Помислете за възможността автоматично да свързвате принтери към потребители в домейн в Active Directory, като използвате групови политики (GPO). Доста удобно е, когато при първото влизане потребителят незабавно инсталира и се появява в наличните за него принтерни устройства.
Помислете за следната конфигурация: организацията има 3 отдела, всеки отдел трябва да отпечата документи на своя принтер в цветна мрежа. Вашата задача като администратор е да конфигурирате автоматично свързване на мрежовите принтери към потребителите в зависимост от отдела.
Съдържание:
- Свържете принтерите към потребителите чрез GPO
- Конфигуриране на политики за ограничаване на точки и печат
Свържете принтерите към потребителите чрез GPO
Създайте три нови групи за сигурност в AD (prn_HPColorSales, prn_HPColorIT, prn_HPColorManagers) и добавете към него потребители на отдели (попълването на потребителски групи може да бъде автоматизирано в статията „Динамични групи в AD“). Можете да създадете групи в конзолата ADUC или с помощта на командлета New-ADGroup:
New-ADGroup "prnHPColorSales" -path 'OU = Групи, OU = Москва, DC = corp, dc = winitpro, DC = ru' -GroupScope Global -PassThru
- Стартирайте конзолата за редактор на политики за домейни (GPMC.msc), създайте нова политика prnt_AutoConnect и го свържете към ОУ с потребителите;
Ако вашият домейн използва малък брой мрежови принтери (до 30-50), можете да ги конфигурирате с един GPO. Ако имате сложна структура на домейни, има сайтове за AD, използва се делегиране на права на клоновите администратори, по-добре е да създадете няколко политики за свързване на принтери, например една политика на сайт или OU. - Влезте в режим за редактиране на правила и разширете секцията Конфигурация на потребителя -> Предпочитания -> Настройка на контролния панел -> Принтери. Създайте нов елемент с политика с име Споделен принтер; Ако искате да свържете принтера по IP адрес (не чрез сървър за печат, а директно), изберете TCP / IP принтер.
- ефект - Актуализация. На полето Споделен път посочете например UNC адреса на принтера,
\\ msk-prnt \ hpcolorsales(в моя пример, всички принтери са свързани към сървъра за печат\\ msk-prnt). Тук можете да определите дали да използвате този принтер като принтер по подразбиране;
- Отидете в раздела общ и посочете, че принтерът трябва да бъде свързан в контекста на потребителя (опция Изпълнете в контекста на защитата на потребителя, в който сте влезли). Изберете и опция Насочване на ниво елемент и кликнете върху бутона Насочване;
- Използвайки GPP насочване, трябва да посочите, че тази политика за свързване на принтера е била приложена само за членове на групата prn_HPColorSales. За да направите това, щракнете Нов артикул -> Група за сигурност -> посочете prn_HPColorSales като име на групата;
Моля, обърнете внимание, че това ограничение не забранява на нито един потребител на домейна да свързва ръчно този принтер в Windows Explorer. За да ограничите достъпа до принтера, трябва да промените правата за достъп до него на сървъра за печат, ограничавайки възможността за печат на определени групи. - По същия начин създайте правила за свързване на принтера за други потребителски групи..
Моля, обърнете внимание, че това ограничение не забранява на нито един потребител на домейна да свързва ръчно този принтер в Windows Explorer. За да ограничите достъпа до принтера, трябва да промените правата за достъп до него на сървъра за печат, ограничавайки възможността за печат на определени групи.
Когато използвате тази групова политика, новите принтери ще бъдат инсталирани от потребителите само ако драйверът за печат, съответстващ на принтера, вече е инсталиран на техния компютър. Факт е, че обикновените потребители нямат права да инсталират драйвери.
Конфигуриране на политики за ограничаване на точки и печат
За всеки потребител да свърже правилно принтерите, ще трябва да конфигурирате политиките за ограничаване на точки и печат и да конфигурирате адресите на сървъра за печат на сървърите, от които потребителите могат да инсталират принтери.
Нека ви напомня, че от 2016 г. Microsoft, поради съображения за сигурност, забранява инсталирането на неподписани и разопаковани драйвери (не-пакетирани драйвери за принтери v3) по подразбиране. Вижте статията Проблем със свързването на мрежовите принтери..Ако свържете принтери през секцията за потребителски правила, отидете на секцията с GPO Конфигурация на потребителя -> Политика -> Административни шаблони -> Контролен панел -> Принтери -> Принтер -> Ограничение на точка и печат. Активирайте правилото (Разрешено) и го конфигурирайте, както следва:
- Потребителите могат да насочват и печатат само на тези сървъри -посочете списъка на сървърите за печат, от които е позволено да инсталирате драйвери (посочени са имена на FQDN, разделител с точка и запетая);
- Когато инсталирате драйвер за нова връзка -> Не показвайте предупреждение или подвижност
- Когато инсталирате драйвер за съществуваща връзка -> Не показвайте предупреждение или подвижност.
По същия начин трябва да активирате правилата Пакетна точка и печат - Одобрен сървър в секцията Конфигурация на потребителя -> Политики -> Административни шаблони -> Принтери и задайте списъка с надеждни сървъри за печат в него.
Сега, след рестартиране на компютъра, когато потребителят влезе, назначеният мрежов принтер автоматично ще се свърже с него.
Преди, за да свържа принтерите на потребителите, трябваше да използвам VBS / PowerShell скриптове за инсталиране и свързване на принтери, които се изпълняваха като Startup GPO скриптове и филтриране на групови политики. Използването на GPP политики за конфигуриране на принтери обаче според мен е много по-лесно.
