Как подключить принтер из другого домена

Обновлено: 17.01.2025

Рассмотрим возможности автоматического подключения принтеров пользователям домена Active Directory с помощью групповых политик (GPO). Довольно удобно, когда при первом входе в систему у пользователя сразу устанавливаются и появляются в принтерах доступные ему устройства.

Рассмотрим следующую конфигурацию: в организации имеется 3 отдела, каждый отдел должен печатать документы на собственном цветном сетевом принтере. Ваша задача, как администратора, настроить автоматическое подключение сетевых принтеров пользователям в зависимости от отдела.

Данная инструкция предполагает использованием Group Policy Preferences – расширения групповых политик, которые появились в Windows Server 2008. Соответственно уровень домена должен быть не менее Windows Server 2008, а клиенты не ниже Win XP SP3.

Подключение принтеров пользователям через GPO

Создайте три новые группы безопасности в AD (prn_HPColorSales, prn_HPColorIT, prn_HPColorManagers) и добавьте в нее пользователей отделов (наполнение групп пользователей можно автоматизировать по статье “Динамические группы в AD”). Вы можете создать группы в консоли ADUC, или с помощью командлета New-ADGroup:

New-ADGroup "prnHPColorSales" -path 'OU=Groups,OU=Moscow,DC=corp,dc=winitpro,DC=ru' -GroupScope Global –PassThru

Если у вас в домене используется небольшое количество сетевых принтеров (до 30-50), вы можете все их настраивать с помощью одной GPO. Если у вас сложная структура домена, есть сайты AD, используется делегирование прав администраторам филиалов, лучше создать несколько политик подключения принтеров, например по одной политике на сайт или OU. Если вы хотите подключать принтер по IP адресу (не через принт-сервера, а напрямую), выберите пункт TCP/IP Printer. Обратите внимание, что данное ограничение не запрещает любому пользователю домена подключить это принтер вручную в проводнике Windows. Чтобы ограничить доступ к принтеру, нужно изменить права доступа к нему на принт-сервере, ограничив возможность печати определенными группам. Есть еще старый раздел политик для настройки принтеров — Computer Configuration -> Policies -> Windows Settings -> Deployed Printers, однако этот метод установки принтеров пользователям не такой гибкий, как рассмотренный ваше способ с помощью GPP.

При использовании такой групповой политики, новые принтера будут устанавливаться у пользователей, только если на их компьютере уже установлен соответствующий принтеру драйвер печати. Дело в том, что у обычных пользователей нет прав на установку драйверов.

Настройка политики подключения принтеров Point and Print Restrictions

Для корректного подключения принтеров у любого пользователя, вам придется настроить политику Point and Print Restrictions и настроить адреса принт-серверов серверов, с которых пользователей разрешено устанавливать принтеры.

Напомню, что с 2016 года Microsoft с целью безопасности по-умолчанию запретила установку неподписанных и неупакованных драйверов (non-package-aware v3 printer drivers). Смотри статью Проблема подключения сетевых принтеров.

Если вы подключаете принтеры через пользовательский раздел политики, перейдите в раздел GPO User Configuration -> Policy -> Administrative Templates -> Control Panel -> Printers -> Printer -> Point and Print Restriction. Включите политику (Enabled) и настройте ее следующим образом:

• Users can only point and print to these servers –укажите список принт-серверов, с которых разрешено устанавливать драйвера (указываются FQDN имена, разделитель точка с запятой);
• When installing driver for new connection -> Do not show warning or elevation prompt
• When installing driver for existing connection -> Do not show warning or elevation prompt.

Аналогичным образом нужно включить политику Package Point and Print – Approved server в разделе User Configuration -> Policies -> Administrative Templates -> Printers и задать в ней список доверенных принт-серверов.

Теперь после перезагрузки компьютера при входе пользователя у него будет автоматически подключаться назначенный ему сетевой принтер.

После того, как установлен и настроен Windows server 2019 , можно приступить к установке различных служб и компонентов. В данном случае установим службу печати и документов, которая позволяет управлять печатающими устройствами в домене, а также развертывать принтеры с помощью групповой политики.

Установка роли "Служба печати и документов".

