Di seguito vediamo le modifiche apportate alla funzionalità Point & Print di Windows Vista.

Point & Print è una funzionalità che permette agli utenti di collegarsi ad una stampante di rete senza avere la necessità di installare i driver manualmente.

Point & Print scarica automaticamente e installa i printer driver richiesti quando un utente si collega alla stampante condivisa.

Un’altra funzione interessante è l’aggiornamento nel client dei driver o della configurazione della stampante quando la configurazione è modificata nel printer server.

Differenze di “Point & Print” in Windows Vista?

Point & Print installa del software nel computer client e quindi è soggetto all’”Enhanced Security Model” di Windows Vista.

Per poterlo configurare, sono state aggiunte delle nuove group policy nella sezione Stampanti riguardo a “Restrizioni di selezione e stampa” (Point & Print Restrictions).

Best Practice per la sicurezza con Point & Print

Le group policy possono essere modificate utilizzando “gpedit.msc” e sono localizzate in “Configurazione Utente\Modelli amministrativi\Pannello di controllo\Stampanti”.

Di seguito vediamo varie configurazioni possibili in diversi scenari.

Immagine_thumb

Scenario 1: Utilizzare stampanti definite tramite group policy

Con le “Deployed Printers”, solo le stampanti definite per utente o gruppi saranno installate nei client controllati tramite Group Policy.

Questo è considerato il modo più sicuro perché i client avranno installate solo le stampanti definite nelle Group Policy. La configurazione delle “Deployed Printers”, può essere eseguita tramite il “Print Management Console” (printmanagement.msc) pere creare le GPO e definire le stampanti da installare.

Configurazione: Impostare le GPO come indicato di seguito.

Dopo aver configurato le stampanti da installare, bisogna configurare la Group Policy di “Restrizioni di selezione e stampa” (Point and Print Restrictions) come segue:

  • “Restrizioni di selezione e stampa” (Point and Print Restrictions): Attivata.
  • Quando si installano i driver per una nuova connessione (When installing drivers for a new connection): “Non mostrare avvisi o richieste di elevazione” - Do not show warning or elevation prompt.
  • Quando si aggiornano i driver per una connessione esistente (When updating drivers for an existing connection): Mostra solo avvisi - Show warning only.

PointPrintVista_thumb[1]

User Experience: Dopo aver configurato le “Deployed Printers” e la group policy di restrizioni del “Point & Print”, le stampanti saranno automaticamente installate nei client al successivo logon degli utenti. L’utente non vedrà nessun messaggio di avviso neanche nella prima installazione della stampante. Comunque, nel caso in cui la configurazione della stampante fosse aggiornata lato printer server, l’utente riceverà un avviso che lo informerà riguardo la necessità di modificare la configurazione o aggiornare i driver.

Scenario 2: Utilizzare le impostazioni di sicurezza predefinite

Le impostazioni di sicurezza predefinite in Windows Vista forniscono il livello più alto di sicurezza e avvisano l’utente prima di installare il software nel computer. Il valore di default inoltre inibisce l’installazione di software ai soli utenti con privilegi amministrativi.

Printer driver certificati, come quelli presenti nel DVD di installazione o nei pacchetti di installazione, non richiedono le credenziali di amministrazione per eseguire l’installazione.

Configurazione: Nessuna ulteriore configurazione è necessaria.

User Experience: Se un utente si collega da una stampante di rete e i driver necessari non sono presenti nel computer, o se il driver è stato aggiornato nel printer server, “Point & Print” inizia il processo di installazione. Per prima cosa, è visualizzato un messaggio di avvertimento all’utente come illustrato di seguito:

clip_image006

Dopo che un utente con i privilegi amministrativi clicca sul pulsante “Installa driver”, una finestra di dialogo è visualizzata richiedendo i permessi per continuare.

Se l’utente invece non ha i diritti amministrativi per installare i driver, sarà visualizzata la schermata del “Controllo Account Utente” (User Account Control) richiedendo la password di amministrazione.

clip_image008

Scenario 3: Utilizzare “Point & Print” su alcuni Printer Server

La group policy “Point & Print Restrictions” permette di limitare i server ai quali gli utenti possono collegarsi per installare le stampanti. Inoltre, è possibile limitare il tipo di driver disponibili sul server in modo da utilizzare solo driver certificati o che non richiedono il download, come quelli presenti nel DVD di installazione.

