Установка принтеров через групповую политику

Обновлено: 17.01.2025

В этой статье описываются политики, специфические для управления принтерами и использование параметров групповой политики для управления принтерами в Active Directory.

Применяется к: Windows Server 2012 R2
Исходный номер КБ: 234270

Сводка

Параметры принтера Active Directory можно включить или отключить с помощью параметров групповой политики. Все параметры групповой политики содержатся в объектах групповой политики, связанных с контейнерами Active Directory (сайты, организационные подразделения и домены). Эта структура максимально расширяет и расширяет Active Directory.

В этой статье описываются политики, специфические для управления принтерами и как включить или отключить управление принтером с помощью редактора локальной групповой политики.

Существует два типа конфигураций, которые можно установить для принтеров в параметре групповой политики:

Конфигурация компьютера
Пользовательская конфигурация

Настройка параметров принтера для компьютеров

Выберите Начните, укажи программы, укажи на административные средства, а затем выберите пользователей и компьютеров Active Directory.

Выберите контейнер Active Directory для домена, который необходимо управлять (организационный блок или домен). Щелкните правой кнопкой мыши этот контейнер, а затем выберите Свойства.

Выберите вкладку Групповой политики, а затем выберите New для создания нового параметра групповой политики.

В редакторе локальной групповой политики разложите следующие папки:

В конфигурации компьютера можно включить следующие параметры:

Разрешить публикацию принтеров: Включает или отключает публикацию принтеров в каталоге.

Разрешить печать Spooler для приемки клиентских подключений: Контролирует, будет ли шпалер печати принимать клиентские подключения. Если политика не настроена, шпалер не будет принимать клиентские подключения, пока пользователь не откроет локальный принтер или не откроет очередь печати на подключении к принтеру. На этом этапе шпалер начнет принимать клиентские подключения автоматически.

Разрешить обрезку опубликованных принтеров: Определяет, может ли контроллер домена подрезать (удалить из Active Directory) принтеры, опубликованные на этом компьютере. По умолчанию служба обрезки контроллера домена подрезает объекты принтера из Active Directory, если опубликованный ими компьютер не отвечает на запросы контактов. Когда компьютер, опубликовав принтеры, перезапускает все удаленные объекты принтера.

Автоматически публиковать новые принтеры в Active Directory: По умолчанию этот параметр включен. Его можно отключить, чтобы в каталог помещались только выбранные общие принтеры.

Проверка опубликованного состояния: Используется для проверки публикации опубликованных принтеров в Active Directory. По умолчанию опубликованное состояние не проверяется.

Url-адрес пользовательской поддержки в левой области папки Принтеры: Этот бит политики предназначен для администраторов, чтобы добавить настраиваемые URL-адреса поддержки для сервера. Если этот бит не выбран, в области навигации папки Принтеры отображаются URL-адреса для выбранного принтера и URL-адрес поддержки поставщика, если он доступен. Если выбран этот бит и предоставлен настраиваемый URL-адрес поддержки, указанные ранее два URL-адреса поддержки заменяются настраиваемым URL-адресом. Не выбран по умолчанию, что означает отсутствие настраиваемого URL-адреса поддержки.

Расположение компьютера: Указывает критерии расположения по умолчанию, которые используются при поиске принтеров. Этот параметр является компонентом функции отслеживания расположения Windows принтеров. Чтобы использовать этот параметр, включив параметр "Отслеживание местоположения", включив текстовое расположение предварительного заполнения принтера. Когда включено отслеживание местоположения, система использует указанное расположение в качестве критерия при поиске принтеров пользователями. Значение, которое вы введите здесь, переопределяет фактическое расположение компьютера, который проводит поиск.

Введите расположение компьютера пользователя. При поиске принтеров пользователи используют указанное расположение (и другие критерии поиска), чтобы найти принтер поблизости. Вы также можете использовать этот параметр, чтобы направлять пользователей на определенный принтер или группу принтеров, которые вы хотите использовать.

Интервал обрезки каталогов: Интервал обрезки определяет период времени сна обрезки между проверками для оставленных PrintQueue объектов. Обрезка читает значение интервала обрезки каждый час.

Повторная обрезка каталогов: Задает количество раз, когда обрезка пытается связаться с сервером печати перед удалением PrintQueue заброшенного PrintQueue объекта.

Приоритет обрезки каталогов: Задает приоритет потока потока обрезки. Поток обрезки выполняется только на контроллерах домена и отвечает за удаление устаревших принтеров из каталога. Допустимые значения : -2, -1, 0, 1 и 2, соответствующие THREAD_PRIORITY_LOWEST через THREAD_PRIORITY_HIGHEST. Значение по умолчанию равно 0.

Отостановка установки принтеров с помощью драйверов в режиме ядра: Определяет, могут ли принтеры с драйверами в режиме ядра устанавливаться на локальном компьютере. Драйверы в режиме ядра имеют доступ к системной памяти. Поэтому плохо написанные драйверы режима ядра могут вызывать ошибки остановки.

События повторной обрезки каталогов журналов: Указывает, следует ли вести журнал событий, когда служба обрезки на контроллере домена пытается связаться с компьютером, прежде чем он подрезает принтеры компьютера.

