Lösung: Windows ignoriert Gruppenrichtlinieneinstellung Point-and-Print-Einschränkungen

In größeren Firmennetzwerken mit vielen Clients wird oftmals von der Gruppenrichtlinieneinstellung Point-and-Print-Einschränkungen (Point and Print Restrictions) Gebrauch gemacht, um den Administrationsaufwand gering zu halten. Mit dieser Einstellung lässt sich steuern, wie Benutzer Druckertreiber von Druckerservern installieren können.

Seit einigen Wochen kommt es allerdings teilweise zu Problemen. Einige User berichten von einer Sicherheitsmeldung, wenn sie bestimmte Drucker verknüpfen bzw. installieren wollen. Die Meldung lautet „Vertrauen Sie diesem Drucker?“.

Vertrauen Sie diesem Drucker?

Ursache des Problems ist das Security-Bulletin MS16-087 aus dem Juli-Patchday. Genauer gesagt KB3170455 unter Windows 7 bzw. 8.1 und KB3163912 unter Windows 10 bzw. KB3172985 bei Windows 10 v1511. Nach der Deinstallation des entsprechenden Updates ist das Problem verschwunden und die Benutzer können ohne Warnmeldung Drucker installieren. Allerdings ist dieser Workaround nicht empfehlenswert und in vielen Netzwerken auch gar nicht möglich.

Auf der Suche nach einer sinnvollen Lösung bin ich auf den Thread „KB3163912 breaks Point and Print Restrictions GPO settings“ im TechNet gestoßen. Hier berichten viele User von ähnlichen Problemen. Nach weiterer Fehlersuche war schnell klar, dass dieses Problem lediglich bei Druckern auftritt, die keine „packaged“-Treiber verwenden.

Einige haben sogar einen Case via Microsoft-Premiumsupport eröffnet. Die offizielle Antwort von Microsoft lautet, den Druckerhersteller zu kontaktieren und „packaged“ Treiber zu verwenden. Leider existiert in einigen Fällen aber kein „packaged“-Treiber, was vor allem (aber nicht ausschließlich) ältere Drucker betrifft.

Lösung

Schlussendlich hat ein findiger User doch noch eine brauchbare Lösungsmöglichkeit vorgeschlagen. Mit Hilfe der Registry lässt sich ein „un-packaged“-Treiber in einen „packaged“-Treiber verwandeln. Dazu öffnet man den Registrierungseditor und navigiert zu folgendem Pfad:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Enviroments\Windowsx64\Drivers\...\

Dort angekommen wählt man links den betroffenen Druckertreiber aus, in meinem Beispiel den „Brother PCL5e Driver“.

Rechts muss der Wert „PrinterDriverAttributes“ angepasst werden. Das niedrigste Bit des Wertes ist für die Eigenschaft „Package Aware“ zuständig und muss entsprechend auf „1“ gesetzt werden. Der vorhandene Wert muss dabei ungerade gemacht werden, d.h. ein Wert von „0“ wird auf „1“ gesetzt, ein Wert von „2“ auf „3“ usw. Wenn der Wert beispielsweise „5“ ist dann passt er bereits und es muss nichts geändert werden. Danach muss noch der Druckdienst (Spooler, deutsch: Druckerwarteschlange) neugestartet werden. Ab diesem Zeitpunkt meldet sich der Treiber als „packaged“ und kann ohne weiteren Benutzereingriff installiert werden.

Alternativ kann der betroffene Druckertreiber auch von Hand in einen „packaged“-Treiber umgewandelt werden. Hierzu reicht eine kleine Anpassung der INF-Datei aus. Bei Microsoft existieren weitere Informationen dazu. Vielleicht bekommen es damit auch einige Druckerhersteller gebacken, endlich „packaged“-Treber anzubieten.

Tobi

Hallo, mein Name ist Tobias und ich habe diesen Blog im April 2009 ins Leben gerufen. Seitdem blogge ich hier über Software, Internet, Windows und andere Themen, die mich interessieren. SSDblog ist mein zweiter Blog, indem es rund um das Thema SSDs geht. Ich würde mich freuen, wenn ihr meinen Feed abonniert oder mir auf Twitter, Facebook, Google+ und Google+ (privat) folgt.

15 Antworten

  1. Winkler Josef sagt:

    Danke für diesen Beitrag! (hab schon einen Tag verzweifelt gesucht -> 50 Rechner)
    Lösung mit „PrinterDriverAttributes“ funktionier perfekt!!

