Розглянемо можливості автоматичного підключення принтерів користувачам домену Active Directory за допомогою групових політик (GPO). Досить зручно, коли при першому вході в систему у користувача відразу встановлюються і з'являються в принтерах доступні йому пристрої.
Розглянемо наступну конфігурацію: в організації є 3 відділи, кожен відділ повинен друкувати документи на власному кольоровому мережевому принтері. Ваше завдання, як адміністратора, налаштувати автоматичне підключення мережевих принтерів користувачам залежно від відділу.
зміст:
- Підключення принтерів користувачам через GPO
- Налаштування політики підключення принтерів Point and Print Restrictions
Підключення принтерів користувачам через GPO
Створіть три нові групи безпеки в AD (prn_HPColorSales, prn_HPColorIT, prn_HPColorManagers) і додайте в неї користувачів відділів (наповнення груп користувачів можна автоматизувати за статтею "Динамічні групи в AD"). Ви можете створити групи в консолі ADUC, або за допомогою командлета New-ADGroup:
New-ADGroup "prnHPColorSales" -path 'OU = Groups, OU = Moscow, DC = corp, dc = winitpro, DC = ru' -GroupScope Global -PassThru
- Запустіть консоль редактора доменних політик (GPMC.msc), створіть нову політику prnt_AutoConnect і прілінкуйте її до OU з користувачами; Якщо у вас в домені використовується невелика кількість мережевих принтерів (до 30-50), ви можете все їх налаштовувати за допомогою однієї GPO. Якщо у вас складна структура домена, є сайти AD, використовується делегування прав адміністраторам філій, краще створити декілька політик підключення принтерів, наприклад по одній політиці на сайт або OU.
- Перейдіть в режим редагування політики і розгорніть секцію User Configuration -> Preferences -> Control Panel Setting -> Printers. Створіть новий елемент політики з ім'ям Shared Printer; Якщо ви хочете підключати принтер по IP адресою (не через принт-сервера, а безпосередньо), виберіть пункт TCP / IP Printer.
- Дія - Update. В полі Shared Path вкажіть UNC адреса принтера, наприклад,
\\ msk-prnt \ hpcolorsales
(В моєму прикладі все принтери підключені до принт-серверу\\ msk-prnt
). Тут же ви можете вказати, чи потрібно використовувати цей принтер як принтер за замовчуванням; - Перейдіть на вкладку Common і вкажіть, що принтер потрібно підключати в контексті користувача (опція Run in logged-on user's security context). Також виберіть опцію Item-level targeting і натисніть на кнопку Targeting;
- За допомогою націлювання GPP вам потрібно вказати, що дана політика підключення принтера застосовувалася тільки для членів групи prn_HPColorSales. Для цього натисніть New Item -> Security Group -> В якості імені групи вкажіть prn_HPColorSales; Зверніть увагу, що це обмеження не забороняє будь-якому користувачеві домену підключити це принтер вручну в провіднику Windows. Щоб обмежити доступ до принтера, потрібно змінити права доступу до нього на принт-сервері, обмеживши можливість друку певними групами.
- Аналогічним чином створіть політики підключення принтерів для інших груп користувачів.
При використанні такої групової політики, нові принтера будуть встановлюватися у користувачів, тільки якщо на їх комп'ютері вже встановлено відповідний принтеру драйвер друку. Справа в тому, що у звичайних користувачів немає прав на установку драйверів.
Налаштування політики підключення принтерів Point and Print Restrictions
Для коректного підключення принтерів будь-якому користувачу, вам доведеться налаштувати політику Point and Print Restrictions і налаштувати адреси принт-серверів серверів, з яких користувачів дозволено встановлювати принтери.
Нагадаю, що з 2016 року Microsoft з метою безпеки за замовчуванням заборонила установку непідписаних і не упакованих драйверів (non-package-aware v3 printer drivers). Дивись статтю Проблема підключення мережевих принтерів.Якщо ви підключаєте принтери через призначений для користувача розділ політики, перейдіть в розділ GPO User Configuration -> Policy -> Administrative Templates -> Control Panel -> Printers -> Printer -> Point and Print Restriction. Увімкніть політику (Enabled) і налаштуйте її наступним чином:
- Users can only point and print to these servers -вкажіть список принт-серверів, з яких дозволено встановлювати драйвера (вказуються FQDN імена, роздільник крапка з комою);
- When installing driver for new connection -> Do not show warning or elevation prompt
- When installing driver for existing connection -> Do not show warning or elevation prompt.
Аналогічним чином потрібно включити політику Package Point and Print - Approved server в розділі User Configuration -> Policies -> Administrative Templates -> Printers і задати в ній список довірених принт-серверів.
Тепер після перезавантаження комп'ютера при вході користувача у нього буде автоматично підключатися призначений йому мережевий принтер.
Раніше для підключення принтерів користувачів мені доводилося використовувати VBS / PowerShell скрипти установки і підключення принтерів, які запускалися як Startup скрипти GPO і можливостей фільтрації групових політик. Однак використовувати GPP політики для настройки принтерів на мій погляд набагато простіше.