Установка принтерів користувачам домену AD за допомогою групових політик

Розглянемо можливості автоматичного підключення принтерів користувачам домену Active Directory за допомогою групових політик (GPO). Досить зручно, коли при першому вході в систему у користувача відразу встановлюються і з'являються в принтерах доступні йому пристрої.

Розглянемо наступну конфігурацію: в організації є 3 відділи, кожен відділ повинен друкувати документи на власному кольоровому мережевому принтері. Ваше завдання, як адміністратора, налаштувати автоматичне підключення мережевих принтерів користувачам залежно від відділу.

зміст:

  • Підключення принтерів користувачам через GPO
  • Налаштування політики підключення принтерів Point and Print Restrictions

Дана інструкція передбачає використанням Group Policy Preferences - розширення групових політик, які з'явилися в Windows Server 2008. Відповідно рівень домену повинен бути не менше Windows Server 2008, а клієнти не нижче Win XP SP3.

Підключення принтерів користувачам через GPO

Створіть три нові групи безпеки в AD (prn_HPColorSales, prn_HPColorIT, prn_HPColorManagers) і додайте в неї користувачів відділів (наповнення груп користувачів можна автоматизувати за статтею "Динамічні групи в AD"). Ви можете створити групи в консолі ADUC, або за допомогою командлета New-ADGroup:

New-ADGroup "prnHPColorSales" -path 'OU = Groups, OU = Moscow, DC = corp, dc = winitpro, DC = ru' -GroupScope Global -PassThru

  1. Запустіть консоль редактора доменних політик (GPMC.msc), створіть нову політику prnt_AutoConnect і прілінкуйте її до OU з користувачами; Якщо у вас в домені використовується невелика кількість мережевих принтерів (до 30-50), ви можете все їх налаштовувати за допомогою однієї GPO. Якщо у вас складна структура домена, є сайти AD, використовується делегування прав адміністраторам філій, краще створити декілька політик підключення принтерів, наприклад по одній політиці на сайт або OU.
  2. Перейдіть в режим редагування політики і розгорніть секцію User Configuration -> Preferences -> Control Panel Setting -> Printers. Створіть новий елемент політики з ім'ям Shared Printer; Якщо ви хочете підключати принтер по IP адресою (не через принт-сервера, а безпосередньо), виберіть пункт TCP / IP Printer.
  3. Дія - Update. В полі Shared Path вкажіть UNC адреса принтера, наприклад, \\ msk-prnt \ hpcolorsales (В моєму прикладі все принтери підключені до принт-серверу \\ msk-prnt). Тут же ви можете вказати, чи потрібно використовувати цей принтер як принтер за замовчуванням;
  4. Перейдіть на вкладку Common і вкажіть, що принтер потрібно підключати в контексті користувача (опція Run in logged-on user's security context). Також виберіть опцію Item-level targeting і натисніть на кнопку Targeting;
  5. За допомогою націлювання GPP вам потрібно вказати, що дана політика підключення принтера застосовувалася тільки для членів групи prn_HPColorSales. Для цього натисніть New Item -> Security Group -> В якості імені групи вкажіть prn_HPColorSales; Зверніть увагу, що це обмеження не забороняє будь-якому користувачеві домену підключити це принтер вручну в провіднику Windows. Щоб обмежити доступ до принтера, потрібно змінити права доступу до нього на принт-сервері, обмеживши можливість друку певними групами.
  6. Аналогічним чином створіть політики підключення принтерів для інших груп користувачів.
Є ще старий розділ політик для налаштування принтерів - Computer Configuration -> Policies -> Windows Settings -> Deployed Printers, однак цей метод установки принтерів користувачам не такий гнучкий, як розглянутий ваше спосіб за допомогою GPP.

При використанні такої групової політики, нові принтера будуть встановлюватися у користувачів, тільки якщо на їх комп'ютері вже встановлено відповідний принтеру драйвер друку. Справа в тому, що у звичайних користувачів немає прав на установку драйверів.

Налаштування політики підключення принтерів Point and Print Restrictions

Для коректного підключення принтерів будь-якому користувачу, вам доведеться налаштувати політику Point and Print Restrictions і налаштувати адреси принт-серверів серверів, з яких користувачів дозволено встановлювати принтери.

Нагадаю, що з 2016 року Microsoft з метою безпеки за замовчуванням заборонила установку непідписаних і не упакованих драйверів (non-package-aware v3 printer drivers). Дивись статтю Проблема підключення мережевих принтерів.

Якщо ви підключаєте принтери через призначений для користувача розділ політики, перейдіть в розділ GPO User Configuration -> Policy -> Administrative Templates -> Control Panel -> Printers -> Printer -> Point and Print Restriction. Увімкніть політику (Enabled) і налаштуйте її наступним чином:

  • Users can only point and print to these servers -вкажіть список принт-серверів, з яких дозволено встановлювати драйвера (вказуються FQDN імена, роздільник крапка з комою);
  • When installing driver for new connection -> Do not show warning or elevation prompt
  • When installing driver for existing connection -> Do not show warning or elevation prompt.

Аналогічним чином потрібно включити політику Package Point and Print - Approved server в розділі User Configuration -> Policies -> Administrative Templates -> Printers і задати в ній список довірених принт-серверів.

Тепер після перезавантаження комп'ютера при вході користувача у нього буде автоматично підключатися призначений йому мережевий принтер.

Раніше для підключення принтерів користувачів мені доводилося використовувати VBS / PowerShell скрипти установки і підключення принтерів, які запускалися як Startup скрипти GPO і можливостей фільтрації групових політик. Однак використовувати GPP політики для настройки принтерів на мій погляд набагато простіше.