  2. Andreas Stock sagt:

    Danke auch von mir, richte gerade einen neue Printserver ein. Wir wollen gerade alle Drucker gegen Canon Geräte austauschen. Nichts hat funktioniert um die Drucker an 200 PC’s zu verteilen. Aber mit der Lösung ist das Wochenende gerettet.

  3. Interessanter Ansatz zur Lösung! Kann man nur weiterempfehlen!!!

  4. Oliver sagt:

    you’re a genius 😉

  5. GL3 sagt:

    Vielen Dank für diesen Beitrag! Hat geholfen.
    Dazu möchte ich noch hinzufügen das zumeist wenn die GPO P&P Option „Keine Warnmeldung anzeigen“ gewählt ist, man sogar im Dunkeln tappt warum ein User nur ein paar Drucker erhält…
    Tricky…

  6. Juliane sagt:

    Hallo Tobi,
    auch von mir Dank für den Artikel, der mir (hoffentlich) geholfen hat.
    Allerdings würde ich bei der Lösungsbeschreibung zu der Eigenschaft „PrinterDriverAttributes“ nicht von „Erhöhung um 1“ sprechen. Denn gemeint ist ja eigentlich, dass das niedrigste Bit (welches für die Eigenschaft ‚Package Aware‘ zuständig ist) des Wertes auf 1 gesetzt werden soll, also der Wert der Zahl ‚ungerade‘ gemacht wird. Ein Wert von ‚5‘ bleibt also unverändert, ein Wert von ‚2‘ wird auf ‚3‘ umgesetzt. Würde beispielsweise ‚5‘ um eins erhöht werden, wird darauf ‚6‘ oder binär ‚110‘. Somit wird das niedrigwertigste Bit (ganz rechts) auf ‚0‘ gesetzt und somit die Eigenschaft „Package Aware“ abgeschaltet.
    Niedrigstes Bit = 0: Package Aware = Aus
    Niedrigstes Bit = 1: Package Aware = Ein

    Im Ereignisprotokoll wird die Fehlermeldung angezeigt als Anwendungsfehler unter der Quelle „Group Policy Printer“ mit der EreignisID 4098.

    Siehe auch https://msdn.microsoft.com/windows/hardware/drivers/print/package-aware-print-drivers?f=255&MSPPError=-2147217396

  7. MaceWindu sagt:

    Hallo,
    Zuerst mal vielen Dank.
    Habe am Printserver den Registrierungseintrag verändert und 2 Drucker per Anmeldescript verbunden.
    Beim Brother MFC-J6920DW (Treiber V1.6.0.0) kam die „Vertrauen sie…“ Abfrage nicht mehr, beim SHARP AR-5520N (einzig verfügbar SPLC Treiber, V2.0.0.0 V1406a) nach wie vor.
    Werd es weiter verfolgen.

  8. Marco sagt:

    Hallo zusammen,

    hatte auch das Problem und das Ganze einmal getestet, hat auch in den meisten der Fälle funktioniert.
    Allerdings habe ich 3 Treiber bei denen trotzdem die Meldung kommt.

    Gibt es hierzu schon weitere Ansätze?
    Komme hier nicht wirklich weiter…

  9. Hans Müller sagt:

    Hallo, ich habe das Problem anders gelöst. Es erscheint ja die Abfrage, „Vertrauen Sie diesem Drucker?“. Diese Abfrage kann man mit dem Häkchen bei „Diese Meldung nicht mehr anzeigen“ für weitere Druckerinstallationen unterdrücken. Genau dieses Attribut wird als Registry-Key im User-Profil wie folgt eingetragen:

    Registry-Key
    —————
    Windows Registry Editor Version 5.00

    [HKEY_CURRENT_USER\Printers\LegacyPointAndPrint]
    „DisableLegacyPointAndPrintAdminSecurityWarning“=dword:00000001
    —————

    Da wir alle Druckertreiber über ein SCCM-Paket installieren, hab ich vor dem eigentlichen Installations-Script einen weiteren Schritt eingebaut, welcher dem User, in diesem Fall dem „local System“ den oben aufgeführten Registry-Key einträgt. Danach läuft die Installation erfolgreich durch.

  10. Stefan Moser sagt:

    Tobi du bist mein Held! Vielen Dank für deinen tollen Beitrag, der uns den Tag gerettet hat!

  11. PJames sagt:

    Einfach super der Tip.

  12. Karl Ranseier sagt:

    Auch wenns nicht mehr brandaktuell ist. es gibt eine offizielle Lösung von MS für Unternehmen:
    https://support.microsoft.com/en-us/help/3170005/ms16-087-security-update-for-windows-print-spooler-components-july-12

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.