GPO: Instalar Impresoras

Seguramente muchos de vosotros habéis configurado alguna GPO para añadir distintas impresoras a los usuarios. Este proceso desde las directivas de grupo es muy sencillo, pero en algunas ocasiones he visto que algunos administradores han tenido problemas con esta directiva. Aunque los usuarios tenían permisos sobre las impresoras, la directiva de grupo no le instalaba la impresora, pero si el usuario la instalaba manualmente no había problema.

Vamos a ver cual puede ser la causa de este problema, puesto que si el usuario puede añadirla es que tiene permiso para utilizar y realizar la instalación. Además, la GPO es muy potente pero muy simple a la vez. Primero vamos a ver la directiva con la que hemos tratado de reproducir el problema, para ello abrimos el editor de directivas de grupo y editamos la directiva que hemos creado para la instalación de las impresoras:

Ahora vamos a ver como debemos configurar la directiva y que opciones debemos tener en cuenta para que todo funcione correctamente. Primero debemos agregar la impresora que vamos a compartir desde la opción Impresoras – Nuevo – Impresora compartida

y ahora añadimos la impresora que queremos publicar (ya debemos tenerla compartida)

El valor del campo Acción es casi lo más importante, puesto que vamos a especificar el comportamiento de esta directiva en cuanto al despliegue de la impresora. Para ello tenemos 4 opciones a elegir:

Crear: Creará la impresora sino existe ya  en la sesion del usuario
Reemplazar: Se elimina y se recrea de nuevo
Actualizar: La más utilizada y pontente, puesto que crea si no existe y si existe la actualiza
Eliminar: Se quita la impresora

En nuestro caso he elegido Actualizar, para que la cree o actulize cuando sea necesario. Una vez que he configurada la directiva, vamos a aplicarla a la OU de Administracion

Ahora una vez hayamos iniciado sesión con algún usuario del Dpt. de Administración veremos que se ha instalado la impresora

Ahora vamos a tratar de reproducir el problema que puede causar el que no se instale la impresora mediante una GPO. Lo que vamos a hacer es quitar los permisos por defecto sobre la impresora, y añadimos a nuestro propios grupos de seguridad. Aun siendo miembro de los grupos de seguridad, obtendremos el siguiente ID 4098 cuando un usuario inicia sesión en el dominio

sin embargo si el usuario trata de instalar la impresora manualmente la puede agregar sin problema. Este problema se reproduce hemos quitado a la cuenta de SYSTEM de los permisos NTFS de la impresora:

Agregar nuestros propios grupos no es una mala práctica a la hora de aplicar permisos, y además nos permite segregar correctamente los permisos sobre los recuersos. Puesto que solo el grupo local de dominio (ACL PRN XXX) tiene permiso sobre el recurso, y el resto de grupos globales de dominio están anidados como miembros de los grupos locales. De tal forma que nos permite controlar de manera sencilla y eficiente el acceso a los recursos. Ahora bien, que sucede cuando tenemos esta configuración y hemos quitado los permisos por defecto, que la GPO no se aplicar correctamente, porque el contexto de seguridad con la que se procesa la GPO no tiene permisos sobre la impresora.

Las directivas de seguridad que procesan las opciones de usuario se ejecutan en el contexto de seguridad de la cuenta SYSTEM, como no es miembro de ninguno de los grupos que tiene acceso a la impresoras (y no tiene permiso explícito sobre la misma), nos genera la alerta con el ID 4098 en el visor de sucesos. De ahí que si el usuario agrega la impresora manualemnte, no tendremos tiene problemas puesto que lo hace en el contexto de seguridad del propio usuario y tiene permiso para acceder a la impresora.  Si queremos que la GPO tenga efecto con los permisos modificados de las impresoras, únicamente debemos especificar en la impresora que vamos a instalar que se tiene que ejecutar en contexto seg. usuario con sesión iniciada (dir. usuarios)

Si ahora ejecutamos GPUDATE /FORCE desde la sesión del usuario, veremos como la impresora se instala correctamente

Y si abrirmos el registro de eventos ya no vemos ningún evento con ID 4098, simplemente veremos un evento que nos indica que se han procesado correctamente las directivas de grupo

Si no queremos cambiar el comportamiento del procesamiento de la directiva sobre el contexto de seguridad, solo debemos añadir la cuenta SYSTEM a los permisos NTFS de la impresora y se procesará correctamente la instalación de impresoras mediante la GPO

Espero que os sea de utilidad!!!