Med standardsäkerhetsinställningarna för Windows 7 och Windows Server 2008 R2 kan en användare som inte är medlem i den lokala gruppen Administratörer endast installera betrodda skrivardrivrutiner, exempelvis de som levereras tillsammans med Windows eller i drivrutinpaket som har signerats digitalt. Det garanterar att användare inte installerar otestade eller otillförlitliga skrivardrivrutiner eller drivrutiner som har ändrats och innehåller skadlig kod. Det betyder däremot att användare ibland inte kan installera lämplig drivrutin för en delad skrivare, även om drivrutinen har testats och godkänts i miljön.

I följande avsnitt ges information om hur du kan tillåta att en användare som inte är medlem i den lokala gruppen Administratörer ansluter till en utskriftsserver och installerar skrivardrivrutiner som finns på servern:

Installera skrivardrivrutinspaket på utskriftsservern

Skrivardrivrutinspaket är digitalt signerade skrivardrivrutiner som installerar alla komponenter av drivrutinen i drivrutinsarkivet på klientdatorerna (om servern och klientdatorerna kör Windows 7 Windows Server 2008 R2). Genom användning av skrivardrivrutinspaket på en utskriftsserver som kör Windows 7 eller Windows Server 2008 R2 kan användare som inte är medlemmar i den lokala gruppen Administratörer ansluta till utskriftsservern och installera eller ta emot en uppdaterad skrivardrivrutin.

Använd skrivardrivrutinspaket på en utskriftsserver som kör Windows Server 2008 R2 eller Windows 7 genom att hämta och installera lämplig skrivardrivrutinspaket från skrivarens tillverkare.

OBS

Du kan även hämta och installera skrivardrivrutinspaket från en utskriftsserver till klientdatorer som kör Windows Server 2003, Windows XP och Windows 2000. Klientdatorerna kontrollerar däremot inte drivrutinens digitala signatur eller installerar alla komponenter för drivrutinen i drivrutinsarkivet eftersom klientens operativsystem inte stöder dessa funktioner.

Använda en grupprincip för att distribuera skrivaranslutningar till användare eller datorer

Utskriftshantering kan användas med en grupprincip för att automatiskt lägga till skrivaranslutningar till mappen Skrivare, utan att användaren måste ha lokala administratörsprivilegier. Mer information finns i avsnittet Distribuera skrivare med hjälp av grupprincip.

Använda en grupprincip för att ändra säkerhetsinställningar för skrivardrivrutiner

Du kan använda grupprincipsinställningen Begränsningar för funktionen Peka och skriv ut för att kontrollera hur användare kan installera skrivardrivrutiner från en utskriftsserver. Du kan använda denna inställning för att tillåta att användarna ansluter till enbart specifika utskriftsserver som du litar på. Eftersom den här inställningen förhindrar användare från att ansluta till andra utskriftsservrar som möjligen kan innehålla en skadlig eller otestad skrivardrivrutin kan du inaktivera varningsmeddelandet för installation av skrivardrivrutin utan att det påverkar säkerheten.

Gör en noggrann bedömning av användarnas utskriftsbehov innan du begränsar vilka utskriftsservrar som de kan ansluta till. Om användarna då och då behöver ansluta till delade skrivare i ett filialkontor eller i någon annan avdelning ska du se till att inkludera dess utskriftsservrar i listan (om du litar på de skrivardrivrutiner som finns installerade på de servrarna).

Du kan även använda inställningen Begränsningar för funktionen Peka och skriv ut för att helt inaktivera varningsmeddelanden, även om den här inställningen inaktiverar den ökade skrivardrivrutinsinstallationssäkerheten för Windows 7 och Windows Server 2008 R2 för dessa användare.

OBS

I följande procedur antas att du använder den version av konsolen Grupprinciphantering (GPMC) som medföljer i Windows Server 2008 R2. Om du behöver installera GPMC på Windows Server 2008 R2 ska du använda guiden Lägg till funktioner i Serverhanteraren. Om du använder någon annan version av GPMC kan stegen variera något.

Så här ändrar du inställning för Begränsningar för funktionen Peka och skriv ut

  1. Öppna konsolen Grupprinciphantering (GPMC).

  2. I GPMC-konsolträdet går du till den domän eller organisationsenhet (OU) som sparar de användarkonton för vilka du vill ändra säkerhetsinställningarna för skrivardrivrutiner.

  3. Högerklicka på lämplig domän eller organisationsenhet och klicka på Skapa ett grupprincipobjekt i den här domänen och länka det till, skriv in namnet för det nya grupprincipobjektet och klicka sedan på OK.

  4. Högerklicka på det grupprincipobjekt som du skapat och klicka sedan på Redigera.

  5. I trädet för Redigeraren för grupprinciphantering klickar du på Användarkonfiguration, klicka på Principer, klicka på Administrativa mallar, klicka på Kontrollpanelen och klicka sedan på Skrivare.

  6. Högerklicka på Begränsningar för funktionen Peka och skriv ut och klicka sedan på Egenskaper.

Så här tillåter du att användarna ansluter till enbart specifika utskriftsservrar som du litar på

  1. I dialogrutan Begränsningar för funktionen Peka och skriv ut klickar du på Aktiverad.

  2. Markera kryssrutan Användare kan bara peka och skriva ut på följande servrar om den inte redan är markerad.

  3. I textrutan skriver du in de fullt kvalificerade servernamn som du vill tillåta att användarna ansluter till. Avskilj varje namn med ett semikolon.

  4. I rutan Vid installation av drivrutiner för ett nytt meddelande väljer du Visa inte varnings- eller aviseringsmeddelande.

  5. I rutan Vid uppdatering av drivrutiner för en befintlig anslutning väljer du Visa endast varning.

  6. Klicka på OK.

    OBS

    Om du vill inaktivera varningsmeddelanden och aviseringsmeddelanden vid drivrutinsinstallation på datorer som kör Windows 7 och Windows Server 2008 R2 klickar du på Inaktivera i dialogrutan Begränsningar för funktionen Peka och skriv ut och klickar sedan på OK. Den här inställningen inaktiverar den ökade skrivardrivrutinsinstallationssäkerheten för Windows 7 och Windows Server 2008 R2.

Ytterligare överväganden

  • Den här uppgiften kan bara utföras om du har administratörsautentisering.

Ytterligare referenser

Innehåll