控制打印机驱动程序安装的安全性

打印机驱动程序包是已数字签名的打印机驱动程序，该程序包将驱动程序的所有组件安装到客户端计算机的驱动程序存储区（前提是服务器和客户端计算机都运行 Windows 7、Windows Server 2008 R2）。此外，如果在运行 Windows 7 或 Windows Server 2008 R2 的打印服务器上使用打印机驱动程序包，那么非本地管理员组成员的用户也可以连接到该打印服务器并安装或接收更新的打印机驱动程序。

若要使用打印机驱动程序包，请在运行 Windows Server 2008 R2 或 Windows 7 的打印服务器上，下载并安装打印机供应商提供的适合的打印机驱动程序包。

	注意
	还可以从打印服务器下载打印机驱动程序包并安装到运行 Windows Server 2003、Windows XP 和 Windows 2000 的客户端计算机。但是，客户端计算机不会检查驱动程序的数字签名，也不会将驱动程序的全部组件安装到驱动程序存储区，因为客户端操作系统不支持这些功能。

可以结合使用打印管理和组策略来自动将打印机连接添加到 Printers 文件夹，而不要求用户具有本地 Administrator 权限。有关详细信息，请参阅使用组策略部署打印机。

可以使用“指向和打印限制”组策略设置来控制用户从打印服务器安装打印机驱动程序的方式。可以使用此设置允许用户只连接到您信任的特定打印服务器。由于此设置可以防止用户连接到可能包含恶意的或未经测试的打印机驱动程序的其他打印服务器，从而您可以禁用打印机驱动程序安装警告消息，而不会对安全产生负面影响。

在限制用户可以连接到哪些打印服务器之前，应认真评估用户的打印需求。如果用户有时需要连接到分支机构或另一个部门中的共享打印机，请确保列表中包含相应的打印机服务器（前提是信任服务器上安装的该打印机驱动程序）。

还可以使用“指向和打印限制”设置完全禁用警告提示，当然此设置将禁用这些用户的 Windows 7 和 Windows Server 2008 R2 中已增强的打印机驱动程序安装的安全性。

	注意
	以下过程假定您使用的是 Windows Server 2008 R2 附带的组策略管理控制台 (GPMC) 版本。若要在 Windows Server 2008 R2 上安装 GPMC，请使用服务器管理器的“添加功能向导”。如果使用的是其他版本的 GPMC，步骤可能会略有不同。

若要修改“指向和打印限制”设置，请执行下列操作：

允许用户只连接到您信任的特定打印服务器的步骤