Zarządzanie drukowaniem w Windows Server 2025 (Windows Server 2025 Print Management) to scentralizowany zestaw narzędzi i konsol administracyjnych umożliwiający wdrażanie, monitorowanie i kontrolę dostępu do drukarek w sieci firmowej. Po serii głośnych luk typu PrintNightmare Microsoft radykalnie zaostrzył domyślne polityki bezpieczeństwa usługi buforu wydruku (Print Spooler) — zarządzanie drukowaniem w Windows Server 2025 nigdy nie było tak bezpieczne, ale też nigdy nie wymagało od administratora tyle uwagi na etapie konfiguracji.
W skrócie
- Windows Server 2025 domyślnie blokuje zdalne instalowanie sterowników drukarek przez nieuprzywilejowanych użytkowników (reguła Point and Print Restrictions zaostrzona)
- Konsola Print Management (
printmanagement.msc) jest centralnym narzędziem — umożliwia dodawanie serwerów, wdrażanie kolejek, zarządzanie sterownikami i delegację uprawnień- Rola Print and Document Services instalowana jest przez Server Manager lub PowerShell i zawiera Print Server, LPD Service oraz Internet Printing
- Windows Server 2025 integruje się z Universal Print — chmurowym rozwiązaniem Microsoft eliminującym potrzebę lokalnego serwera wydruku
- Wszystkie komunikaty RPC i SMB związane z drukowaniem podlegają teraz wymuszonemu podpisywaniu (SMB signing domyślnie włączone dla połączeń wychodzących)
- Obsługa drukarek sieciowych przez HTTPS/IPP (Internet Printing Protocol) zyskuje na znaczeniu jako alternatywa dla klasycznego udostępniania przez SMB
Rola Print and Document Services — instalacja krok po kroku
Zanim zaczniesz zarządzać drukarkami, musisz zainstalować odpowiednią rolę serwera. W Windows Server 2025 robi się to na dwa sposoby:
Instalacja przez Server Manager
- Otwórz Server Manager → Add Roles and Features.
- Na ekranie wyboru ról zaznacz Print and Document Services.
- Kreator domyślnie zaznaczy Print Server — to wystarczy dla 90% środowisk. Opcjonalnie możesz dodać:
- LPD Service — jeśli w sieci masz urządzenia Unix/Linux korzystające z LPR/LPD
- Internet Printing — jeśli planujesz udostępniać drukarki przez HTTPS/IPP
- Dokończ kreatora i uruchom ponownie serwer (tylko przy pierwszej instalacji roli).
Instalacja przez PowerShell (zalecana w skryptach wdrożeniowych)
Install-WindowsFeature -Name Print-Server -IncludeManagementTools
Dla pełnej instalacji ze wszystkimi składnikami:
Install-WindowsFeature -Name Print-Server, Print-LPD-Service, Print-Internet -IncludeManagementTools
Po instalacji roli w menu Tools Server Managera pojawi się pozycja Print Management.
Konsola Print Management — centrum dowodzenia drukowaniem
Konsola Print Management (printmanagement.msc) to konsola MMC, która w Windows Server 2025 zawiera cztery kluczowe węzły:
| Węzeł | Funkcja |
|---|---|
| Custom Filters | Predefiniowane i własne filtry wyświetlające wszystkie drukarki, wszystkie sterowniki, zadania oczekujące itp. |
| Print Servers | Lista zarządzanych serwerów wydruku — możesz dodać wiele serwerów (lokalny i zdalne) i zarządzać nimi z jednego miejsca |
| Deployed Printers | Drukarki wdrożone przez Group Policy — widok ułatwiający zarządzanie politykami GP |
| Drivers | Repozytorium sterowników zainstalowanych na serwerze — możesz dodawać, usuwać i izolować sterowniki |
Wdrażanie drukarek przez Group Policy
To najczystsza metoda masowego przypisywania drukarek użytkownikom lub komputerom:
- W konsoli Print Management kliknij prawym na drukarkę → Deploy with Group Policy.
- Wybierz istniejący obiekt GPO (lub utwórz nowy).
- Zdecyduj, czy drukarka ma być przypisana per user (pojawi się po zalogowaniu) czy per machine (dostępna przed zalogowaniem).
- Na stacjach roboczych uruchom
gpupdate /force— drukarka zostanie zamapowana automatycznie.
Izolacja sterowników — klucz do stabilności
Windows Server 2025 domyślnie uruchamia sterowniki drukarek w izolowanym procesie (PrintIsolationHost.exe), oddzielonym od głównego procesu buforu wydruku (spoolsv.exe). Jeśli sterownik trefnego producenta ulegnie awarii, nie pociąga za sobą całej usługi wydruku. W zakładce Drivers możesz sprawdzić, które sterowniki działają w izolacji, a które w trybie współdzielonym (Shared).
Bezpieczeństwo drukowania — co zmieniło się po PrintNightmare
Luki PrintNightmare (CVE-2021-34527 i pokrewne) zmusiły Microsoft do fundamentalnych zmian w architekturze bezpieczeństwa buforu wydruku. W Windows Server 2025 zmiany te są domyślnie wbudowane — nie trzeba ich już konfigurować ręcznie jak w przypadku Windows Server 2022.
Kluczowe mechanizmy zabezpieczeń wbudowane w Windows Server 2025
-
Restricted Point and Print — tylko administratorzy mogą instalować sterowniki drukarek ze zdalnych serwerów. Zwykły użytkownik, który kliknie „połącz z udostępnioną drukarką", nie zainstaluje już sterownika — zamiast tego zobaczy monit o podniesienie uprawnień (UAC). Można to regulować przez GPO:
Computer Configuration > Administrative Templates > Printers > Point and Print Restrictions. -
Wymuszone podpisywanie SMB — Windows Server 2025 domyślnie wymaga podpisywania dla wszystkich wychodzących połączeń SMB (włącznie z tymi do drukarek sieciowych). Uniemożliwia to ataki NTLM relay przez protokół SMB.
-
Blokada zdalnego RPC do buforu wydruku — zdalne wywołania do interfejsu RPC spoolera (
MS-RPRN) są domyślnie ograniczone. Administrator może skonfigurować listę dozwolonych serwerów przez wpis rejestruRestrictRemoteClientsw kluczuHKLM\SOFTWARE\Policies\Microsoft\Windows NT\Printers. -
Limit prób uwierzytelnienia (SMB authentication rate limiter) — nowość w Windows Server 2025, spowalnia ataki brute-force na usługi SMB, w tym na udziały drukarek.
Gdzie skonfigurować polityki bezpieczeństwa — ściąga GPO
| Polityka | Ścieżka GPO | Zalecana wartość |
|---|---|---|
| Point and Print Restrictions | Computer Config > Admin Templates > Printers | Enabled, „Users can only point and print to these servers" + lista zaufanych serwerów |
| Ograniczenie pakietów sterowników | Computer Config > Admin Templates > Printers | „Do not show 'Install driver' warning" — Disabled |
| Execute print drivers in isolated processes | Computer Config > Admin Templates > Printers | Enabled |
| Allow Print Spooler to accept client connections | Computer Config > Admin Templates > Printers | Disabled — chyba że serwer jest dedykowanym serwerem wydruku |
| SMB signing (domyślnie) | Computer Config > Admin Templates > Network > Lanman Workstation | Enabled (domyślne w 2025) |
Universal Print — nowoczesna alternatywa dla tradycyjnego serwera wydruku
Universal Print to chmurowa usługa Microsoft 365, która eliminuje potrzebę utrzymywania lokalnego serwera wydruku i zarządzania sterownikami. Windows Server 2025 ma ją wbudowaną — nie wymaga dodatkowych agentów.
Jak to działa
- Administrator konfiguruje łącznik Universal Print Connector (na Windows Server 2025 lub maszynie z Windows 10/11), który rejestruje lokalne drukarki w chmurze Azure.
- Użytkownicy dodają drukarki przez Settings > Bluetooth & Devices > Printers & Scanners > Add device — ich stacje robocze pobierają drukarki bezpośrednio z chmury Azure, bez kontaktu z lokalnym serwerem.
- Zadania drukowania są przesyłane przez HTTPS — nie przez SMB ani RPC, co eliminuje całą klasę ataków znanych z PrintNightmare.
Porównanie: Print Server vs Universal Print
| Cecha | Print Server (lokalny) | Universal Print (chmurowy) |
|---|---|---|
| Potrzebna licencja | Windows Server 2025 (plus CAL) | Subskrypcja Microsoft 365 z Azure AD Premium P1 (lub Windows Enterprise E3/E5) |
| Zarządzanie sterownikami | Administrator ładuje sterowniki ręcznie na serwer | Microsoft przetwarza sterowniki w chmurze |
| Komunikacja | SMB (445), RPC (135) | HTTPS (443) |
| Podatność na PrintNightmare | Ograniczona, ale możliwa przy złej konfiguracji | Brak — brak lokalnego spoolera wystawionego do sieci |
| Wsparcie dla drukarek USB | ✅ Tak (przez serwer) | ❌ Tylko przez Connector na maszynie lokalnej |
| Drukowanie z sieci zdalnej / VPN | Wymaga tunelu VPN do serwera | Działa natywnie — wystarczy internet |
| Skalowalność | Ograniczona sprzętem serwera | Praktycznie nieograniczona |
Monitorowanie i diagnostyka kolejek wydruku
Windows Server 2025 oferuje kilka warstw monitorowania:
Liczniki wydajności (Performance Monitor)
Dodaj zestaw liczników Print Queue do swojego zestawu monitorującego:
Total Jobs Printed— łączna liczba zadańTotal Pages Printed— strony dziennie / tygodniowo (pomaga planować obciążenie)Jobs in Queue— bieżące przeciążenie (jeśli stale >5, serwer może być przeciążony)Job Errors— błędy przetwarzania zadań
Event Viewer — dzienniki zdarzeń drukowania
Kluczowe źródła zdarzeń:
- Applications and Services Logs > Microsoft > Windows > PrintService — zdarzenia operacyjne (Event ID 307 dla każdego zadania, 842 dla błędów)
- Applications and Services Logs > Microsoft > Windows > PrintService > Admin — zdarzenia administracyjne (np. awarie sterowników, Event ID 808)
PowerShell do diagnostyki
# Lista wszystkich drukarek i ich status
Get-Printer | Format-Table Name, PrinterStatus, JobCount
# Kolejka oczekujących zadań na konkretnej drukarce
Get-PrintJob -PrinterName "HP_LaserJet_4"
# Restart usługi buforu wydruku (gdy kolejka się zacina)
Restart-Service -Name Spooler -Force
Częste pytania
Czy Windows Server 2025 Standard obsługuje rolę Print Server bez ograniczeń?
Tak. Zarówno edycja Standard, jak i Datacenter obsługują pełną funkcjonalność roli Print and Document Services. Jedyna różnica to limit liczby użytkowników wynikający z licencji CAL — edycja Standard obsługuje tyle samo równoczesnych połączeń co Datacenter, ale każdy użytkownik lub urządzenie musi mieć przypisaną licencję CAL.
Jak dodać drukarkę sieciową do Windows Server 2025 bez sterownika producenta?
