Lösung: Windows ignoriert Gruppenrichtlinieneinstellung Point-and-Print-Einschränkungen

In größeren Firmennetzwerken mit vielen Clients wird oftmals von der Gruppenrichtlinieneinstellung Point-and-Print-Einschränkungen (Point and Print Restrictions) Gebrauch gemacht, um den Administrationsaufwand gering zu halten. Mit dieser Einstellung lässt sich steuern, wie Benutzer Druckertreiber von Druckerservern installieren können.

Seit einigen Wochen kommt es allerdings teilweise zu Problemen. Einige User berichten von einer Sicherheitsmeldung, wenn sie bestimmte Drucker verknüpfen bzw. installieren wollen. Die Meldung lautet „Vertrauen Sie diesem Drucker?“.

Vertrauen Sie diesem Drucker?

Ursache des Problems ist das Security-Bulletin MS16-087 aus dem Juli-Patchday. Genauer gesagt KB3170455 unter Windows 7 bzw. 8.1 und KB3163912 unter Windows 10 bzw. KB3172985 bei Windows 10 v1511. Nach der Deinstallation des entsprechenden Updates ist das Problem verschwunden und die Benutzer können ohne Warnmeldung Drucker installieren. Allerdings ist dieser Workaround nicht empfehlenswert und in vielen Netzwerken auch gar nicht möglich.

Auf der Suche nach einer sinnvollen Lösung bin ich auf den Thread „KB3163912 breaks Point and Print Restrictions GPO settings“ im TechNet gestoßen. Hier berichten viele User von ähnlichen Problemen. Nach weiterer Fehlersuche war schnell klar, dass dieses Problem lediglich bei Druckern auftritt, die keine „packaged“-Treiber verwenden.

Einige haben sogar einen Case via Microsoft-Premiumsupport eröffnet. Die offizielle Antwort von Microsoft lautet, den Druckerhersteller zu kontaktieren und „packaged“ Treiber zu verwenden. Leider existiert in einigen Fällen aber kein „packaged“-Treiber, was vor allem (aber nicht ausschließlich) ältere Drucker betrifft.

Lösung

Schlussendlich hat ein findiger User doch noch eine brauchbare Lösungsmöglichkeit vorgeschlagen. Mit Hilfe der Registry lässt sich ein „un-packaged“-Treiber in einen „packaged“-Treiber verwandeln. Dazu öffnet man den Registrierungseditor und navigiert zu folgendem Pfad:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Enviroments\Windowsx64\Drivers\...\

Dort angekommen wählt man links den betroffenen Druckertreiber aus, in meinem Beispiel den „Brother PCL5e Driver“.

Rechts muss der Wert „PrinterDriverAttributes“ angepasst werden. Das niedrigste Bit des Wertes ist für die Eigenschaft „Package Aware“ zuständig und muss entsprechend auf „1“ gesetzt werden. Der vorhandene Wert muss dabei ungerade gemacht werden, d.h. ein Wert von „0“ wird auf „1“ gesetzt, ein Wert von „2“ auf „3“ usw. Wenn der Wert beispielsweise „5“ ist dann passt er bereits und es muss nichts geändert werden. Danach muss noch der Druckdienst (Spooler) neugestartet werden. Ab diesem Zeitpunkt meldet sich der Treiber als „packaged“ und kann ohne weiteren Benutzereingriff installiert werden.

Alternativ kann der betroffene Druckertreiber auch von Hand in einen „packaged“-Treiber umgewandelt werden. Hierzu reicht eine kleine Anpassung der INF-Datei aus. Bei Microsoft existieren weitere Informationen dazu. Vielleicht bekommen es damit auch einige Druckerhersteller gebacken, endlich „packaged“-Treber anzubieten.

Tobi

Hallo, mein Name ist Tobias und ich habe diesen Blog im April 2009 ins Leben gerufen. Seitdem blogge ich hier über Software, Internet, Windows und andere Themen, die mich interessieren. SSDblog ist mein zweiter Blog, indem es rund um das Thema SSDs geht. Ich würde mich freuen, wenn ihr meinen Feed abonniert oder mir auf Twitter, Facebook, Google+ und Google+ (privat) folgt.

7 Antworten

  1. Winkler Josef sagt:

    Danke für diesen Beitrag! (hab schon einen Tag verzweifelt gesucht -> 50 Rechner)
    Lösung mit „PrinterDriverAttributes“ funktionier perfekt!!

  2. Andreas Stock sagt:

    Danke auch von mir, richte gerade einen neue Printserver ein. Wir wollen gerade alle Drucker gegen Canon Geräte austauschen. Nichts hat funktioniert um die Drucker an 200 PC’s zu verteilen. Aber mit der Lösung ist das Wochenende gerettet.

  3. Interessanter Ansatz zur Lösung! Kann man nur weiterempfehlen!!!

  4. Oliver sagt:

    you’re a genius 😉

  5. GL3 sagt:

    Vielen Dank für diesen Beitrag! Hat geholfen.
    Dazu möchte ich noch hinzufügen das zumeist wenn die GPO P&P Option „Keine Warnmeldung anzeigen“ gewählt ist, man sogar im Dunkeln tappt warum ein User nur ein paar Drucker erhält…
    Tricky…

  6. Juliane sagt:

    Hallo Tobi,
    auch von mir Dank für den Artikel, der mir (hoffentlich) geholfen hat.
    Allerdings würde ich bei der Lösungsbeschreibung zu der Eigenschaft „PrinterDriverAttributes“ nicht von „Erhöhung um 1“ sprechen. Denn gemeint ist ja eigentlich, dass das niedrigste Bit (welches für die Eigenschaft ‚Package Aware‘ zuständig ist) des Wertes auf 1 gesetzt werden soll, also der Wert der Zahl ‚ungerade‘ gemacht wird. Ein Wert von ‚5‘ bleibt also unverändert, ein Wert von ‚2‘ wird auf ‚3‘ umgesetzt. Würde beispielsweise ‚5‘ um eins erhöht werden, wird darauf ‚6‘ oder binär ‚110‘. Somit wird das niedrigwertigste Bit (ganz rechts) auf ‚0‘ gesetzt und somit die Eigenschaft „Package Aware“ abgeschaltet.
    Niedrigstes Bit = 0: Package Aware = Aus
    Niedrigstes Bit = 1: Package Aware = Ein

    Im Ereignisprotokoll wird die Fehlermeldung angezeigt als Anwendungsfehler unter der Quelle „Group Policy Printer“ mit der EreignisID 4098.

    Siehe auch https://msdn.microsoft.com/windows/hardware/drivers/print/package-aware-print-drivers?f=255&MSPPError=-2147217396

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.