none
Aggiornare driver stampanti di rete su client Windows 7 e Windows 10 senza diritti amministrativi.

    Domanda

  • Salve,

    dopo aver aggiornato i driver di una stampante sul nostro print server di Windows Server 2008, sui PC client Windows 7 e Windows 10, viene mostrato l'avviso "Necessario aggiornamento driver" che blocca le operazioni di stampa. E' presente tra le opzioni della stampante il comando "Aggiorna driver" ma esso richiede i diritti amministrativi per essere eseguito.

    Vorremmo che l'aggiornamento dei driver possa avvenire automaticamente anche per gli utenti non amministratori e sul forum abbiamo trovato diversi post che trattano l'argomento.

    In particolare abbiamo provato a configurare una GPO seguendo le indicazioni presenti in questi articoli:

    https://blogs.msdn.microsoft.com/7/2011/07/11/allowing-standard-users-to-install-network-printers-on-windows-7-without-prompting-for-administrative-credentials/
    https://www.experts-exchange.com/articles/18096/Allow-Domain-Clients-to-install-local-Printers-and-Network-Printers-without-Admin-rights-via-Group-Policy.html

    senza ottenere però alcun risultato. Agli utenti non amministratori, appare sempre la finestra di UAC per eseguire l'aggiornamento anche se apparentemente la GPO viene applicata.

    Riuscite ad indicarci la procedura corretta per riuscire a far aggiornare i driver sui client anche agli utenti senza i diritti d'amministratore?

    Grazie.

    lunedì 12 febbraio 2018 11:56

Tutte le risposte

  • la modifica delle policy indicata nei due articoli che hai linkato sei certo che venga applicata ai tuoi clients ?

    Edoardo Benussi
    Microsoft MVP - Cloud and Datacenter Management
    e[dot]benussi[at]outlook[dot]it

    lunedì 12 febbraio 2018 14:31
    Moderatore
  • Direi di sì: tramite RSoP eseguito su una macchina di test, vedo che i parametri impostati nella policy creata allo scopo, sono presenti.

    Grazie.


    • Modificato Elia- lunedì 12 febbraio 2018 17:32
    lunedì 12 febbraio 2018 17:32
  • Puoi indicare le policy che hai settato? Soprattutto come le hai settate?

    Anche se vengono applicate (vedi RSoP) probabilmente non son ben configurate (c'è anche il caso di driver particolari, ma la possibilità è remota)

    Ciao Gas


    Gastone Canali >http://www.armadillo.it


    Se alcuni post rispondono al tuo quesito(non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili. GRAZIE! Ricorda di dare un occhio ai link Click Here andHere

    lunedì 12 febbraio 2018 19:59
    Moderatore
  • Ho eseguito la seguente procedura:

    1. Create and Link a new Group Policy Object (GPO) to the Organisation Unit and call it “Power Users”.
    2. In the New GPO, navigate to: Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment.
    3. Under “Load and Unload Device Drivers” edit the properties.
    4. Tick “Define these policy settings” and add the Printer Users Group via Domain\Group. Also, be sure to add "Administrator" and "Administrators" to the list. This will allow local admins to each PC having full access.
    5. Navigate to: Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options
    6. Under the policy “Devices: Prevent Users from installing printer drivers” define the policy to be “Disabled”.
    7. Navigate to Computer Configuration\Windows Settings\Security Settings\Restricted Policies.
    8. What we need to do here is allow the desired "printer users" to be a member of the “Power Users” group on that local PC. This policy should only apply to a handful of desired workstation machines. Right-Click “Restricted Groups” and click “Add Group” and name it “Power Users”. Make sure it is a group name that does NOT exist in the domain active directory so the policy is not misinterpreted. In “Members of this Group” section, add DOMAIN\GROUP (Printer Users). 
    9. In the “this group is a member of” section, add and type: “Power Users”.

    10.  Navigate to Computer Configuration\Administrative Templates\Printers and modify the policy “Disallow installation of printers using Kernel-mode drivers” to Disabled.

    11.  Navigate to User Configuration\Administrative Templates\Control Panel/Printers and modify the policy “Point and Print Restrictions” to Disabled.

    12.  Close the GPO and view the “scope” tab of the policy in the Group Policy Management Pane. Under Security Filtering add “Printer Users” and “Printer Computers”.

    13.  Once users have been assigned to both security groups and a machine is moved from Active Directory “Computers” into your new Organisation Unit, log into a machine to test the policy.

