Management Console, Gruppenrichtlinien-Verwaltungskonsole) verwenden, die über Windows Server 2008 R2 bereitgestellt wird. Zum Installieren der GPMC unter Windows Server 2008 R2 verwenden Sie den Assistenten zum Hinzufügen von Features des Server-Managers. Wenn Sie eine andere Version von GPMC verwenden, können die erforderlichen Schritte von den angegebenen leicht abweichen. |
 | So ändern Sie die Einstellung "Point-and-Print-Beschränkungen" |
Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole (GPMC, Group Policy Management Console).
Wechseln Sie in der GPMC-Konsolenstruktur zu der Domäne oder Organisationseinheit, in der die Benutzerkonten gespeichert werden, für die Sie die Sicherheitseinstellungen für Druckertreiber bearbeiten möchten.
Klicken Sie mit der rechten Maustaste auf die entsprechende Domäne oder Organisationseinheit, klicken Sie auf Gruppenrichtlinienobjekt hier erstellen und verknüpfen, geben Sie einen Namen für das neue Gruppenrichtlinienobjekt ein, und klicken Sie dann auf OK.
Klicken Sie mit der rechten Maustaste auf das erstellte Gruppenrichtlinienobjekt, und klicken Sie dann auf Bearbeiten.
Klicken Sie in der Struktur des Gruppenrichtlinienverwaltungs-Editors auf Benutzerkonfiguration, auf Richtlinien, Administrative Vorlagen, Systemsteuerung und dann auf Drucker.
Klicken Sie mit der rechten Maustaste auf Point-and-Print-Beschränkungen, und klicken Sie dann auf Eigenschaften.
| So erlauben Sie es Benutzern nur, Verbindungen mit bestimmten, vertrauenswürdigen Druckerservern herzustellen |
Klicken Sie im Dialogfeld Point-and-Print-Beschränkungen auf Aktiviert.
Aktivieren Sie das Kontrollkästchen Point-and-Print nur mit folgenden Servern, wenn dieses nicht bereits aktiviert ist.
Geben sie im Textfeld die vollqualifizierten Namen der Server ein, mit denen die Benutzer Verbindungen herstellen können sollen. Grenzen Sie die einzelnen Namen durch Semikolons voneinander ab.
Wählen Sie im Feld Beim Installieren von Treibern für eine neue Verbindung die Option Warnung oder Eingabeaufforderung für erhöhte Rechte nicht anzeigen aus.
Wählen Sie im Feld Beim Aktualisieren von Treibern für eine vorhandene Verbindung die Option Nur Warnung anzeigen aus.
Klicken Sie auf OK.
Hinweis Zum Deaktivieren der Warnmeldungen und Eingabeaufforderungen für erhöhte Rechte bei der Treiberinstallation auf Computern unter Windows 7 und Windows Server 2008 R2 klicken Sie im Dialogfeld Point-and-Print-Beschränkungen auf Deaktiviert und dann auf OK. Durch diese Einstellung wird die erweiterte Sicherheit bei der Druckertreiberinstallation unter Windows 7 und Windows Server 2008 R2 deaktiviert.
Weitere Überlegungen
- Für diese Aufgabe benötigen Sie administrative Anmeldeinformationen.
Weitere Verweise
-
Verwalten von Druckern und Druckerservern
-
Thema zur Druckarchitektur und zur Treiberunterstützung (
https://go.microsoft.com/fwlink/?LinkID=92657 , möglicherweise in englischer Sprache)