Не запускается Мастер добавления принтеров под Пользователями
 

Прошу помощи!

С некоторых пор (после установки очередного драйвера) на сервере перестал запускаться Мастер добавления принтеров под пользователями, имеющими полномочия Пользователи, Пользователи удаленного рабочего стола. Выскакивает сообщение об ошибке: "Не удалось открыть мастер добавления принтеров. Отказано в доступе." Под Администраторами все работает. Также не удается посмотреть под Пользователями свойства уже установленных принтеров (ошибка аналогичная - отказано в доступе). Печать под ними тоже не работает (под администраторами все работает) В чем может быть причина? Права на папку system32\spool проверял, там все в порядке... Переставлять систему вариант сложный и тяжелый, пользователей и принтеров много...

Дайте им полномочия операторов печати.
Если знаете, какой драйвер помешал, то можно же деинсталлировать-переустановить.

SergeyF1980, сделайте лог Process Monitor следующим образом:

1. зайдите в систему под пользователем;
2. запустите Process Monitor от имени учетной записи с правами администратора (правой кнопкой мыши -> Запуск от имени);
3. попытайтесь открыть свойства принтера или отправить на печать, чтобы появилась ошибка "Отказано в доступе";
4. сохраните лог: меню File -> Save -> CSV-формат;
5. заархивируйте и выложите на любой файлообменник, например http://rghost.ru

Права операторов печати давал, это не помогает. Какой именно драйвер так "помог" сказать трудно, ставилось порядка 5 принтеров, сейчас они все работают, сносить все... тоже не особо хороший вариант. Хочется разобраться. Рядом стоит аналогичный сервер, на нем под пользователями мастер запускается, без всякого шаманства...

Process monitor успешно запускается под пользователем с правами Администратора, под пользователем с правами Пользователя, при запуске с повышением полномочий (правой кнопкой запуск от имени Администратора) форма программы не показывается, вместо этого до бесконечности начинает множиться процесс Procmon64.exe так, что приходится завершать сеанс... Кстати, тоже самое проиходит, если пытаться запустить без повышения полномочий.

Не выбирайте "Запуск от имени администратора".
Выбирайте "Запуск от имени".

Видимо я что-то не понимаю..., вот скриншот: http://rghost.ru/47642167

SergeyF1980, странно, что Process Monitor не можете запустить.
Выложите результаты выполнения в командной строке (cmd.exe) от имени Администратора:

C:\Windows\System32\spool BUILTIN\Пользователи:(OI)(CI)(M)
NT SERVICE\TrustedInstaller:(I)(F)
NT SERVICE\TrustedInstaller:(I)(CI)(IO)(F)
NT AUTHORITY\система:(I)(F)
NT AUTHORITY\система:(I)(OI)(CI)(IO)(F)
BUILTIN\Администраторы:(I)(F)
BUILTIN\Администраторы:(I)(OI)(CI)(IO)(F)
BUILTIN\Пользователи:(I)(RX)
BUILTIN\Пользователи:(I)(OI)(CI)(IO)(GR,GE)
СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ:(I)(OI)(CI)(IO)(F)

Успешно обработано 1 файлов; не удалось обработать 0 файлов

C:\Users\Филиппов>icacls.exe %windir%\System32\spool\drivers
C:\Windows\System32\spool\drivers Все:(OI)(CI)(RX)
BUILTIN\Пользователи:(OI)(CI)(F)
СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ:(OI)(CI)(IO)(F)
NT AUTHORITY\система:(OI)(CI)(F)
BUILTIN\Администраторы:(OI)(CI)(F)

Успешно обработано 1 файлов; не удалось обработать 0 файлов

C:\Users\Филиппов>icacls.exe %windir%\System32\spool\drivers\color
C:\Windows\System32\spool\drivers\color NT SERVICE\TrustedInstaller:(CI)(F)
NT AUTHORITY\система:(M)
NT AUTHORITY\система:(OI)(CI)(IO)(F)
BUILTIN\Администраторы:(M)
BUILTIN\Администраторы:(OI)(CI)(IO)(F)
BUILTIN\Пользователи:(OI)(CI)(RX,WD)
СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ:(OI)(CI)(IO)(DE,GR,GW
)

Успешно обработано 1 файлов; не удалось обработать 0 файлов

C:\Users\Филиппов>icacls.exe %windir%\System32\spool\drivers\W32X86
C:\Windows\System32\spool\drivers\W32X86 Все:(I)(OI)(CI)(RX)
BUILTIN\Пользователи:(I)(OI)(CI)(F)
NT AUTHORITY\система:(I)(F)
СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ:(I)(OI)(CI)(IO)(F)
NT AUTHORITY\система:(I)(OI)(CI)(IO)(F)

