Auf allen Windows Systemen funktioniert unter bestimmten Umständen nach Einspielung des Security Patches MS16-087 die Druckerzuweisung über Gruppenrichtlinen nicht mehr. Der Grund dafür ist die Erhöhung der Berechtigungen in den Point-and-Print-Einschränkungen (Point and Print Restrictions) Mit dieser Einstellung lässt sich steuern, wie Benutzer Druckertreiber von Druckerservern installieren können.

Das eigentliche Problem ist der Druckertreiber. Dieser muss sich als "packaged" Treiber ausweisen. Ist das nicht der Fall scheitert die Bereitstellung des Treibers.

Leider ist dies nicht bei allen Treibern der Fall. Mit Hilfe von Powershell lässt sich der Wert relativ leicht abfragen:

Get-PrinterDriver | Where-Object {$_.IsPackageAware} | select  name

Man kann auch in der GUI des Druckservers bei den Treibern nach schauen. Dort muss bei Paket der Wert "WAHR" stehen.

Lösung: Nach Trebern des Herstellers suchen, die "Package aware" sind oder den Security Patch MS16-087 wieder entfernen (empfehle ich aber nicht!!)

Folgende Updates müssten hier entfernt werden:

bei Windows 7 bzw. 8.1 KB3170455

bei Windows 10 KB3163912

bei Windows 10 1511 KB3172985

bei Windows 10 1607 KB3163912

Spezial Lösung für Drucker, die keine aktuellen Treiber mehr bekommen, die die angeführten Kriterien erfüllen:

Anpassen des Druckers in der  Registry und den Treiber in einen "packaged" Treiber ändern.

Hier ein Beispiel mit einem Canon Drucker

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Enviroments\Windowsx64\Drivers\...\

Rechts den Wert "PrinterDriverAttributes" anpassen. Dort den derzeit aktuellen Wert um 1 erhöhen. Im Beispie lautet der aktuelle Wert "4", deshalb erhöhe ich den Wert auf "5".

Nun muss noch der Druckdienst (Spooler) neugestartet werden. Jetzt ist der Treiber "packaged" und meldet auch den Wert "WAHR".

Wer möchte kann auch die INF Datei des Treibers selber bearbeiten. Dazu gibt es einen Artikel von Microsoft.

Quellen:Technet, Antary.de, Canon