Group Policy Object did not apply because it failed with error code '0x800702e4 The requested operation requires elevation.’ This error was suppressed.

Pojawienie się w logach (Event Viewer) powyższego komunikatu wraz z kodem błędu oznacza, że konkretny użytkownik, który próbuje dodać drukarkę udostępnioną przez GPO nie ma do tego uprawnień.

Zezwalaj użytkownikom bez uprawnień administratora na instalowanie sterowników drukarek za pośrednictwem obiektu GPO

W 2021 roku odkryto krytyczną lukę w zabezpieczeniach usługi bufora wydruku. Aby ją naprawić, Microsoft zmienił domyślne zachowanie systemu Windows podczas instalowania sterowników drukarek (PrintNightmare CVE-2021-34527). Teraz użytkownicy bez uprawnień administratora nie mogą instalować sterowników drukarek (KB5005033), w tym za pomocą opcji ograniczenia trybu Point and Print. Sterowniki systemu Windows (podpisane i niepodpisane) powinny być instalowane wyłącznie przez administratorów.

1. Utwórz nową zasadę GPO lub dokonaj edycji posiadanej konfiguracji. Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options. Disable the policy Devices: Prevent users from installing printer drivers.

2. Teraz przejdź do Computer Configuration -> Policies -> Administrative Templates -> System -> Driver Installation. Dodaj identyfikator GUID (uniwersalny dla wszystkich drukarek) w parametrze konfiguracji Allow non-administrators to install drivers for these device setup classes parameter {4658ee7e-f050-11d1-b6bd-00c04fa372a7} oraz {4d36e979-e325-11ce-bfc1-08002be10318}. To umożliwi instalację tylko sterowników drukarki.

3. Przejdź do Computer Configuration -> Policy -> Administrative Templates ->  Printers. Włącz zasadę „Point and Print Restriction„. W tym miejscu należy określić listę serwerów wydruku (użytkownicy mogą wskazywać i drukować tylko na tych serwerach), z których można instalować sterowniki drukarek. Wybierz opcję „Don’t show warning or elevation prompt” dla dwóch pozostałych opcji.

4. Dodaj serwery wydruku jako zaufane.

5. (Teraz najważniejsza kwestia!!). Aby zezwolić na instalację sterowników drukarek bez uprawnień administratora (dla użytkowników bez uprawnień administratora), należy tymczasowo zmienić wartość parametru w rejestrze RestrictDriverInstallationToAdministrators na 0.

Na komputerze autonomicznym możesz zmienić ten parametr rejestru za pomocą polecenia:

Aby zmienić ten parametr rejestru na komputerach użytkownika za pośrednictwem obiektu zasad grupy (GPO), należy utworzyć nową regułę preferencji zasad grupy w obszarze Computer Configuration -> Preferences -> Windows Settings -> Registry. Utwórz parametr rejestru z następującymi ustawieniami:

Nowe pliki szablonów administracyjnych (ADMX) z Microsoft Security Baseline zawierają osobną opcję GPO dla tego parametru rejestru. Nosi ona nazwę „Restrict printer driver installation to administrators” (Computer Configuration -> Policy -> Administrative Templates -> Printers).

6. Teraz zaktualizuj ustawienia GPO na klientach (zaloguj się ponownie lub uruchom polecenie gpupdate /force) i sprawdź, czy sterowniki z serwerów wydruku są teraz instalowane automatycznie. Zdarzenia MsiInstaller powinny pojawić się w dzienniku aplikacji:

EventID 1040
Beginning a Windows Installer transaction: C:\Windows\system32\spool\DRIVERS\x64\3\CIOUM64.MSI. Client Process Id: 7240.

Dzięki takiemu obiektowi GPO każdy użytkownik bez uprawnień administratora będzie mógł instalować udostępnione drukarki i sterowniki z określonych serwerów wydruku bez monitowania o podniesienie uprawnień lub wyświetlania jakichkolwiek powiadomień.

Jednak parametr RestrictDriverInstallationToAdministrators naraża system Windows na atak PrintNightmare. Dlatego zalecamy przywrócenie jego wartości 1 natychmiast po zainstalowaniu drukarek.
https://support.microsoft.com/pl-pl/topic/kb5005652-zarządzanie-nowym-domyślnym-zachowaniem-instalacji-sterowników-point-and-print-cve-2021-34481-873642bf-2634-49c5-a23b-6d8e9a302872
Możesz uruchomić skrypt logowania (tylko raz) przy pierwszym logowaniu dla każdego użytkownika, który ustawi parametr RestrictDriverInstallationToAdministrators na 1. Przy następnym uruchomieniu skryptu sprawdza on wartość parametru RestrictDriverInstallationToAdministrators i, jeśli wynosi 1, zmienia ją na 0. W ten sposób wszystkie drukarki przypisane użytkownikowi za pośrednictwem obiektu zasad grupy zostaną zainstalowane przy pierwszym logowaniu, a wartość parametru RestrictDriverInstallationToAdministrators zostanie automatycznie zmieniona na bezpieczną.

Należy pamiętać, że w ten sposób można zainstalować tylko podpisane sterowniki drukarek (sterowniki drukarek obsługujące pakiety w wersji 3) (z wartością Packaged=True w sekcji Sterowniki konsoli Zarządzanie drukowaniem – printmanagement.msc).

Jeśli spróbujesz zainstalować drukarkę z niepodpisanym sterownikiem za pośrednictwem obiektu GPO, nie zostanie ona wdrożona pomimo ustawienia parametru RestrictDriverInstallationToAdministrators:

The user 'Kyocera3055′ preference item in the 'prnt_AutoConnect {GUID}’ Group Policy Object did not apply because it failed with error code '0x80070bcb The specified printer driver was not found on the system and needs to be downloaded.’ This error was suppressed.

---

Dziękuję Ci, za poświęcony czas na przeczytanie tego artykułu. Jeśli był on dla Ciebie przydatny, to gorąco zachęcam Cię do zapisania się na mój newsletter, jeżeli jeszcze Cię tam nie ma. Proszę Cię także o “polubienie” mojego bloga na Facebooku oraz kanału na YouTube – pomoże mi to dotrzeć do nowych odbiorców. Raz w tygodniu (niedziela punkt 17.00) otrzymasz powiadomienia o nowych artykułach / projektach zanim staną się publiczne. Możesz również pozostawić całkowicie anonimowy pomysł na wpis/nagranie.

Link do formularza tutaj: https://beitadmin.pl/pomysly

Pozostaw również komentarz lub napisz do mnie wiadomość odpisuję na każdą, jeżeli Masz jakieś pytania:).