บรรจวบ เข้าสู่ระบบ
Score:1
avatar Server

ไม่สามารถปรับใช้เครื่องพิมพ์ผ่านการกำหนดค่าผู้ใช้ GPO หลังจากติดตั้งการอัปเดต Windows KB5005033 (ปัญหา "คุณเชื่อถือเครื่องพิมพ์นี้หรือไม่")

ธง si
crysman

ล่าสุด (2021-08-10) KB5005033 การอัปเดต Windows นำมาซึ่งความเป็นจริง ปัญหานี้ กลับสู่ชีวิตโดย บังคับผู้ดูแลระบบเท่านั้น เพื่อติดตั้งไดรเวอร์เครื่องพิมพ์ (และไม่อนุญาตให้เผยแพร่เครื่องพิมพ์ผ่าน การกำหนดค่าผู้ใช้ จีพีโอ), อ้าง:

...อัปเดตข้อกำหนดสิทธิ์การติดตั้งดีฟอลต์เพื่อให้คุณ ต้องเป็นผู้ดูแลระบบเพื่อติดตั้งไดรเวอร์เมื่อใช้ Point และ พิมพ์...

ทันใดนั้น ผู้ใช้ของเราได้รับป๊อปอัปเหล่านี้ (เฉพาะในคอมพิวเตอร์ที่ติดตั้งการอัปเดต KB5005033):

คุณเชื่อถือเครื่องพิมพ์นี้หรือไม่ ปัญหา

เพื่อให้ (การปรับใช้เครื่องพิมพ์ที่ใช้ร่วมกันในโดเมน Windows ผ่าน User Configuration GPO) ทำงานอีกครั้ง...

มีข้อกำหนดเบื้องต้นบางประการก่อนใน การกำหนดค่าคอมพิวเตอร์ - นโยบาย - เทมเพลตการดูแลระบบ - เครื่องพิมพ์ (เราเคยเปิดใช้งานเหล่านี้เมื่อนานมาแล้ว):

  1. ข้อ จำกัด ของจุดและการพิมพ์:
  • ต้องเป็น เปิดใช้งาน
  • ไม่แสดงคำเตือนหรือแจ้งระดับความสูง จะต้องตั้งค่าสำหรับทั้งสอง เมื่อติดตั้งไดรเวอร์สำหรับการเชื่อมต่อใหม่ และ เมื่ออัปเดตไดรเวอร์สำหรับการเชื่อมต่อที่มีอยู่. เดอะ ป้อนชื่อเซิร์ฟเวอร์แบบเต็มโดยคั่นด้วยเครื่องหมายอัฒภาค จะต้องกรอกด้วยเนมเซิร์ฟเวอร์ที่เหมาะสม (เช่น myPrintserver.mydomain.com;myOtherprintServer.mydomain.com)
  1. Package Point and print - เซิร์ฟเวอร์ที่ได้รับอนุมัติ:
  • เป็น เปิดใช้งาน
  • มีรายชื่อเซิร์ฟเวอร์เดียวกันกับด้านบน

ข้อกำหนดเบื้องต้นของ GPO

วิธีแก้ปัญหาที่เกิดขึ้นจริง* สำหรับ KB5005033 ปัญหา:

  1. HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint\RestrictDriverInstallationToAdministrators ถูกตั้งค่าเป็น 0 ในเครื่องที่ได้รับผลกระทบ - ทำได้ง่ายๆ ผ่าน GPO เช่นกัน:

วิธีแก้ปัญหาเพื่อหลีกเลี่ยง KB5005033

* นี่เป็นวิธีแก้ปัญหา ไม่ใช่การแก้ไข เพราะมัน ทำให้เซิร์ฟเวอร์เครื่องพิมพ์ของคุณเสี่ยงอีกครั้ง (ซึ่งเป็นสิ่งที่ KB5005033 พยายาม "แก้ไข" ในตอนแรก) - แต่เราจำเป็นต้องพิมพ์ใช่ไหม... ?

ใครรู้วิธีแก้ไขปัญหานี้อย่างถูกต้อง? (โดยไม่ทำให้เครื่องพิมพ์มีช่องโหว่)

ขอบคุณมาก.

ประเด็นที่เกี่ยวข้อง:

14419
2 + 0
Score:2
Swisstone avatar Server
ธง cn
Swisstone

ไมโครซอฟท์ ที่ตีพิมพ์ ข้อมูลสรุปของโซลูชันต่างๆ ที่เราสามารถใช้ในการจัดการลักษณะการทำงานใหม่

โดยเฉพาะ:

ติดตั้งไดรเวอร์การพิมพ์เมื่อมีการบังคับใช้การตั้งค่าเริ่มต้นใหม่

หากคุณตั้งค่า RestrictDriverInstallationToAdministrators เป็นไม่ได้กำหนดไว้ หรือเป็น 1 ขึ้นอยู่กับสภาพแวดล้อมของคุณ ผู้ใช้ต้องใช้หนึ่งในนั้น วิธีการติดตั้งเครื่องพิมพ์ต่อไปนี้:

