none
После обновления не мапятся принтеры через GPO RRS feed

  • Вопрос

  • Доброго дня коллеги!
    После установки свежих обнов на Windows Server 2019 (терминальный сервер) не прилетают принтеры через GPO пользователям с обычными правами. Если на этот сервер я захожу с админ правами под своей админской учеткой, то все принтеры по GPO нормально прилетают в сеанс. Я тут поднял новый терминальный сервак из-за проблем с таким же другим и уже хотел было пускать на него пользаков, но вот столкнулся с этим. 100% виновато какое-то обновление, т.к. пару недель назад, на серваке который мы сейчас выводим из эксплуатации (с ним проблемы и он тоже 2019 Server RDS), на него прилетело какое-то обновление. И при печати особенно на Киосеровских принтерах, у пользователей выскакивало окно с просьбой ввести админские логин и пароль для вроде как обновления дров с сервера печати (точно уже не помню как было написано). Я тогда ввел у всех пользваков с такой проблемой пароль админа, дрова скопировались, применились и все стало печатать. А теперь при вводе в эксплуатацию нового такого же сервака принтеры пользакам вообще не прилетают, хотя политика в gpresult /r видно что применяется. Уверен если пользаку дать права локального админа - все принтаки появятся, но так делать не хочу!

    Кто-нить в курсе такой проблемы? Есть решение?
    Спасибо!

    P.S.
    Да. Проверил свою теорию. Дал пользаку одному на этом новом терминальном сервере права локального админа. Зашел под ним и вуаля, все несколько принтеров подтянулись ему по GPO. Вышел. Забрал права админа, снова сделав его обычным пользаком на RDS. Зашел снова под ним - принтеры остались.
    Что там МС накрутили опять с обновами безопасности :[

    Нашел вот такую статейку на МС- KB5005652 — управление поведением драйвера по умолчанию (CVE-2021–34481). Там советуют поковырять реестр.
    Но 1) Я не нахожу в списке аптейтов установленный KB5005652 и 2) если смотреть по статье, то нет ключа реестра HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint. Дохожу только до HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\ а Printers уже нет.
    Скорее всего у меня уже другая обнова влияет на поведение принтаков.
    Из установленных вижу в "Исправления" - KB4535680 и KB5005568. В других - KB4589208. Ну всякие обновы Netframework и Дефендера не буду тут приводить

    P.S. Так же обновления которые прилетели не влияют на печать если зайти на сервер печати по \\srv-ps-01 выбрать нужный принтер - Подключить. водим админский пароль (под обычным пользователем) и принтер появляется и печататет. Но это костыли

    17 сентября 2021 г. 13:22

Все ответы

  • сегодня как-то с утра вообще все перестало печатать, кроме как на отдельных ПК. Те принтаки что были подключены уже на ПК - печатают. Так же печатает на новом терминальном сервере на WinServ2019. На 2008R2 и Win7 не печатает! Если зайти на сервер печати по \\srv-ps-01, то показывает расшаренные принтеры, но ни один не дает подключить! Ошибка. Обновы ни какие не сервер печати не ставились(

    Решил поискать на нем еще обновы, он нашел какое-то свежее предварительное - KB5005625

    Поставил его в надежде что проблему пофиксили - нет. Проблема остается. Печать парализована в компании.

    Решил удалить последние установленные обновы, пока не вижу рабочего решения. KB5005625 уже удаляется около часа

    27 сентября 2021 г. 8:20
  • KB5005652—Manage new Point and Print default driver installation behavior (CVE-2021-34481) (microsoft.com)

    Q2: I installed updates released September 14, 2021 and some Windows devices cannot print to network printers.  Is there an order I need to install updates on print clients and print servers?

    A2: Before installing updates released September 14, 2021 or later on print servers, print clients must have installed updates released January 12, 2021 or later. Windows devices will not print if they have not installed an update released January 12, 2021 or later. 