BUILTIN\Администраторы:(I)(OI)(CI)(F)

Успешно обработано 1 файлов; не удалось обработать 0 файлов

C:\Users\Филиппов>icacls.exe %windir%\System32\spool\drivers\x64\3
C:\Windows\System32\spool\drivers\x64\3 Все:(I)(OI)(CI)(RX)
BUILTIN\Пользователи:(I)(OI)(CI)(F)
NT AUTHORITY\система:(I)(F)
СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ:(I)(OI)(CI)(IO)(F)
NT AUTHORITY\система:(I)(OI)(CI)(IO)(F)
BUILTIN\Администраторы:(I)(OI)(CI)(F)

Успешно обработано 1 файлов; не удалось обработать 0 файлов

C:\Users\Филиппов>icacls.exe %windir%\System32\spool\PRINTERS
C:\Windows\System32\spool\PRINTERS СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ:(OI)(CI)(IO)(R,W,D,WDAC,WO
,DC)
NT AUTHORITY\система:(OI)(CI)(R,W,D,WDAC,WO,D
C)
BUILTIN\Администраторы:(OI)(CI)(R,W,D,WDAC,WO
,DC)
BUILTIN\Пользователи:(OI)(CI)(R,W)

Успешно обработано 1 файлов; не удалось обработать 0 файлов

SergeyF1980, Process Monitor из локальной папки запускаете? Не из сети?

Да, с рабочего стола пользователя.

SergeyF1980, а если так: зайти под пользователем, запустить командную строку от имени администратора и оттуда уже Procmon.

Возможно, учетная запись администратора не имеет разрешений на папку пользователя?

Цитата: а если так: зайти под пользователем, запустить командную строку от имени администратора и оттуда уже Procmon.

Попробовал так, результат тот же. Такое ощущение, что повышения полномочий не происходит. (Программу переложил в корень диска)

На папку Users\Тест (папка пользователя Тест) Администраторы права имеют. Туда можно спокойно зайти иделать все что угодно.

SergeyF1980, ну тогда в два сеанса войдите по RDP:

• под администратором для запуска Procmon;
• под пользователем для получения ошибки.

Лог-файл: http://rghost.ru/47665078 Ошибка под пользователем Тест. Скриншот самой ошибки: http://rghost.ru/47665230

SergeyF1980, сервер давно не перезагружался? Попробуйте спулер(Диспетчер печати) перезапустить в службах. И... насколько помню в конце прошлого года выходил неслабый такой апдейт спулера на стабильность - сервер обновляется или как у большинства? Я всю критику и безопаску автоматом ставлю - если что. Остальное по желанию. Жить немного легче.
P.S. Служба очень капризная, особенно на терминалах - поэтому 1-2 глюка её надо бы выставить на перезапуск(в свойствах), а на третий - отправку сообщения админу, будет понятней может быть.

SergeyF1980, к сожалению, в логе нет ошибок ACCESS DENIED, относящихся к печати (надеюсь, вы правильно его делали).

Нашел аналогичную тему
Windows can't open Add Printer. Access is denied

3. Сглючил спулер. Как обычно на 2003/2003 R2 и часто на 2008/R2 без обновлений - раза по 2-3 в день выгребаю так задачи от юзеров на московские серваки которые без апдейтов. "Работает - не трогай" - угу, убил бы уже нафиг тамошних сисадминов. Но не дано рогов, к сожалению, хоть и забодал их уже всех.
Сразу скажу - не маньяк все 7 гигов апдетов на 2003 шерстить, или 2.5 гига на 2008 и проверять на тесте, поэтому довел только за полтора года подотвественную рабочуюю часть постепенно до нормали(стабильной и предсказуемой работы). Последний ремотэфикс главное не ставьте без прочитки доков - остальное работает все норм (WSUS, критика и безопаска - автоматом, ремотэфикс и прочее в дополниловке - вручную)

Имхо, проблема решается просто: раз под администратором все работает, то надо дать временно нужному пользователю права администратора, зайти им, установить нужный принтер, а потом права администратора отнять. Принтер останется установленным.

Огромное спасибо!!! Все получилось! Оказывается, слетели настройки безопасности сервера печати. Помогло вот это:

Second, I went to the Security tab and added "Computername\Users" (substituting "Computername" with the name of my computer). Computername\Users were given the permission to "Print" and "View Server". No other permissions were granted to Computername\Users. Computername\Administrators had full permissions.

Pressed OK, logged out and back in. Printers were then visible again, and the Add Printer Wizard was again accessable.

Еще раз большое спасибо!