    Elia

    • Modificato Elia- martedì 13 febbraio 2018 09:30
    martedì 13 febbraio 2018 09:28
  • Io non userei mai la "ricetta" che citavi ( https://www.experts-exchange.com/articles/18096/Allow-Domain-Clients-to-install-local-Printers-and-Network-Printers-without-Admin-rights-via-Group-Policy.html), mi risulta essere eccessiva e poco raccomandabile, soprattutto per le modifiche di security che richiede, le quali andrebbero ad indebolire tutti i client, esponendo l'azienda a rischi inutili .

    Per  due anni ho scritto su Experts-Exchange ( 2007/2008 e sono in classifica al 1750 su 261000 esperti! ), conosco un po' degli esperti che scrivono, ed alcuni sono dei veri fuoriclasse, irraggiungibili, fenomeni, quasi mostruosi (Qlemo/rindi/lee W/sembee/angelIII) ma joensw , se guardi non ha alcuna specializzazione su EE, è lontano pure da me :) vedi https://www.experts-exchange.com/members/canali.html).

    Normalmente le policy per il "point and print", senza che gli utenti siano admin e possano installare delle stampanti di rete sono simili a quelle riportate nei link a seguire:

    https://theitbros.com/allow-non-admins-install-printer-drivers-via-gpo/

    https://blogs.msdn.microsoft.com/7/2011/07/11/allowing-standard-users-to-install-network-printers-on-windows-7-without-prompting-for-administrative-credentials/

    Non vorrei che tu fossi capitato in un caso particolare, l'aggiornamento di un driver preesitente o un kernel driver...

    Per trovare una soluzione è necessario che dia una risposta a  questa domanda: se il pc è senza stampanti e senza il driver in questione, un non admin riesce ad installare la stampante con un semplice doppio click?

    ciao Gas


    Gastone Canali >http://www.armadillo.it


    Se alcuni post rispondono al tuo quesito(non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili. GRAZIE! Ricorda di dare un occhio ai link Click Here andHere

    martedì 13 febbraio 2018 21:31
    Moderatore
  • Ciao Gas, innanzitutto grazie per il continuo supporto.

    In effetti prima della procedura di Experts-Exchange, avevamo provato quella indicata sul blog MSDN, che però non aveva funzionato.

    La prova che mi suggerisci, va fatta su un PC (che non ha mai avuto il driver installato) non collegato al dominio, o su un PC (che non ha mai avuto il driver installato) collegato al dominio in cui viene comunque applicata la policy "point and print"?

    Elia

    P.S. Comunque sì, come dicevo nel primo post, si tratta di un aggiornamento di un driver preesistente. Può dipendere da questo?

    mercoledì 14 febbraio 2018 11:26
  • Prova su PCI in dominio con policy applicate senza driver, biosogna capire se funziona bene il Point and print

    Gastone Canali >http://www.armadillo.it


    Se alcuni post rispondono al tuo quesito(non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili. GRAZIE! Ricorda di dare un occhio ai link Click Here andHere

    mercoledì 14 febbraio 2018 22:24
    Moderatore
  • Ciao,

    ho provato ad installare il driver su un nuovo PC collegato al dominio, in cui tramite GPO sono applicate le regole presenti negli articoli suggeriti:

    se provo ad installare la stampante manualmente, con un semplice doppio click, compare sempre la finestra UAC.

    Elia

    venerdì 16 febbraio 2018 14:39
  • Ciao,

    ho provato ad installare il driver su un nuovo PC collegato al dominio, in cui tramite GPO sono applicate le regole presenti negli articoli suggeriti:

    se provo ad installare la stampante manualmente, con un semplice doppio click, compare sempre la finestra UAC.

    Elia

    E' molto probabile, che tu non abbia settato correttamente le policy, infatti, ne l'installazione, ne l'aggiornamento funzionano.

    Puoi riportare le policy che vengono applicate, la point and print, se corretta dovrebbe assomigliare a questa

    ciao Gas


    Gastone Canali >http://www.armadillo.it


    Se alcuni post rispondono al tuo quesito(non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili. GRAZIE! Ricorda di dare un occhio ai link Click Here andHere

    venerdì 16 febbraio 2018 18:38
    Moderatore
  • Ciao, ho richiesto la verifica dell'account per poter postare immagini. Appena la riceverò, caricherò uno screenshot con le impostazioni della policy applicata.

    Elia

    lunedì 19 febbraio 2018 10:03
  • Ciao, la policy attualmente in uso, dopo vari tentativi, fondamentalmente include le indicazioni presenti nell'articolo di theitbros.com.

    Di seguito uno screenshot della policy:

    Grazie

    Elia

    • Modificato Elia- martedì 20 febbraio 2018 11:38
    martedì 20 febbraio 2018 11:36
  • Farei due prove:

    stampante di rete test con un driver di ultima generazione es un HP universale pcl https://support.hp.com/us-en/drivers/selfservice/UPD/4157320/model/4157320?openCLC=true  scarichi es. upd-pcl6-x64-6.5.0.22695.exe con 7-zip lo spacchetti e lo aggiungi alla stampante di test e provi se la tua policy funziona, installando la printer da un client con utente non admin.

