Permitindo que usuários instalem impressoras locais sem conceder a permissão de Administrador Local.

  • Article

By Felicio da Silva

Introdução

Desde o Windows Vista, muitas opções foram aprimoradas com o intuito de aumentar a granularidade das permissões necessárias aos usuários para instalação de impressoras na rede e locais. Atualmente, existem opções de controlar os servidores de impressão que podem ser utilizados, e inclusive é possível controlar como será a experiência do usuário quando uma impressora na rede for instalada.

Essa nova maneira de controlar como os usuários interagem com a instalação de um dispositivo de impressão esta diretamente relacionada ao Point and Print. O Point and Print é uma funcionalidade presente no Windows Vista e 7 que realiza o download automático e instala o driver de impressora quando um usuário se conecta a uma impressora na rede. Para saber mais sobre o Point and Print e as opções detalhadas que estão disponíveis, consulte o seguinte documento: https://msdn.microsoft.com/en-us/windows/hardware/gg463359.aspx

Configurando o Point and Print via Group Policy

Nesse blog, eu irei descrever o passo a passo para conceder a usuários que não pertencem ao grupo de Administradores Locais, a permissão para instalar qualquer impressora, seja ela na rede ou local. Iremos fazer isso através de uma GPO, e posso adiantar desde já que a liberação em questão não depende do Nível Funcional do Domínio ou da Floresta. Portanto mesmo que você tenha um domínio com nível funcional 2003, você poderá utilizar um desktop rodando Windows 7 com o RSAT instalado para criar e configurar a GPO que irá permitir a instalação de impressoras por usuários que não são administradores locais. Para maiores informações sobre como instalar o RSAT consulte https://www.microsoft.com/download/en/details.aspx?id=7887

Uma vez que você esteja com o RSAT instalado no Windows 7, ou que você esteja conectado a um Domain Controller rodando o Windows Server 2008 ou superior. Basta abrir o Group Policy Management, criar uma nova GPO e navegar pelo caminho abaixo:

image

Clique duas vezes em Point and Print Restrictions:

image

Na janela acima, poderemos configurar como será a experiência do usuário quando ele tentar adicionar uma impressora compartilhada em algum servidor de impressão. Meu objetivo nesse tutorial, é mostrar como configurar uma GPO que permita que os usuários possam instalar qualquer impressora na rede ou local, e que a instalação seja o menos complicada possível. Portanto, nas configurações acima, eu não vou especificar os servidores de impressão, permitindo assim que qualquer servidor seja utilizado. Eu também vou configurar a politica para que os usuários não recebam mensagens de confirmação para elevação de privilégio. . O Administrador também possui a opção de configurar o Point and Print através de políticas de User ou Computer, dando ainda mais flexibilidade na aplicação desta funcionalidade.

Permitindo a instalação de drivers como usuário não Administrativo.

Uma vez configuradas essa opções, resolvemos a questão da experiência do usuário no momento da instalação de uma impressora pela rede ou local, no entanto ainda precisamos liberar uma politica adicional para permitir a instalação do driver local. Para tal iremos navegar até a politica abaixo:

image

Dentro dessa politica podemos cadastrar os GUIDs de dispositivos que iremos permitir que usuários não administradores possam instalar. No caso das impressoras, iremos cadastrar dois GUIDs:

image

Clique em SHOW, e cadastre os GUIDs:

{4658ee7e-f050-11d1-b6bd-00c04fa372a7}

{4d36e979-e325-11ce-bfc1-08002be10318}

Se você fez tudo certo, deverá visualizar algo semelhante a essa janela:

image

Para uma lista completa dos GUIDs que você pode utilizar para liberar sua instalação a usuários não administradores consulte: https://msdn.microsoft.com/en-us/library/ff553426(v=vs.85).aspx

Uma vez configurada a GPO, basta criar um usuário de teste e coloca-lo em uma OU. Depois basta fazer o link da nova GPO que você criou a essa OU. Não esqueça também de mover a conta de computador ou conta de usuário, dependendo do tipo de política, para a mesma OU que possui o Link com a nova GPO.

Ao final, teste a instalação de uma impressora local ou de rede de modo a fazer a instalação com um usuário que não possui permissões administrativas no Computador, o resultado deve ser semelhante ao abaixo:

image

Conclusão

Neste artigo descrevemos como utilizar a funcionalidade do Point and Print para instalação automática de impressoras no computador do usuário sem que este possua privilégios administrativos. Vimos que é possível a automação da entrega destas configurações através de Group Policy de forma totalmente desassistida e transparente para o usuário.