Рассмотрим возможности автоматического подключения принтеров пользователям домена Active Directory с помощью групповых политик (GPO). Довольно удобно, когда при первом входе в систему у пользователя сразу устанавливаются и появляются в принтерах доступные ему устройства.
Рассмотрим следующую конфигурацию: в организации имеется 3 отдела, каждый отдел должен печатать документы на собственном цветном сетевом принтере. Ваша задача, как администратора, настроить автоматическое подключение сетевых принтеров пользователям в зависимости от отдела.
Подключение принтеров пользователям через GPO
Создайте три новые группы безопасности в AD (prn_HPColorSales, prn_HPColorIT, prn_HPColorManagers) и добавьте в нее пользователей отделов (наполнение групп пользователей можно автоматизировать по статье “Динамические группы в AD”). Вы можете создать группы в консоли ADUC, или с помощью командлета New-ADGroup:
New-ADGroup "prnHPColorSales" -path 'OU=Groups,OU=Moscow,DC=corp,dc=winitpro,DC=ru' -GroupScope Global –PassThru
- Запустите консоль редактора доменных политик (GPMC.msc), создайте новую политику prnt_AutoConnect и прилинкуйте ее к OU с пользователями;
Если у вас в домене используется небольшое количество сетевых принтеров (до 30-50), вы можете все их настраивать с помощью одной GPO. Если у вас сложная структура домена, есть сайты AD, используется делегирование прав администраторам филиалов, лучше создать несколько политик подключения принтеров, например по одной политике на сайт или OU. - Перейдите в режим редактирования политики и разверните секцию User Configuration -> Preferences -> Control Panel Setting -> Printers. Создайте новый элемент политики с именем Shared Printer; Если вы хотите подключать принтер по IP адресу (не через принт-сервера, а напрямую), выберите пункт TCP/IP Printer.
- Действие – Update. В поле Shared Path укажите UNC адрес принтера, например,
\\msk-prnt\hpcolorsales(в моем примере все принтеры подключены к принт-серверу\\msk-prnt). Здесь же вы можете указать, нужно ли использовать этот принтер в качестве принтера по-умолчанию;
- Перейдите на вкладку Common и укажите, что принтер нужно подключать в контексте пользователя (опция Run in logged-on user’s security context). Также выберите опцию Item-level targeting и нажмите на кнопку Targeting;
- С помощью нацеливания GPP вам нужно указать, что данная политика подключения принтера применялась только для членов группы prn_HPColorSales. Для этого нажмите New Item -> Security Group -> в качестве имени группы укажите prn_HPColorSales;
Обратите внимание, что данное ограничение не запрещает любому пользователю домена подключить это принтер вручную в проводнике Windows. Чтобы ограничить доступ к принтеру, нужно изменить права доступа к нему на принт-сервере, ограничив возможность печати определенными группам. - Аналогичным образом создайте политики подключения принтеров для других групп пользователей.
При использовании такой групповой политики, новые принтера будут устанавливаться у пользователей, только если на их компьютере уже установлен соответствующий принтеру драйвер печати. Дело в том, что у обычных пользователей нет прав на установку драйверов.
Настройка политики подключения принтеров Point and Print Restrictions
Для корректного подключения принтеров у любого пользователя, вам придется настроить политику Point and Print Restrictions и настроить адреса принт-серверов серверов, с которых пользователей разрешено устанавливать принтеры.
Если вы подключаете принтеры через пользовательский раздел политики, перейдите в раздел GPO User Configuration -> Policy -> Administrative Templates -> Control Panel -> Printers -> Printer -> Point and Print Restriction. Включите политику (Enabled) и настройте ее следующим образом:
- Users can only point and print to these servers –укажите список принт-серверов, с которых разрешено устанавливать драйвера (указываются FQDN имена, разделитель точка с запятой);
- When installing driver for new connection -> Do not show warning or elevation prompt
- When installing driver for existing connection -> Do not show warning or elevation prompt.
Аналогичным образом нужно включить политику Package Point and Print – Approved server в разделе User Configuration -> Policies -> Administrative Templates -> Printers и задать в ней список доверенных принт-серверов.
