Am 10.08.2021 wurde mit dem Patch KB5005030 die Windowsschwachstelle PrintNightmare von Microsoft behoben. Um die Sicherheit wiederherzustellen hat Microsoft im Zuge des Patches die zur Druckertreiberinstallation nötigen Rechte bei der Verwendung von Point and Print angehoben. Somit müssen Benutzer, um die Drucker installieren zu können, der Gruppe lokaler Administratoren angehören. Um Drucker weiter über Gruppenrichtlinien mittels Druckserver betreiben zu können, kann folgender Workaround verwendet werden:
Mittels drei Richtlinien kann die Druckertreiberinstallation weiterhin automatisch geschehen und gleichzeitig werden die PCs im Netzwerk abgesichert.
1. Die Richtlinie Computerkonfiguration\Administrative Vorlagen\Drucker\Point und Print Einschränkungen konfigurieren. Die Printserver mit dem FQDN angeben und mittels Semikolon trennen.
2. Die Richtlinie Computerkonfiguration\Administrative Vorlagen\Drucker\Point-and-Print für Pakete – Genehmigte Server konfigurieren. Die Printserver mit dem FQDN als Liste angeben.
3. Regestry Key erstellen:
HKLM\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint
DWORD:
RestrictDriverInstallationToAdministrators = 0
Durch das Setzen des Regestry Keys mit Wert 0, werden keine administrativen Berechtigungen zur Installation der Druckertreiber mehr benötigt.
Alternative Lösungen sind:
- Die Benutzer zu lokalen Administratoren zu machen
- Die Druckertreiber im Vorfeld und für die Zukunft manuell zu installieren
TO
2 JahreLeider gibt es das Update nicht für Server 2016 🙁
Benjamin Knecht
2 JahreHallo, es gibt einen Patch für Windows Server 2016 unter einer anderen KB-Nummer. Zu finden ist dieser hier: https://www.catalog.update.microsoft.com/Search.aspx?q=KB5004948