Theo mặc định, người dùng miền không phải quản trị viên không có quyền cài đặt Driver máy in của máy tính trong miền. Để cài đặt, người dùng phải có quyền Admin Local (phải là thành viên của nhóm Admin local). Với quan điểm bảo mật, việc này rất tốt vì việc cài đặt Driver thiết bị không chính xác hoặc giả mạo có thể ảnh hưởng đến PC hoặc làm giảm hiệu suất hệ thống. Tuy nhiên, cách làm này cực kỳ bất tiện đối với bộ phận CNTT, vì nó yêu cầu sự can thiệp của họ khi người dùng cố gắng cài đặt Driver máy in mới.
Bạn có thể cho phép người dùng không phải admin cài đặt Driver máy in trên máy tính Windows 10 của họ (mà không cần cấp quyền admin local) bằng Chính sách nhóm Active Directory.
Cấu hình GPO để cho phép những người không phải là quản trị viên cài đặt Driver máy in
Đầu tiên, hãy tạo một GPO mới (hoặc chỉnh sửa một GPO hiện có) và liên kết nó với OU (AD container), chứa các máy tính cần thiết để cho phép người dùng cài đặt trình điều khiển máy in (sử dụng snap gpmc.msc -in để quản lý GPO của miền). Bạn có thể triển khai các cài đặt tương tự trên một máy tính độc lập (không phải miền) bằng cách sử dụng Local Group Policy Editor (gpedit.msc).
Trong Group Policy editor, truy cập tới: Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies > Security Options. Tìm chính sách Devices: Prevent users from installing printer drivers.
Đặt giá trị thành Disable. Chính sách này cho phép những người không phải là quản trị viên cài đặt Driver máy in khi kết nối máy in mạng (Driver của máy in được tải xuống từ máy chủ print-server). Khi bạn đặt giá trị chính sách thành Disable, bất kỳ người dùng không có đặc quyền nào cũng có thể cài đặt Driver máy in. Tuy nhiên, chính sách này không cho phép tải xuống và cài đặt driver máy in không đáng tin cậy (not-signed).
Thêm Printer Device GUIDs Allowed để cài đặt qua GPO
Bước tiếp theo là cho phép người dùng cài đặt Driver máy in thông qua GPO. Trong trường hợp này, chúng tôi quan tâm đến chính sách Allow non-administrators to install drivers for these device setup classes nằm trong Computer Configuration > Policies > Administrative Templates > System > Driver Installation.
Bật chính sách này rồi chỉ định các Class mà người dùng được phép cài đặt. Nhấp vào nút Show và thêm hai Class thiết bị sau vào trong cửa sổ vừa xuất hiện :
Class = Printer {4658ee7e-f050-11d1-b6bd-00c04fa372a7};
Class = PNPPrinters {4d36e979-e325-11ce-bfc1-08002be10318}.
Bạn có thể tìm tất cả các Class GUID trong Windows tại đây.
Khi bạn bật chính sách này, các thành viên của nhóm local Users có thể cài đặt Driver thiết bị mới cho bất kỳ thiết bị nào phù hợp với các loại thiết bị được chỉ định.
* Ghi chú: Bạn có thể kích hoạt chính sách này thông qua registry bằng lệnh sau:
reg add "HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\DriverInstall\Restrictions" /v AllowUserDeviceClasses /t REG_DWORD/d 1 /fBạn có thể tìm thấy danh sách các thiết bị được phép cài đặt GUID trong registry key: HKEY_LOCAL_MACHINE \ Software \ Policies \ Microsoft \ Windows \ DriverInstall \ Restrictions \ AllowUserDeviceClasses
Cấu hình chính sách Point and Print Restrictions
Trong Windows 10 có một tính năng khác liên quan đến UAC (User Account Control), xảy ra khi bạn cố gắng cài đặt máy in chung qua mạng. Nếu UAC được bật, một thông báo sẽ xuất hiện yêu cầu nhập thông tin đăng nhập của Quản trị viên. Nếu UAC bị tắt, thì khi bạn cố gắng cài đặt máy in với người dùng không phải quản trị viên — hệ thống sẽ bị treo một lúc và hiển thị thông báo lỗi: “Windows cannot connect to the printer. Access is denied“.
Để giải quyết vấn đề này, bạn cần phải tắt Chính sách Point and Print Restrictions. Chính sách này nằm trong phần Computer and User Configuration của GPO editor. Để tương thích với các phiên bản trước của hệ điều hành Windows, bạn nên tắt cả hai chính sách. Chúng nằm trong các phần sau:
Computer Configuration > Policies > Administrative Templates > Printers;User Configuration > Policies > Administrative Templates > Control Panel > Printers.
Truy cập vào và Disabled 2 chính sách đó đi, cảnh báo bảo mật và lời nhắc nâng cao sẽ không xuất hiện khi người dùng cố gắng cài đặt máy in mạng hoặc khi cập nhật Driver máy in.
Ghi chú: Bạn có thể tắt Point and Print Restrictions thông qua Registry bằng cách sử dụng lệnh sau:
reg add "HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint" /v Restricted /t REG_DWORD /d 0 /fNếu bạn muốn hạn chế danh sách Server in mà từ đó người dùng được phép cài đặt Driver mà không có quyền admin, bạn cần đặt chính sách Point and Print Restriction thành Enabled.