Теперь после перезагрузки компьютера при входе пользователя у него будет автоматически подключаться назначенный ему сетевой принтер.
Несколько лет пользовался GPP для назначения принтеров (Samsung\Kyocera). Единственный нерешенный вопрос это назначение принтера по умолчанию. Если у вас у одного человека доступ к нескольким принтерам, то там начинается чехарда. Кроме того не совсем удобно удалять принтеры и менять им имя через GPP — куча мусора остается. Сейчас некоторые принтеры настроили на развертывание через Computer Configuration -> Policies -> Windows Settings -> Deployed Printers с нацеливанием на пользователя. Как-то понадежней работает.
Вы уверены что это «старый механизм»?
На счет «старого механизма» это чисто мое субъективное мнение. На мой взгляд GPP гораздо гибче при назначении принтеров пользователям.
+ «Deployed Printers» требует обязательного наличия установленной роли Print Server
Простите, а собственно чем плох вариант развертывания через принт сервер?
Указываешь OU с ПК и с юзверями и им соответственно прилетает… разве нет?
Можно распространять принтеры на пользователей и таки образом. Все зависит от инфраструктуры.
Но, на мой взгляд метод с GPP более универсальный и гибкий. Кроме того, не нужно ставить роль принт-сервера, а также можно подключить сетевые принтеры (не опубликованные на принт-сервере) или принтеры с компьютеров других пользователей.
Пример:
Отдел А и принтер #1 и отдел Б, принтер #2.
Политика на пользователя.
Сотрудник из отдела А приходит в отдел Б, логинится и ему из за политики на пользователя прилетает принтер физически расположенный в отделе А. Расстояние между отделами огромное.
По этой причине только политика на машину.
Ситуация Б — машины гораздо чаще перемещаются чем пользователи. Кроме того некоторым при заходе через RDS удобно печатать на принтер своего отдела.
Все зависит от вашей инфрастурктуры, струтуры и бизнес задач…. В статье я лишь привожу свои рекомендации. Можно много привести доводов в пользу обоих примеров.
Как использовать технологию автоподключения принтера — решать вам как сисадмину. Вы лучше значете свою кухню.
Админ, почини SMTP)))
webmaster@example.com
Blacklisted by the SPF Test (sender forged per policy of "example.com", SPF result: "fail").
37.252.2.22
«3. Действие – Update. В поле Shared Path укажите UNC адрес принтера, например, \\msk-prnt\hpcolorsales»…
Если указать ip адрес сетевого принтера, то данная схема не работает. Как быть, если нет принт-сервера, а у принтера только ip?
Сделать принтсервер или расшарить на любом другом компьютере.
См. ремарку.
Если вы хотите подключать принтер по IP адресу (не через принт-сервера, а напрямую), выберите пункт TCP/IP Printer.Да, но при этом настройка требует указать printer path, которая позволяет указать через обзор […] принтера, которые расшарены кем-то или на print-сервере и зарегистрированы в ActiveDirectory. А указав \\ip результата не дает.
В поле Printer Path попробуйте указать путь UNC путь к принтеру (в виде
\\pcname\hp2000), с которого нужно получить драйвер для принтера (это может быть любой другой компьютер с настроенным и расшаренным этим или другим принтером той же модели).Всё хорошо, только последние два пункта надо настраивать не в User Configuration, а в Сomputer Configuration. Второй скриншот снизу именно из того раздела.
Проверил: настройки по меcту «User Configuration -> Policy -> Administrative Templates -> Control Panel -> Printers» на установку принтеров никак не влияют. И даже более того — они вредны (если вчитаться в описание). Поэтому я их поставил в режим «Отключено».
Итого у нас получается две политики. Первая применяется на компьютеры, вторая — на пользователей.
Не корректно выразился. Имел ввиду, что для подключения принтеров через GPO нужно настраивать политику как в разделе User Configuration, так и в разделе Сomputer Configuration. Вот.
а что нужно указать в «Shared printer path» при добавлении принтера как TCP/IP Printer? Тем более если он не расшарен?
Насколько я помню там указывается UNC путь к принтеру, с которого нужно получить драйвера. Т.е. нужно руками подключить и расшиарить этот принтер на одном компьютере.