1. нажимаем "Пуск" - "Диспетчер серверов".

2. Выбираем "Добавить роли и компоненты".

3. В мастере добавления ролей и компонентов читаем условия, которые необходимы для установки ролей и компонентов.

• Учётная запись администратора защищена надежным паролем;
• Настроены сетевые параметры, такие как статические IP-адреса;
• Установлены новейшие обновления безопасности из Центра обновления Windows.

Нажимаем "Далее".

4. В следующем окне выбираем "Установка ролей или компонентов", нажимаем "Далее".

5. Выбираем сервер из пула серверов, затем "Далее".

6. Выбираем "Службы печати и документов".

7. В открывшемся окне выбираем "Добавить компоненты", снова "Далее".

8. Компоненты для установки на этом сервере устанавливать нет необходимости, нажимаем "Далее".

9. Читаем на что обратить внимание при установке службы печати и документов, нажимаем "Далее".

10. В следующем окне оставляем по умолчанию чекбокс на "Сервер печати". Если в сети имеются компьютеры, работающие на базе UNIX (в том числе Linux), ставим чекбокс на "Службы LPD". Затем "Далее".

11. В открывшемся окне Нажимаем "Установить".

12. По окончании установки нажимаем "Закрыть". Служба печати и документов после установки не требует перезагрузки сервера.

Установка принтера в домене

Для того, чтобы установить принтер, МФУ в домене, сначала необходимо установить драйвер печатающего устройства на сервере. В данном случае установим драйвер для МФУ Kyocera Ecosys M2835dw.

1. Открывает "Диспетчер серверов" (Пуск - Диспетчер серверов), далее "Средства" - "Управление печатью".

2. В открывшемся окне "Управление печатью" раскрываем "Серверы печати". Нажимаем правой клавишей мыши на "Принтеры", далее "Добавить принтер. ".

3. В мастере установки сетевого принтера выбираем "Добавить TCP/IP-принтер или веб-принтер по его IP-адресу или имени узла", затем "Далее".

4. Задаём "Имя узла или IP-адрес", "Имя порта". Устанавливаем чекбокс "Автоматический поиск драйвера принтера", если не стоит. Нажимаем "Далее".

5. После того, как принтер (МФУ) найден, задаём "Имя принтера", "Имя общего ресурса", устанавливаем чекбокс "Общий доступ к принтеру", если не стоит. Для удобства заполняем поле "Размещение" и если есть необходимость, заполняем "Комментарий". Нажимаем "Далее".

6. Дожидаемся установки драйвера сетевого принтера (МФУ), затем "Далее".

7. После окончания установки устройства, мастер установки сетевых принтеров напишет состояние "Принтер установлен". Можно напечатать пробную страницу, а также установить другой принтер, установив чекбокс в соответствующее поле. Нажимаем "Готово".

т

8. Далее в окне "Управление печатью", нажимаем правой клавишей на установленное устройство, выбираем "Свойства". В открывшемся окне ставим чекбокс "Внести в Active Directory". Нажимаем "Применить", затем "ОК".

Развертывание принтера (МФУ) в домене с помощью групповой политики

1. Для развертывания принтера (МФУ) в домене с помощью GPO в окне "Управление печатью" переходим к "Принтеры", далее выбираем необходимый принтер. Нажимаем правой клавишей мыши на выбранный принтер, далее "Развернуть с помощью групповой политики". В новом окне нажимаем "Обзор".

2. В открывшемся окне выбираем подразделение, в котором будет развернуто устройство для печати, затем нажимаем на "+" и задаём имя для новой групповой политики.

3. В зависимости от применения групповой политики (для пользователей, для компьютеров), ставим чекбокс. В данном случае применяем политику для пользователей, к которым применен данный объект групповой политики (на пользователя). Нажимаем "Добавить" - "Применить".

5. Для того, чтобы связать созданную групповую политику с другими подразделениями в домене, открываем оснастку консоли "Управление групповой политикой". Выбираем нужное подразделение, правой клавишей мыши - "Связать существующий объект групповой политики. ".