  • ระบุชื่อผู้ใช้และรหัสผ่านของผู้ดูแลระบบเมื่อได้รับแจ้งให้ใส่ข้อมูลประจำตัวเมื่อพยายามติดตั้งไดรเวอร์เครื่องพิมพ์

  • รวมไดรเวอร์เครื่องพิมพ์ที่จำเป็นในอิมเมจ OS

  • ใช้ Microsoft System Center, Microsoft Endpoint Configuration Manager หรือเครื่องมือที่เทียบเท่าเพื่อติดตั้งไดรเวอร์เครื่องพิมพ์จากระยะไกล

  • ตั้งค่า RestrictDriverInstallationToAdministrators เป็น 0 ชั่วคราวเพื่อติดตั้งไดรเวอร์เครื่องพิมพ์

[...]
สิ่งสำคัญ ไม่มีการรวมการบรรเทาที่เทียบเท่ากับการตั้งค่า RestrictDriverInstallationToAdministrators เป็น 1
[...]

ขอแนะนำให้คุณปรับใช้ไดรเวอร์เครื่องพิมพ์กับคอมพิวเตอร์ของคุณ จากนั้นให้ลบนโยบาย Point and Print Group Policies และ Package Point and Print Group Policies ที่ปรับใช้ทั้งหมดออก เนื่องจากไม่จำเป็นอีกต่อไป และอย่าตั้งค่า จำกัดการติดตั้งไดรเวอร์เป็นผู้ดูแลระบบ ค่ารีจิสตรีเพราะจะทำให้เกิดช่องโหว่กับไคลเอนต์/เซิร์ฟเวอร์ของคุณ

อย่าลืมว่าอุปกรณ์ Windows แต่ละเครื่องที่เปิดใช้งาน Print Spooler มีความเสี่ยงหากคุณตั้งค่า จำกัดการติดตั้งไดรเวอร์เป็นผู้ดูแลระบบ ค่ารีจิสตรีเป็น 0ซึ่งไม่ได้เกี่ยวกับเซิร์ฟเวอร์การพิมพ์เท่านั้น คอมพิวเตอร์ไคลเอ็นต์และเซิร์ฟเวอร์ Windows อื่นๆ ก็ได้รับผลกระทบเช่นกัน!

โปรดทราบว่ามีช่องโหว่อื่นใน Print Spooler ในขณะนี้ โปรแกรมแก้ไขยังอยู่ระหว่างดำเนินการ: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36958

การปิดใช้งาน Print Spooler หากเป็นไปได้เป็นกฎง่ายๆ...

0 + 6
si flag
crysman
ขอขอบคุณสำหรับข้อมูลที่ให้ไว้ เรากำลังยกเลิกการปรับใช้เครื่องพิมพ์ร่วมกันผ่านการกำหนดค่าผู้ใช้ และย้ายไปยังการกระจายเครื่องพิมพ์โดยตรงผ่านการกำหนดค่าคอมพิวเตอร์ (ดังนั้นไฟล์เซิร์ฟเวอร์จึงได้รับการปกป้อง)บริการตัวจัดคิวงานพิมพ์ที่ปิดใช้งานบนเซิร์ฟเวอร์ไฟล์เป็นเรื่องที่เจ็บปวดมาก แต่ก็ต้องทำได้ มีคำถามหนึ่งข้อ มีใครรู้บ้างว่าจริงๆแล้วมันทำอะไรในระบบเมื่อยืนยันป๊อปอัปด้วยข้อมูลประจำตัวของผู้ดูแลระบบ ไม่ใช่แค่การแก้ไขรีจิสทรีเดียวกันใช่ไหม (ฉันยังไม่ได้ทดสอบด้วยวิธีนี้)
0
ตอบกลับ
si flag
crysman
และคำถามที่สองคือ: เหตุใดแฮ็ค Microsoft จึงบังคับสิ่งนี้กับเครื่องพิมพ์และไดรเวอร์ที่ติดตั้งบนเครื่องแล้ว ฉันจะเข้าใจในกรณีที่พยายามเพิ่มเครื่องพิมพ์ใหม่ แต่เครื่องพิมพ์ที่มีอยู่แล้ว... ฉันไม่เห็นความหมายในเรื่องนี้... มีใครทำบ้าง
0
ตอบกลับ
Swisstone avatar
cn flag
Swisstone
@crysman คลิกที่ปุ่ม 'ติดตั้งไดรเวอร์' และระบุข้อมูลประจำตัวของผู้ดูแลระบบเพื่อติดตั้งไดรเวอร์เครื่องพิมพ์ จะไม่แก้ไขค่ารีจิสทรี: คุณจะต้องระบุข้อมูลประจำตัวของผู้ดูแลระบบอีกครั้งเมื่อติดตั้งไดรเวอร์เครื่องพิมพ์อื่น เกี่ยวกับไดรเวอร์ที่ติดตั้งแล้ว: ลักษณะการทำงานไม่สอดคล้องกัน ดูเหมือนว่าขึ้นอยู่กับไดรเวอร์เครื่องพิมพ์: บางตัวจะไม่ถูกตรวจพบว่าเป็นไดรเวอร์ใหม่และจะทำงานต่อไปโดยไม่ถามอะไร
0
ตอบกลับ
si flag
crysman
เกี่ยวกับ _disable Print Spooler_ "โซลูชัน" ทุกที่ - ถ้าฉันทำไม่เพียง แต่บนเซิร์ฟเวอร์ แต่บนไคลเอนต์ด้วย ... ผู้คนจะพิมพ์อย่างไร นี่เหมือนกับการพูดว่า "เพื่อความปลอดภัยบนท้องถนน หยุดใช้มันซะ" - มันไม่สมจริงเลย...
0
ตอบกลับ
si flag
crysman
ดูเหมือนว่าปัญหาจะขึ้นอยู่กับว่าเป็นไดรเวอร์เครื่องพิมพ์ Type-3 หรือ Type-4 ซึ่งยังไม่แน่ใจ จำเป็นต้องทดสอบเพิ่มเติม สำหรับผู้ที่ออกจาก _User Configuration_ เหมือนที่เราทำและย้ายไปยังการปรับใช้เครื่องพิมพ์ _Computer Configuration_ ตรวจสอบให้แน่ใจว่าคุณมีไดรเวอร์ Type-3 เมื่อใช้การปรับใช้เครื่องพิมพ์ TCP/IP เนื่องจาก Type-4 ไม่ได้รับการสนับสนุน https://www.thewindowsclub com/unknown-printer-driver-error-0x80070705
0
ตอบกลับ
si flag
crysman
ฉันได้ทำการทดสอบและตอนนี้ดูเหมือนจะชัดเจนแล้ว... ดูที่นี่ https://serverfault.com/a/1076552/393046
0
ตอบกลับ
Score:1
avatar Server
ธง si
crysman