Configurazione: Primo, configura il printer server in modo da condividere solo stampanti con driver certificati o già presenti nel DVD di installazione del client. Questi driver possono essere:

  • in-box printer drivers
  • printer driver presenti in un pacchetto
  • printer driver testati e certificati
  • printer driver già installati nel client.

Poi configura le seguenti opzioni nelle Group Policy:

  • “Restrizioni di selezione e stampa” (Point and Print Restrictions): Attivata.
  • “Gli utenti possono selezionare e stampare soltanto su questi server” (Users can only point and print to these servers): Selezionata.
  • Immettere i nomi completi dei server (FQDN - Fully Qualified Server Name) separati dal punto e virgola
  • Quando si installano i driver per una nuova connessione (When installing drivers for a new connection): Non mostrare avvisi o richieste di elevazione.
  • Quando si aggiornano i driver per una connessione esistente (When updating drivers for an existing connection): Non mostrare avvisi o richieste di elevazione.

User Experience: Quando un utente si collega ad una stampante che è condivisa su un printer server presente nella lista della Group Policy, Point & Print installa i driver necessari e non richiede l’interazione dell’utente. Se un utente si collega ad un stampante di rete su un altro server, Point & Print non installerà i driver sul client. L’utente potrà utilizzare ugualmente la stampante ma solo se non sarà necessario scaricare i driver (installati precedentemente oppure inbox).

Scenario 4: Utilizzare stampanti solo con driver inclusi nel DVD di installazione

Le stampanti con i driver presenti nel DVD di installazione possono essere utilizzate senza la necessità di scaricare del software dal printer server. Se tutte le stampanti presenti nella rete utilizzano dei driver inbox, non sarà visualizzato nessun messaggio di avviso agli utenti quando si collegheranno alle stampanti.

Configurazione: Verificare che tutte le stampanti condivise abbiano disponibili dei driver inbox per tutte le versioni di Windows installate nei client aziendali.

User Experience: Quando un utente si collega alla stampante di rete che ha dei driver inbox, la stampante sarà installata utilizzando il software già presente nel computer client. Point & Print non scaricherà nessun driver e quindi l’utente non vedrà nessun messaggio di avviso.

Scenario 5: Utilizzare il livello di sicurezza di Windows XP

E’ possibile utilizzare la Group Policy delle restrizioni Point & Print per fornire ad un client con Windows Vista, lo stesso livello di sicurezza presente in Windows XP.

Configurazione: Configurare la group policy “Restrizioni di selezione e stampa” (Point and Print Restrictions) come segue:

  • “Restrizioni di selezione e stampa” (Point and Print Restrictions): Attivata.
  • Quando si installano i driver per una nuova connessione (When installing drivers for a new connection): “Non mostrare avvisi o richieste di elevazione” - Do not show warning or elevation prompt.
  • Quando si aggiornano i driver per una connessione esistente (When updating drivers for an existing connection): “Non mostrare avvisi o richieste di elevazione” - Do not show warning or elevation prompt.

User Experience: Gli utenti non vedranno nessun messaggio di avviso aggiuntivo quando si collegheranno ad una stampante di rete e Point & Print eseguirà l’installazione dei nuovi driver o eseguirà un aggiornamento della configurazione esistente nel client.

Scenario 6: Utilizzare stampanti con Pacchetti Driver (Printer Driver Packages)

Windows Vista introduce un nuovo modo di distribuire i driver per le stampanti. Un Pacchetto Driver è costituito da un gruppo di file firmato digitalmente che forma un printer driver. Questi pacchetti sono sicuri e possono essere installati dagli utenti senza richiedere permessi di tipo amministrativo.

Configurazione: Verificate che la stampante di rete presente nel print server abbia un Printer Driver Packages fornito dal costruttore. Da notare che solo Windows Vista e Windows Server 2008 possono utilizzare i Pacchetti Driver. Computer che hanno installato una versione precedente di Windows non possono utilizzare il Printer Driver Packages.

User Experience: Siccome i Pacchetti Driver sono firmati digitalmente e quindi sicuri, questi sono scaricati e installati senza visualizzare nessun tipo di avviso all’utente.

Maggiori informazioni e approfondimenti:


Daniele Maso
Senior Support Engineer
Microsoft Enterprise Platforms Support