6. Выбираем созданную групповую политику, нажимаем "ОК". Применяем групповую политику к нужным подразделениям, или можем сразу выбрать весь домен.

7. Для немедленного применения групповой политики открываем командную строку, набираем gpupdate /force.

Проверка установки принтера в домене с помощью групповой политики

1. Для проверки установки принтера (МФУ) в домене, заходим на компьютере пользователя под учетной записью. В строке поиска пишем "Принтеры", нажимаем на появившееся "Принтеры и сканеры".

2. В новом окне проверяем, что появилось устройство печати.

Посмотреть, как установить и настроить службу печати и документов, а также развернуть принтер в домене с помощью групповой политикой можно здесь:

Рассмотрим возможности автоматического подключения принтеров пользователям домена Active Directory с помощью групповых политик (GPO). Довольно удобно, когда при первом входе в систему у пользователя сразу устанавливаются и появляются в принтерах доступные ему устройства.

Рассмотрим следующую конфигурацию: в организации имеется 3 отдела, каждый отдел должен печатать документы на собственном цветном сетевом принтере. Ваша задача, как администратора, настроить автоматическое подключение сетевых принтеров пользователям в зависимости от отдела.

Данная инструкция предполагает использованием Group Policy Preferences – расширения групповых политик, которые появились в Windows Server 2008. Соответственно уровень домена должен быть не менее Windows Server 2008, а клиенты не ниже Win XP SP3.

Подключение принтеров пользователям через GPO

Создайте три новые группы безопасности в AD (prn_HPColorSales, prn_HPColorIT, prn_HPColorManagers) и добавьте в нее пользователей отделов (наполнение групп пользователей можно автоматизировать по статье “Динамические группы в AD”). Вы можете создать группы в консоли ADUC, или с помощью командлета New-ADGroup:

New-ADGroup "prnHPColorSales" -path 'OU=Groups,OU=Moscow,DC=corp,dc=winitpro,DC=ru' -GroupScope Global –PassThru

Если у вас в домене используется небольшое количество сетевых принтеров (до 30-50), вы можете все их настраивать с помощью одной GPO. Если у вас сложная структура домена, есть сайты AD, используется делегирование прав администраторам филиалов, лучше создать несколько политик подключения принтеров, например по одной политике на сайт или OU. Если вы хотите подключать принтер по IP адресу (не через принт-сервера, а напрямую), выберите пункт TCP/IP Printer. Обратите внимание, что данное ограничение не запрещает любому пользователю домена подключить это принтер вручную в проводнике Windows. Чтобы ограничить доступ к принтеру, нужно изменить права доступа к нему на принт-сервере, ограничив возможность печати определенными группам. Есть еще старый раздел политик для настройки принтеров — Computer Configuration -> Policies -> Windows Settings -> Deployed Printers, однако этот метод установки принтеров пользователям не такой гибкий, как рассмотренный ваше способ с помощью GPP.

При использовании такой групповой политики, новые принтера будут устанавливаться у пользователей, только если на их компьютере уже установлен соответствующий принтеру драйвер печати. Дело в том, что у обычных пользователей нет прав на установку драйверов.

Настройка политики подключения принтеров Point and Print Restrictions

Для корректного подключения принтеров у любого пользователя, вам придется настроить политику Point and Print Restrictions и настроить адреса принт-серверов серверов, с которых пользователей разрешено устанавливать принтеры.

Напомню, что с 2016 года Microsoft с целью безопасности по-умолчанию запретила установку неподписанных и неупакованных драйверов (non-package-aware v3 printer drivers). Смотри статью Проблема подключения сетевых принтеров.

Если вы подключаете принтеры через пользовательский раздел политики, перейдите в раздел GPO User Configuration -> Policy -> Administrative Templates -> Control Panel -> Printers -> Printer -> Point and Print Restriction. Включите политику (Enabled) и настройте ее следующим образом:

• Users can only point and print to these servers –укажите список принт-серверов, с которых разрешено устанавливать драйвера (указываются FQDN имена, разделитель точка с запятой);
• When installing driver for new connection -> Do not show warning or elevation prompt
• When installing driver for existing connection -> Do not show warning or elevation prompt.