ฉันพบวิธีแก้ปัญหาที่เป็นไปได้สองวิธี ทั้งสองวิธีไม่กระตุ้นการแจ้งเตือนสิทธิ์ UAC/ผู้ดูแลระบบ:

  1. เปลี่ยนเป็น การกำหนดค่าคอมพิวเตอร์ ปรับใช้แทน (CC -> Pr -> แผงควบคุม -> เครื่องพิมพ์ -> ใหม่ -> TCP/IP) โปรดทราบว่า ไดรเวอร์เครื่องพิมพ์ ประเภทที่ 3 ต้องระบุ บนเซิร์ฟเวอร์เครื่องพิมพ์เพื่อทำงาน เซิร์ฟเวอร์เครื่องพิมพ์ใช้เพื่อปรับใช้เครื่องพิมพ์เท่านั้น หลังจากนั้น เครื่องที่ได้รับผลกระทบจะสามารถพิมพ์โดยอิสระบนเซิร์ฟเวอร์เครื่องพิมพ์ (เช่น เมื่อปิดเครื่องหรือไม่พร้อมใช้งาน)

  2. ติดตั้งเครื่องพิมพ์อีกครั้งบนเซิร์ฟเวอร์เครื่องพิมพ์ กับ พนักงานขับรถประเภทที่ 4 และดำเนินการต่อโดยใช้การกำหนดค่าผู้ใช้ การปรับใช้ (หากมีไดรเวอร์ Type 4) ฉันใช้ printmanagement.msc คอนโซล ฉันทำได้อย่างไร ก่อนอื่นให้ลบไดรเวอร์เก่าทั้งหมดออกจากเครื่องพิมพ์ดังนี้: ป้อนคำอธิบายรูปภาพที่นี่

จากนั้นเสียบปลั๊กเครื่องพิมพ์โดยตรง (ไม่ใช่ผ่านกล่องเซิร์ฟเวอร์เครื่องพิมพ์ Repotec TCP/IP) ผ่าน USB และให้ MS Windows ติดตั้งไดรเวอร์เอง - ติดตั้งไดรเวอร์ "Class" ประเภทที่ 4:

ป้อนคำอธิบายรูปภาพที่นี่

สิ่งสำคัญ! แฮ็กรีจิสทรีเช่น จำกัดการติดตั้งไดรเวอร์เป็นผู้ดูแลระบบ ไม่จำเป็นเช่นเดียวกับ นโยบายกลุ่มชี้และพิมพ์ และ นโยบายกลุ่มจุดบรรจุภัณฑ์และสิ่งพิมพ์ - ไม่จำเป็นเช่นกัน หากคุณเคยสมัคร ให้ทำตาม คู่มือการลดผลกระทบอย่างเป็นทางการของ Microsoft. นอกจากนี้ หากคุณได้ลบการอัปเดต KB5005033 เพื่อเป็นวิธีแก้ปัญหา ติดตั้งและรับการป้องกัน

ขอให้โชคดี!

0 + 0
ธงชาติไทย
Kulap
คำถามนี้เป็นภาษาอื่นๆ:

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา