Betrifft das Aktivieren von Windows Protected Print Mode alle Nutzer:innen auf einem PC?

By Henning Volkmer on Juli 3, 2026

<span id="hs_cos_wrapper_name" class="hs_cos_wrapper hs_cos_wrapper_meta_field hs_cos_wrapper_type_text" style="" data-hs-cos-general-type="meta_field" data-hs-cos-type="text" >Betrifft das Aktivieren von Windows Protected Print Mode alle Nutzer:innen auf einem PC?</span>

TL;DR

Ja. Windows Protected Print Mode (WPP) ist eine gerätebezogene und keine organisationsweite Einstellung. Die Aktivierung gilt daher für jedes Nutzer:innenprofil auf diesem PC und nicht nur für die Person, die sie eingeschaltet hat. Es gibt keine Möglichkeit, WPP auf eine:n einzelne:n Nutzende:n zu beschränken. Sobald der Modus aktiviert ist, druckt das Gerät nur noch auf Mopria-zertifizierte Drucker. Alle nicht Mopria‑zertifizierten Drucker sind dann für alle, die das Gerät nutzen, nicht mehr sichtbar. Eine einzelne Person kann diese Einstellung nur auf ihrem eigenen PC ändern. Die unternehmensweite Einführung von WPP ist ein separater Schritt, den ein:e IT‑Administrator:in über eine Gruppenrichtlinie oder Intune vornimmt. Auf gemeinsam genutzten oder Hot‑Desk‑Geräten ist es am sichersten, diese Einstellung zentral zu sperren, damit lokale Administrator:innen sie nicht versehentlich aktivieren können.

Windows Protected Print Mode ist eine Sicherheitsfunktion in Windows 11 Version 24H2 und neuer. Sie beschränkt einen PC auf das Drucken über den integrierten Microsoft IPP‑Klassentreiber auf Mopria‑zertifizierte Drucker und blockiert Druckertreiber von Drittanbietern. WPP ist der strikte Erzwingungsmodus von Windows Ready Print (WRP), der umfassenderen IPP‑basierten Druckplattform, die weiterhin einen Fallback auf ältere Treiber erlaubt. Wenn WPP aktiviert ist, entfällt dieser Fallback.

Gilt der Windows Protected Print Mode pro Nutzer:in oder pro Gerät?

Windows Protected Print Mode ist eine gerätebezogene Einstellung, die auf Betriebssystemebene auf dem Client erzwungen wird. Sobald sie über die Einstellungen, eine Gruppenrichtlinie oder Intune aktiviert wird, steuert sie, wie der Print spooler Treiber für das gesamte Gerät lädt, und jedes Nutzer:innenprofil übernimmt dieselben Regeln. Es ist nicht möglich, WPP für ein Profil zu aktivieren und ein anderes beim herkömmlichen Drucken zu belassen. WPP gilt für den Client selbst, nicht für einzelne Drucker oder einzelne Nutzer:innen.

Was passiert mit Druckern und Treibern, wenn du WPP aktivierst?

Die Aktivierung von WPP verändert die Druckkonfiguration des Geräts auf vier Arten:

  • Jeder Drucker, der auf einen Treiber eines Drittanbieters angewiesen ist, wird deinstalliert und sein Treiber aus dem Treiberspeicher entfernt.
  • Nicht Mopria‑zertifizierte Drucker können von keinem Konto neu installiert werden, solange WPP aktiv ist.
  • Mopria‑zertifizierte Drucker können neu installiert werden, verwenden dann aber Windows Ready Print anstelle ihres alten Treibers.
  • Jeder Drucker, den ein:e Nutzende:r hinzufügt, während WPP aktiviert ist, muss Mopria‑zertifiziert sein, um installiert werden zu können.

wpp-mopria-certified-printers

Wirkt sich die Aktivierung von WPP auf andere Personen auf einem gemeinsam genutzten PC aus?

Ja. Alle Profile auf diesem Gerät unterliegen denselben Regeln, daher verlieren Kolleg:innen, die sich am selben PC anmelden, dieselben Drucker, auch wenn sie die Einstellung nie geändert haben. Das macht gemeinsam genutzte Windows‑Clients zum risikoreichsten Ort, um WPP zu aktivieren. Hot‑Desk‑Setups (Empfangstresen, Laborarbeitsplätze, , Back‑Office‑PCs im Einzelhandel, Terminals in der Fertigung) und Geräte mit geteilten Konten (Bibliotheksterminals, Computer in Klassenzimmern, PCs in Konferenzräumen) laufen alle mit einer Druckkonfiguration für mehrere Personen. Dieselbe Einschränkung gilt für Tests durch Administrator:innen: Administrator:innen können einen WPP‑Test nicht auf ihr eigenes Profil beschränken, weil die Aktivierung die Druckkonfiguration für alle Nutzenden ändert, die sich danach anmelden.

Wie testest du den Windows Protected Print Mode, ohne andere Nutzende zu beeinträchtigen?

Teste WPP auf Hardware, auf der sich niemand sonst anmeldet. Nutze eine dedizierte Test‑Workstation oder beschränke die Einführung über eine Gruppenrichtlinie oder Intune auf eine OU, die nur Testgeräte enthält. Eine nutzer:innenbezogene GPO‑Einschränkung hilft nicht, da WPP eine computerseitige Richtlinie ist, die für das Gerät gilt, unabhängig davon, wer sich anmeldet. Bei der Aktivierung von WPP über die Einstellungen wird außerdem eine Warnung angezeigt, dass inkompatible Drucker entfernt werden, und du wirst um Bestätigung gebeten. So kannst du den Vorgang abbrechen, bevor du die Änderung auf einem Gerät vornimmst, bei dem du dir unsicher bist.

Wie sperrst du den Windows Protected Print Mode per Gruppenrichtlinie?

Sperre WPP mit der Richtlinie "Configure Windows protected print" unter Computerkonfiguration > Administrative Vorlagen > Drucker. Die Richtlinie hat drei Zustände:

  • Aktiviert schaltet WPP ein und verhindert, dass es lokal ausgeschaltet wird.
  • Deaktiviert schaltet WPP auf dem gesamten Gerät aus und hindert lokale Administrator:innen daran, es in den Einstellungen zu aktivieren.
  • Nicht konfiguriert überlässt die Entscheidung den Nutzenden. Das ist die Standardeinstellung.

In Intune ist das Äquivalent die ConfigureWindowsProtectedPrint policy CSP.

Wähle die Option, die deiner Sicherheits‑Baseline entspricht. Wenn WPP Teil der Baseline ist, sperre die Richtlinie im aktivierten Zustand, damit lokale Administrator:innen sie nicht deaktivieren können, um einen nicht Mopria‑zertifizierten Drucker wiederherzustellen. Wenn die Flotte noch nicht bereit ist, sperre sie im deaktivierten Zustand, damit niemand sie versehentlich auf einer gemeinsam genutzten Workstation aktiviert. Als Faustregel gilt: Lass WPP auf gemeinsam genutzten oder Hot‑Desk‑Geräten nicht über die lokalen Admin‑Einstellungen umschaltbar.

Wie schaltest du WPP aus, wenn es versehentlich aktiviert wurde?

Wenn WPP versehentlich eingeschaltet wurde und Drucker für andere Nutzende verschwunden sind, gibt es zwei Wege zurück:

  1. Wenn die Einstellung lokal vorgenommen wurde, deaktiviere WPP in den Einstellungen oder mache die Gruppenrichtlinie rückgängig. Installiere dann alle nicht Mopria‑zertifizierten Drucker, die entfernt wurden, manuell neu. Drucker, die installiert wurden, während WPP aktiv war, verwenden auch nach der Deaktivierung von WPP weiterhin Windows Ready Print, es sei denn, du entfernst und installierst sie neu.
  2. Wenn die Einstellung per Gruppenrichtlinie erzwungen wurde und du sie auf dem Gerät nicht ändern kannst, muss die Person, die die Richtlinie festgelegt hat, den OU‑Geltungsbereich oder die GPO selbst aktualisieren. Lokale Änderungen können eine erzwungene Richtlinie nicht überschreiben.

man-printing-office-wpp

Funktioniert ezeep mit dem Windows Protected Print Mode?

Ja, ezeep nutzt Cloud rendering für Druckaufträge und sendet druckfertige Daten an das Ausgabegerät. Daher ist es nicht davon abhängig, dass der Windows‑Client einen Druckertreiber lädt. Genau das schränkt WPP ein — und genau das umgeht ezeep. Die physischen Drucker, mit denen ezeep kommuniziert, benötigen keine Mopria‑Zertifizierung, da das Rendering und die Übermittlung an das Gerät außerhalb des Windows‑Treibermodells stattfinden. Auf einer gemeinsam genutzten Workstation, auf der WPP aktiviert ist, bleibt das Drucken über ezeep verfügbar – für jedes Nutzer:innenprofil auf diesem Gerät. Der Cloud rendering‑Pfad leitet Aufträge an den Drucker weiter, unabhängig vom WPP‑Status des Geräts.

Das ist im Gesamtkontext von WPP eine kleine, aber für die Diagnose nützliche Frage. Wenn deine gemeinsam genutzten Workstations über ezeep drucken, funktionieren diese auch während einer Umstellung auf WPP weiter. Die Drucker mit alten Treibern, die daneben stehen, tun dies nicht.

Sprich mit einem Experten über dein WPP‑Setup

Sende uns eine Kontaktanfrage, und wir können gemeinsam dein Setup besprechen und wie ezeep dir helfen kann, auch bei aktiviertem Windows Protected Print Mode weiter zu drucken.

ezeep-for-WPP
Bist du bereit, WPP zu aktivieren?
Arbeite zuerst unsere Checkliste durch.
Kostenlose Checkliste

 

Frequently Asked Questions

Kann ich WPP auf demselben PC für verschiedene Nutzer:innen unterschiedlich aktivieren?

Nein. WPP ist eine maschinenbezogene Windows‑Einstellung. Sie gilt für den gesamten Computer und alle darauf angelegten Nutzerprofile; es gibt keine unterstützte Möglichkeit, sie auf ein einzelnes Profil zu beschränken.

Worin besteht der Unterschied zwischen Windows Ready Print und Windows Protected Print Mode?

Windows Ready Print (WRP) ist die umfassendere, moderne Druckplattform: IPP‑basiert, mit einem Legacy‑Treiber‑Fallback, der weiterhin verfügbar ist. Windows Protected Print Mode ist der strikte Erzwingungsmodus darauf aufbauend. WRP ist eine Präferenz; WPP entfernt das Fallback und erzwingt ausschließlich Mopria‑zertifiziertes, treiberloses Drucken.

Benötigt man Administratorrechte, um Windows Protected Print Mode zu aktivieren?

Ja. Das Aktivieren oder Deaktivieren von WPP in den Einstellungen erfordert lokale Administratorrechte auf dem betreffenden PC. In verwalteten Umgebungen, in denen Mitarbeitende Standardnutzer:innen sind, können sie die Einstellung nicht ändern; deshalb wird WPP üblicherweise zentral über Group Policy oder Intune gesteuert.

Kann ich WPP per Group Policy auf eine bestimmte Benutzer‑OU statt auf eine Computer‑OU beschränken?

Nein. WPP wird auf der Computerseite der Group Policy konfiguriert, nicht auf der Benutzerseite. Eine Verknüpfung der Richtlinie mit einer Benutzer‑OU ändert daher nichts an WPP, da die Einstellung für den Computer und nicht für das Konto gilt.

Wenn ich WPP auf einem gemeinsam genutzten Client deaktiviere, werden die deinstallierten Drucker automatisch wieder installiert?

Nein. Das Deaktivieren von WPP hebt die Einschränkung zwar auf, aber Nicht‑Mopria‑Drucker, die bei Aktivierung von WPP deinstalliert wurden, müssen manuell wieder installiert werden.

Gilt WPP für Nutzende, die sich über RDP verbinden?

WPP wird auf dem Host‑Computer erzwungen, auf dem es aktiviert ist; der clientseitige WPP‑Status der sich verbindenden Nutzenden wird nicht in die Sitzung übernommen. Wie sich umgeleitete Client‑Drucker über den RDP‑Kanal verhalten, ist ein separater Mechanismus, den Microsoft nicht dokumentiert und der von der eingesetzten Umleitungsmethode abhängt. Überprüfe das Verhalten in deiner Umgebung, bevor du WPP auf RDS‑ oder VDI‑Hosts aktivierst.

Back to top