De forma predeterminada, los usuarios de dominio no administrador no tienen permisos para instalar los controladores de la impresora en los equipos de dominio. Para instalar un controlador, el usuario debe tener privilegios de administrador local en una computadora (por ejemplo, agregando al grupo local Administradores ). Esto es muy bueno desde el punto de vista de la seguridad porque la instalación de un controlador de dispositivo incorrecto o falso podría comprometer la PC o degradar el rendimiento del sistema. Sin embargo, este enfoque es sumamente inconveniente para el departamento de TI, porque requiere la intervención del equipo de soporte cuando un usuario intenta instalar un nuevo controlador de impresora.
Puede permitir que los usuarios que no son administradores instalen controladores de impresora en sus computadoras con Windows 10 (sin necesidad de otorgar permisos de administrador local) mediante las políticas de grupo de Active Directory.
Contenido
Configurar GPO para permitir que los no administradores instalen los controladores de la impresora
En primer lugar, crear un nuevo objeto GPO (política) (o editar uno ya existente) y vincularlo al OU (contenedor AD), que contiene las computadoras en las que es necesario permitir a los usuarios instalar los controladores de la impresora. Se pueden implementar las mismas configuraciones en una computadora autónoma (no de dominio) utilizando el editor de políticas de grupo local ( gpedit.msc ).
Amplíe la siguiente rama en el editor de Política de Grupo: Configuración del ordenador> Políticas> Configuración de Windows> Configuración de seguridad> Políticas locales> Opciones de seguridad . Encuentra la política Dispositivos: Evitar que los usuarios instalen controladores de impresora .
Establecer el valor de la política a Deshabilitar . Esta política permite a los no administradores instalar los controladores de la impresora cuando se conecta una impresora de red compartida (el controlador de la impresora descargado del host del servidor de impresión). A continuación, puede establecer el valor de la política en Deshabilitar, cualquier usuario sin privilegios puede instalar el controlador de la impresora como parte de la conexión de la impresora compartida a un equipo. Sin embargo, esta política no permite descargar e instalar un controlador de impresora no fiable (no de firma).
LEER TAMBIÉN Configurar el autoinicio del VM en el VMware ESXi
Adición del dispositivo de la impresora GUIDs permitida para instalar a través de GPO
El siguiente paso es permitir que el usuario instale los controladores de la impresora a través de GPO. En este caso, nos interesa la política Permitir a los no administradores instalar los drivers para estas clases de configuración de dispositivos en la sección GPO Configuración del ordenador> Políticas> Plantillas administrativas> Sistema> Instalación de drivers.
Habilitar la política y especificar las clases de dispositivos que los usuarios deben poder instalar. Haga clic en el botón Show y en la ventana que aparece añada dos líneas con la clase de dispositivo GUID correspondiente a las impresoras:
- Clase = Impresora {4658ee7e-f050-11d1-b6bd-00c04fa372a7}
- Clase = PNPPrinters {4d36e979-e325-11ce-bfc1-08002be10318}
Puedes encontrar una lista completa de la clase de dispositivo GUIDs en Windows aquí .
Luego de habilitar esta política, los miembros del grupo de usuarios locales pueden instalar un nuevo controlador de dispositivo para cualquier dispositivo que coincida con las clases de dispositivo especificadas.
Nota. Puede habilitar esta política a través del registro mediante el comando
reg añadir "HKEY_LOCAL_MACHINENSoftwareNPolíticasNMicrosoftWindowsNDriverInstallNRestricciones" /v AllowUserDeviceClasses /t REG_DWORD/d 1 /f
La lista de Guías de dispositivos permitidos para instalar se encuentra bajo la clave de registro: HKEY_LOCAL_MACHINEN-Políticas de SoftwareN-MicrosoftWindowsN-Restricciones de instalación de dispositivos de usuario.
Ahora guarda la póliza.
Configuración de la política de restricciones de puntos e impresión
En Windows 10 hay otra característica relacionada con la configuración de UAC (Control de cuentas de usuario), que se produce cuando se intenta instalar una impresora de red compartida. Si el UAC está habilitado, aparece un mensaje en el que se desea especificar las credenciales de Administrador. Si el UAC está deshabilitado, cuando intente instalar la impresora bajo el usuario no administrador, el sistema se colgará durante algún tiempo y finalmente mostrará un mensaje de error: » Windows no puede conectarse a la impresora. Se deniega el acceso «.
LEER TAMBIÉN Cómo instalar la Casa de la Moneda Linux desde el USB?
Para resolver este problema es necesario desactivar la política Restricciones de punto e impresión . Esta política se encuentra en la sección Computer and User Configuration del editor GPO. Para habilitar la compatibilidad con versiones anteriores del sistema operativo Windows, se recomienda deshabilitar ambas políticas. Se encuentran en las siguientes secciones:
- Configuración del ordenador> Políticas> Plantillas administrativas> Impresoras
- Configuración de usuario> Políticas> Plantillas administrativas> Panel de control -> Impresoras
A continuación, se desactiva esta política para los equipos con Windows 10, las advertencias de seguridad y los avisos de comandos elevados no aparecen y el usuario intenta instalar la impresora de red o el controlador de la impresora se actualiza.
Nota. Puede desactivar las restricciones de apuntar e imprimir a través del registro. Utilice el siguiente comando:
reg añadir "HKEY_LOCAL_MACHINESoftwarePolíticasNMicrosoftNWindows NTN-Punto e impresión" /v Restringido /t REG_DWORD /d 0 /f
Si desea restringir la lista de servidores de impresión desde los que los usuarios pueden instalar controladores de impresión sin permisos de administrador, debe configurar la política de restricción de puntos e impresión a Habilitado .
Entonces habilita la opción » Los usuarios sólo pueden apuntar e imprimir a estos servidores «. En el
» Introduzca los nombres de los servidores completamente calificados separados por punto y coma » especifique una lista de sus servidores de impresión de confianza (FQDN).
En la sección » Security Prompts » seleccione el » No mostrar advertencia o prompt de elevación » para los parámetros de la política » Luego instalar los drivers para una nueva conexión » y » Luego actualizar los drivers para una conexión existente «.
LEER TAMBIÉN Usar iCACLS para listar permisos de carpetas y gestionar archivos
Pruebe la política para permitir a los usuarios instalar los controladores de la impresora
Queda por probar la política en los ordenadores clientes (requiere reinicio). Después de reiniciar y aplicar la configuración de la política de grupo, los usuarios podrán instalar controladores de impresora sin permisos de administrador.
Punta . Después de instalar la actualización KB3170455, lanzada el 12 de julio de 2016, para poder instalar con éxito la impresora, el controlador de la misma debe cumplir los siguientes requisitos:
- El conductor debe estar firmado por una firma digital de confianza;
- El conductor debe ser embalado (Package-aware print drivers). La instalación de los controladores no empaquetados (no compatibles con el paquete) a través de las restricciones de punto e impresión es imposible
Esto significa que cuando intente instalar la v3 no compatible con los paquetes, verá la advertencia «¿Confía en esta impresora?» con el botón Instalar controlador UAC, que requiere la instalación de los controladores de la impresora bajo la cuenta de administrador.
Puede comprobar el tipo de controlador en el servidor de impresión en el nodo Gestión de impresión> Servidores de impresión> Nombre del servidor> Controladores. En el caso de los controladores de impresión que funcionan con paquetes, puede ver el valor True en la columna Packaged .