Аналогичным образом нужно включить политику Package Point and Print – Approved server в разделе User Configuration -> Policies -> Administrative Templates -> Printers и задать в ней список доверенных принт-серверов.

Теперь после перезагрузки компьютера при входе пользователя у него будет автоматически подключаться назначенный ему сетевой принтер.

В данном топике я подробно расскажу о том, на какие грабли можно наткнуться при автоматической установке, удалении принтеров средствами Active Directory.

Подготовка AD к установке принтеров

Разделяем компьютеры по арxитектуре и версии ОС

1. Создаем группы безопасности соответствующие каждой архитектуре и версии ОС, пример: win_x64, win_x32. (Я использовал только 2 группы, так как в моем парке компьютеров существуют либо Windows XP x32, либо Windows 7 x64.).
2. Создаем политики с понятными названиями и ограничиваем доступ к этим политикам только для групп безопасности из предыдущего пункта. Пример: «Политика принтеров x32», доступ только для членов группы win_x32.
3. Применяем созданные политики ко всем организационным единицам. Самый лучший способ это сделать, по моему мнению — это поместить все OU внутри одной и к ней применить новые политики.
4. Делаем компьютеры с архитектурой ОС x32 членами группы win_x32, для других архитектур и версий соответственно.

Сетевая папка

Создается сетевая папка доступная всем пользователям и компьютерам домена. Думаю, этот этап подробно расписывать нет необходимости. Права на папку — только чтение.

Драйвера

1. Скачиваем драйвера для всех версий и архитектур.
2. Распаковываем их до состояния INF файлов. Грабля №1. Если с этим возникают проблемы, то чаще всего драйвера можно найти в скрытой шаре PRINT$ на машине где установлен принтер. Их можно взять оттуда.
3. Копируем эти файлы у нашу сетевую папку. Для удобства разделяем по подпапкам.

Развертывание

1. Создание скрипта установки драйвера.
2. Создание скрипта подключения пользователя к принтеру.

Скрипт установки драйвера

Этот скрипт помещается в разделе «Конфигурация компьютера» — «Политики» — «Конфигурация Windows» — «Сценарии (запуск/завершение)» — «Автозагрузка»
Создаем файл .BAT такого содержания:
rundll32 printui.dll,PrintUIEntry /ia /m "<Имя принтера 1>" /h "x64" /v "Type 3 - User Mode" /f "<путь к INF файлу драйвера в сетевой папке/x64/>"
rundll32 printui.dll,PrintUIEntry /ia /m "<Имя принтера 2>" /h "x64" /v "Type 3 - User Mode" /f "<путь к INF файлу драйвера в сетевой папке/x64/>"

Грабля №3 Имя принтера можно и нужно узнать в свойствах сервера печати Windows на машине, где драйвер уже установлен. Наверняка есть и в inf файле.

Теперь драйвер принтера будет устанавливаться при загрузке системы автоматически. Если применить его ко всем компьютерам с Windows Vista и новее, то при срабатывании скрипта подключения принтера не выскочит ошибка о недостаточности прав.

Скрипт подключение принтеров

Автоматическое удаление принтеров

Все достаточно просто.
Создаем .BAT файл вот с таким содержанием.
REG DELETE "HKEY_CURRENT_USER\Printers\Connections" /f
Затем делаем его скриптом на выход пользователя из системы.
Когда пользователь в следующий раз зайдет в сеть, у него будут только те принтеры, которые установятся политикой.
Полезно при переезде принтера с одного принт-сервера на другой.
Грабля №4 Удаление ветки реестра лучше производить при выходе пользователя из системы, а не при входе перед подключением принтеров.
Для этого требуется перезагрузка службы печати, которая может перезагружаться достаточно долго. Это черевато ситуацией, когда служба еще не запустилась, а скрипт подключения уже сработал и вызвал ошибку.

Читайте также:

  
• Ошибка принтера hp 3525 error code 0x00759c98 hw watchdog c
  
• Куда сдать принтер за деньги в самаре
  
• Как упаковать принтер для отправки почтой
  
• Какая фирма выпускает твердокрасочные принтеры
  
• Как поменять барабан на принтере kyocera 4200