Windows Server 2025 zawiera wbudowane sterowniki klasy (Class Drivers) dla setek popularnych modeli. Jeśli twoja drukarka jest zgodna z Microsoft IPP Class Driver lub Microsoft Generic Printer Driver, system automatycznie wybierze odpowiedni sterownik po wykryciu jej w sieci. W przeciwnym razie musisz ręcznie zaimportować sterownik przez konsolę Print Management → Drivers → Add Driver. Unikaj pobierania sterowników z nieoficjalnych źródeł — używaj wyłącznie paczek od producenta (HP, Brother, Canon, Xerox, itd.), najlepiej podpisanych cyfrowo.
Co zrobić, gdy usługa buforu wydruku (Spooler) ciągle się zawiesza?
Przyczyną w 90% przypadków jest wadliwy sterownik drukarki firm trzecich. Przejdź do konsoli Print Management → Drivers, znajdź sterownik, który nie działa w izolacji (kolumna Isolation = None lub Shared), i zmień go na Isolated. Jeśli to nie pomoże, usuń sterownik i zainstaluj najnowszą wersję ze strony producenta. Ostateczność: całkowite wyczyszczenie katalogu C:\Windows\System32\spool\PRINTERS i restart usługi Spooler — ale stracisz wtedy wszystkie oczekujące zadania.
Czy Windows Server 2025 może działać jako serwer wydruku dla komputerów z Windows 10 i Windows 11?
Tak — i to jest najczęstszy scenariusz. Windows Server 2025 pełni rolę centralnego repozytorium sterowników i kolejek dla klientów Windows 10 (22H2), Windows 11 (23H2 i 24H2) oraz innych Windows Server. Klient łączy się z serwerem i pobiera sterownik automatycznie, o ile polityka Point and Print na to zezwala. Pamiętaj, że sterowniki muszą być kompatybilne z architekturą klienta — jeśli stacje robocze to x64, ładuj na serwer sterowniki x64.
Czym różni się drukowanie przez SMB od drukowania przez IPP (Internet Printing Protocol)?
SMB (standardowe udostępnianie \\serwer\drukarka) używa portów 445 i 135, wymaga otwartego ruchu NetBIOS/RPC i jest protokołem, który bezpośrednio komunikuje się z Print Spoolerem serwera — to ten wektor był celem ataków PrintNightmare. IPP działa przez HTTPS (port 443), izoluje klienta od spoolera serwera i umożliwia drukowanie przez internet bez VPN. Windows Server 2025 wspiera oba protokoły, ale IPP jest rekomendowany jako bezpieczniejszy — zwłaszcza po włączeniu roli Internet Printing.
Jak dodać wiele drukarek jednocześnie do Windows Server 2025?
Użyj PowerShell z listą w pliku CSV. Przykład dla pięciu drukarek:
$printers = Import-Csv -Path "C:\Deploy\printers.csv"
foreach ($p in $printers) {
Add-Printer -Name $p.Name -DriverName $p.Driver -PortName $p.Port -Shared -ShareName $p.Share
}
Plik CSV musi zawierać kolumny Name, Driver, Port, Share. Przed wykonaniem skryptu upewnij się, że sterowniki są już załadowane w konsoli Print Management → Drivers.
Czy mogę całkowicie wyłączyć usługę Print Spooler na serwerze, który nie obsługuje drukowania?
Tak — i Microsoft zdecydowanie to zaleca. Jeśli twój Windows Server 2025 jest kontrolerem domeny, serwerem plików, serwerem SQL lub aplikacji i nie pełni roli serwera wydruku, wyłącz usługę Print Spooler całkowicie (Stop-Service Spooler; Set-Service Spooler -StartupType Disabled). Zmniejsza to powierzchnię ataku do zera w zakresie podatności związanych z drukowaniem. Na serwerach nieobsługujących drukowania to najlepsza praktyka hardeningu.
Potrzebujesz licencji Windows Server 2025 do wdrożenia serwera wydruku w swojej firmie? Sprawdź dostępne wersje w sklepie KluczeSoft.pl — licencje Windows Server — oferujemy legalne klucze w najlepszych cenach, z fakturą VAT i natychmiastową dostawą.