    Se la stampante si installa senza chiedere nulla, è un problema del tuo driver

    Se chiede l'autorizzazione, la policy non è corretta

    Ciao Gas


    Gastone Canali >http://www.armadillo.it


    Se alcuni post rispondono al tuo quesito(non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili. GRAZIE! Ricorda di dare un occhio ai link Click Here andHere

    martedì 20 febbraio 2018 12:22
    Moderatore
  • Ho provato ad installare i driver HP universali su PC con policy applicata ed utente non admin: viene richiesto l'inserimento delle credenziali amministrative.

    Da quello che si vede nello screenshot che ho postato in precedenza, secondo te c'è qualche voce da modificare?

    Grazie

    Elia

    martedì 20 febbraio 2018 17:40
  • Riprendi l'immagine che ho postato, dovrebbe bastare mettere il/i nome/i dei server che hanno le stampanti e le atre opzioni evidenziate in grassetto:

    Criterio COMPUTER LOCALE
    Impostazione Commento
    Estendi connessione di stampa tramite Web per la ricerca in Windows Update Abilitato
    Restrizioni di selezione e stampa Abilitato
    Gli utenti possono selezionare e stampare soltanto su questi server: Abilitato
    Immettere nomi completi di server separati dal punto e virgola printerdrv01.mydom.local;printersrv02
    Gli utenti possono selezionare e stampare soltanto sui computer della foresta Disabilitato
    Richieste di sicurezza:
    Quando si installano i driver per una nuova connessione: Non mostrare avvisi o richieste di elevazione dei privilegi
    Quando si aggiornano i driver per una connessione esistente: Non mostrare avvisi o richieste di elevazione dei privilegi
    Questa impostazione si applica a:



    Gastone Canali >http://www.armadillo.it


    Se alcuni post rispondono al tuo quesito(non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili. GRAZIE! Ricorda di dare un occhio ai link Click Here andHere





    mercoledì 21 febbraio 2018 19:53
    Moderatore
  • Ciao, dopo alcuni giorni in cui non ho potuto dedicarmi al problema in oggetto, oggi volevo riprendere in mano la questione, ma con mio stupore ho notato che su molti client, il driver si è aggiornato "da solo" mentre su altri client continuano ad essere richieste le credenziali amministrative, per l'aggiornamento dello stesso driver.

    Ovviamente, in entrambi i casi, solo utenti non amministratori hanno effettuato l'accesso alle macchine.

    Ho comunque modificato la policy (che è sempre stata eseguita solo su alcuni PC di prova, mai su tutte le macchine) seguendo le indicazioni dell'ultimo post (cosa peraltro già provata prima ancora di aprire la richiesta sul forum) e sui PC dove il driver non s'aggiorna, il problema permane.

    Perciò, per ricapitolare, su alcuni PC il driver è stato aggiornato automaticamente senza effettuare nulla, su altri non si riesce ad aggiornare, senza diritti amministrativi, nemmeno applicando la policy consigliata.

    Elia

    martedì 27 febbraio 2018 17:20
  • La situazione diventa confusa... alcuni si, altri no, policy si, policy no...Il driver hp (di test) adesso si installa? se non si installa bisogna capire ?

    I pc dove vengono richieste le credenziali, cosa hanno diverso? 

    Sono omogenei computer delle prove, non è che ognuno a qualche problema??

    Il test lo farei su di un singolo pc quando driver e policy funzioneranno bene, replichi/applichi la gpo ad altri e se non va, indaghi sui problemi particolari dei pc!

    ciao Gas


    Gastone Canali >http://www.armadillo.it


    Se alcuni post rispondono al tuo quesito(non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili. GRAZIE! Ricorda di dare un occhio ai link Click Here andHere

    martedì 27 febbraio 2018 18:51
    Moderatore
  • Sì, è molto confusa. Su alcuni PC si è aggiornato, su altri no.

    I PC a livello hardware possono essere diversi, ma come sistema operativo hanno tutti Windows 7 Pro e tutti gli utenti sono dello stesso tipo con gli stessi diritti.

    L'unica certezza è che la policy, che comunque ripeto, è sempre stata eseguita solo su alcuni PC di prova, mai su tutte le macchine, non ha mai funzionato.

    Ora verificheremo un attimo come procedere successivamente. 

    Grazie comunque per il supporto!

    Elia

    mercoledì 28 febbraio 2018 17:15