    Как обходное решение, на обновленном принт-сервере поставить HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\RpcAuthnLevelPrivacyEnabled (DWORD)=0 и перезапустить спулер


    Innovation distinguishes between a leader and a follower - Steve Jobs

    27 сентября 2021 г. 8:58
  • Короче откатил сервак на бэкап от 7 сент. Там проблем у нас не было. Сейчас все у всех печатает без проблем!
    Разве что, видимо какое-то обновление на состояние 7 сентяря на сервере печати все таки есть, которое МС сделали для решения проблем безопасности с печатью.
    Если на ПК(Win7) или терминальном сервере (2008R2) в сеансе с обычными правами зайти на \\srv-ps-01 и подключить по контекстному меню на принтере этот принтер "Подключить" - спрашивает пароль, а на ПК коллеги (Win10) пишет отказано в доступе.
    Если делать это же с админ правами вроде все норм.
    27 сентября 2021 г. 10:05
  • Спасибо! Но не успел обкатать этот вариант, т.к. откатил уже на бэкап. Написано в А2: что и на клиенте должны обновы быть январские установлены. Наверное для 2008R и 7ки - это уже не актуально и есть вероятность, что с них мы печатать не сможем, если на сервере печати будут стоять эти обновы, которые создают эти проблемы?
    27 сентября 2021 г. 10:31
  • А может кто подсказать? Т.к. я похоже неправильно представляю себе работу печати. Если я когда-то на рабочей станции подключил принтер с сервера печати по "Подключить" на расшаренном принтере или же примапил кому-то принтер через GPO и принтер появился и печатал сразу - значит драйверы принтера проставились пользователю в этот момент? Так почему же тогда при установке последних обновлений на сервер печати принтеры перестают печатать? Драйверы то уже получается стоят, а судя по описаниям обновлений разработчики закрыли какою-то дыру путем блокирования установки драйверов без админских прав. 
    28 сентября 2021 г. 6:11
  • нет, сентябрьское обновление форсирует параметр RpcAuthnLevelPrivacyEnabled, клиенты с обновлениями до января 2021, этого параметра не имеют вовсе, поэтому и не печатают примерно никак даже с установленными драйверами.

    Managing deployment of Printer RPC binding changes for CVE-2021-1678 (KB4599464) (microsoft.com)


    Innovation distinguishes between a leader and a follower - Steve Jobs

    28 сентября 2021 г. 7:14
  • После отката сервера из бэкапа пока не применял еще ваше решение. Но видимо придется. Сентябрьское обновление зараза само установилось на сервер печати. Хотя я не нажимал Установить!

    Но мы пока не перезагружали сервер печати для применения этого обновления окончательно, поэтому пока в сети проблем с уже установленными принтерами или примапленными через GPO проблем нет.

    Параметр про который Вы говорите - RpcAuthnLevelPrivacyEnabled, он влияет на поведение при подключении принтера с сервера печати по "Подключить"? Т.к. как выше сказал - у моего коллеги при попытке подключить какой-нибудь принтер с принт-сервера выдает "Отказано в доступе", а у меня на ПК просит пароль.


    • Изменено ItDen 30 сентября 2021 г. 6:08
    30 сентября 2021 г. 6:07
  • мне помогло

    [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Print]
    "RpcAuthnLevelPrivacyEnabled"=dword:00000000

    [HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint]

    "RestrictDriverInstallationToAdministrators"=dword:00000000

    Для сканирования помогла установка драйверов из полного пакета для Windows 7


    • Изменено Stranger1784 4 октября 2021 г. 9:39
    • Предложено в качестве ответа Garbuzov Maksim 22 февраля 2022 г. 7:20
    1 октября 2021 г. 8:34
  • Доброго. А Вы это где вносили на клиенте или на сервере печати или там и там?
    6 октября 2021 г. 6:34
  • Добрый день. Решение так и не нашли?
    3 ноября 2021 г. 5:24