Sau đó enable tùy chọn “Users can only point and print to these servers”. Trong mục “Enter fully qualified server names separated by semicolons”, bạn nhập danh sách các Server in đáng tin cậy của bạn (FQDN).
Bên dưới “Security Prompts”, chọn “Don’t show warning or elevation prompt” cho 2 thông số “Then installing drivers for a new connection”và “Then updating drivers for an existing connection”.
Kiểm tra Chính sách cho phép Người dùng Cài đặt Driver Máy in
Khởi động lại máy tính để chính sách được áp dụng. Sau đó, người dùng sẽ được phép cài đặt driver máy in mà không cần quyền Quản trị viên.
Tip: Sau khi cài đặt bản update KB3170455, phát hành ngày 12 tháng 7 năm 2016, để cài đặt thành công máy in, Driver máy in phải đáp ứng các yêu cầu sau:
- Driver phải được ký bằng chữ ký số đáng tin cậy;
- Driver phải được đóng gói (package-aware). Không thể cài đặt các driver đã giải nén (non-package-aware) thông qua Point and Print Restrictions.
Điều này có nghĩa là khi bạn cố gắng cài đặt phiên bản driver đã giải nén, bạn sẽ thấy cảnh báo “Do you trust this printer?” và yêu cầu quyền quản trị để thực hiện cài đặt.
Bạn có thể kiểm tra loại driver trên máy chủ của mình trong Print Management > Print Servers > Server Name > Drivers. Đối với Driver package-aware , bạn có thể thấy giá trị True trong cột Packaged.
Không thể triển khai driver máy in sau bản cập nhật tháng 8 năm 2021
Vào tháng 8 năm 2021 (2021-08-10), Microsoft đã phát hành bản cập nhật bảo mật cho Windows 10 (KB5005033), thực hiện những thay đổi đáng kể đối với chính sách cài đặt máy in. Sau khi cài đặt các bản cập nhật này và các bản cập nhật bảo mật mới nhất, Windows bắt đầu yêu cầu quyền của quản trị viên để cài đặt driver máy in. Thay đổi này giải quyết lỗ hổng PrintNightmare và liên quan đến các sự cố Bộ đệm máy in của Windows.
*Chú ý: Lỗ hổng PrintNightmare RCE được mô tả trong CVE-2021-1675 và CVE-2021-34527. Một lỗ hổng trong việc triển khai Windows Print Spooler cho phép kẻ tấn công thực thi từ xa mã tùy ý trên máy tính Windows. Lỗ hổng cho phép một tệp DLL độc hại được tải vào hệ thống. Cố gắng thêm lại máy in sẽ cho phép truy cập vào tệp này, tệp này sẽ chạy với các đặc quyền Hệ thống.
Dịch vụ Print Spooler hoạt động trên Windows (bao gồm cả các phiên bản Win Server). Vì vậy Microsoft đã đưa ra khuyến nghị vô hiệu hóa hệ thống in trên bộ điều khiển miền(Security assessment: Domain controllers with Print spooler service available).
Trên máy tính có bản cập nhật KB5005033, khi cài đặt máy in, người dùng nhận được cửa sổ UAC:
Do you trust this printer?
Windows needs to download and install a software driver from the \\computer to xxx. Proceed only if you trust the computer and network.
Sau khi nhấp vào nút Install driver, một cửa sổ UAC xuất hiện trong đó bạn cần nhập thông tin đăng nhập của quản trị viên
Microsoft khuyến nghị sử dụng Group Policy để cài đặt máy in trên máy tính của người dùng. Nhưng điều này chỉ hoạt động đối với Driver v4 Package-aware. Khi cài đặt bất kỳ Driver v3 nào, một cửa sổ UAC xuất hiện yêu cầu nhập mật khẩu quản trị viên.
Nếu bạn không thể cập nhật tất cả các trình điều khiển lên v4, thì có một cách giải quyết. Trên tất cả các máy tính có vấn đề, cần phải cài đặt tham số RestrictDriverInstallationToAdministrators =0 vào khóa HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint\.
Tạo một tham số registry mới trong phần GPO sau: Computer Configuration > Preferences > Windows Settings > Registry.
Action: Replace
Hive: HKEY_LOCAL_MACHINE
Key path: Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint
Value name: RestrictDriverInstallationToAdministrators
Value type: REG_DWORD
Value data: 0
Registry key này sẽ cho phép người dùng kết nối với bất kỳ máy in nào.
Đây là một giải pháp thay thế, không phải là một bản sửa lỗi, vì nó làm cho máy chủ in của bạn dễ bị tấn công (!!!!).
Do đó, bạn cũng cần phải định cấu hình chính sách Point and Print Restriction (được hướng dẫn phía trên trên). Thêm Server in đáng tin cậy trong phần “Users can only point and print to these servers”.
Ngoài ra, hãy đặt giá trị 2 tùy chọn dưới như sau:
- When installing drivers for a new connection: Do not show warning or elevated prompt;
- When upgrading drivers for an existing connection: Show warning only.
 bằng Chính sách nhóm Active Directory.){kind=link}