Служба обрезки периодически контактов компьютеры, которые опубликовали принтеры, чтобы убедиться, что принтеры по-прежнему доступны для использования.

Если компьютер не реагирует на попытку контакта, попытка повторно задана заданным числом раз с заданным интервалом. Параметр повторной обрезки каталогов определяет количество повторяемой попытки. Значение по умолчанию — два ирисовки. Параметр интервала обрезки каталогов определяет интервал времени между повторами. Значение по умолчанию — восемь часов. Если компьютер не ответил последней попыткой контакта, его принтеры будут обрезки из каталога

Текст расположения расположения для предварительного заполнения принтера: Включает физический параметр отслеживания местоположения для Windows принтеров.

Используйте отслеживание расположения для разработки схемы расположения для предприятия и назначения компьютеров и принтеров расположениям в схеме. Отслеживание местоположения переопределяет стандартный метод, используемый для обнаружения и связывать компьютеры и принтеры. Стандартный метод использует IP-адрес принтера и подсетевую маску для оценки его физического расположения и близости к компьютерам. Если включить этот параметр, пользователи могут просматривать принтеры по расположению, не зная расположения или схемы именования принтера.

Включение отслеживания местоположения добавляет кнопку Просмотр в следующих расположениях:

Имя принтера мастера добавления принтера и экран расположения общего доступа
Общая вкладка в диалоговом окне Свойства принтера

По умолчанию, если включить параметр расположения компьютера групповой политики, введенное по умолчанию отображается в поле Расположение.

Принтеры чернослива, которые не будут автоматически переиздаваться: Этот параметр определяет, можно ли обрезать принтеры из каталога. Лучше оставить этот параметр неконфигуративным. Однако, если вы найдете, что принтеры обрезки, даже если компьютер, с которого они опубликованы, функционирует и в сети, вы можете включить эту политику, чтобы предотвратить удаление службы обрезки опубликованных принтеров во время отключений сети или ситуаций, в которых диалоговые ссылки, которые только периодически используются. Чтобы предотвратить удаление принтеров из Active Directory, впеть эту политику и сохранить выбор never in the Prune non-republishing printers list.

Новые дополнительные объекты групповой политики в Windows Server 2008 R2

На контроллере домена выберите Начните, выберите административные средства, а затем выберите управление групповой политикой. Или выберите Начните, выберите Выполнить, введите GPMC.MSC и нажмите кнопку Ввод.
Расширь лес, а затем домены.
В домене выберите OU, в котором необходимо создать эту политику.
Щелкните правой кнопкой мыши OU, а затем выберите Создать GPO в этом домене и связать его здесь .
Дайте имя GPO, а затем выберите ОК. Щелкните правой кнопкой мыши вновь созданный объект групповой политики, а затем выберите Изменить, чтобы открыть редактор управления групповой политикой.
В редакторе управления групповой политикой разложите следующие папки:
- Конфигурация компьютера
- Политики
- Административные шаблоны
- Панель управления
- Printers

В конфигурации компьютера можно включить следующие дополнительные параметры:

Добавление мастера принтера — страница сканирования сети (управляемая сетью): эта политика задает максимальное число принтеров каждого типа, которое мастер add Printer будет отображать на компьютере в управляемой сети, когда компьютер может достичь контроллера домена. Например, ноутбук с доменом в корпоративной сети.

Добавление мастера принтера — страница сканирования сети (неугодная сеть): Эта политика задает максимальное число принтеров каждого типа, которое мастер добавить принтер будет отображать на компьютере в неугодной сети, когда компьютер не может достичь контроллера домена. Например, ноутбук, подключился к домену в домашней сети.

Всегда отрисовка заданий печати на сервере. При печати с помощью сервера печати определяет, будет ли шпалер печати на клиенте обрабатывать задания печати самостоятельно или передавать их на сервер для работы. Этот параметр политики влияет на печать только Windows сервера печати.

Выполнение драйверов печати в изолированных процессах. Этот параметр политики определяет, будет ли шпалер печати выполнять драйверы печати в изолированном или отдельном процессе. Если драйверы печати загружаются в изолированный процесс или изолированные процессы, сбой драйвера печати не приведет к сбою службы spooler печати.

Расширение подключения Point и Print для поиска Windows обновления: этот параметр политики позволяет управлять поиском драйверов point и Print на клиентских компьютерах. Если включить этот параметр политики, клиентский компьютер продолжит поиск совместимых драйверов Point и Print из Windows Update после того, как не удастся найти совместимый драйвер из локального магазина драйверов и кэш драйвера сервера.

Используйте только пункт пакетов и печать. Эта политика ограничивает клиентские компьютеры только для использования точки пакета и печати. Если этот параметр включен, пользователи смогут указать и распечатать только принтеры, которые используют драйверы, которые знают пакеты. При использовании точки и печати пакетов клиентские компьютеры проверят подпись драйвера всех драйверов, скачаемых с серверов печати.

Переопределяйте параметр совместимости драйвера выполнения печати, о котором сообщает драйвер печати. Этот параметр политики определяет, переопределит ли шпалер печати совместимость driver Isolation, о котором сообщает драйвер печати. Он позволяет выполнять драйверы печати в изолированном процессе, даже если драйвер не сообщает о совместимости.

Если включить этот параметр политики, шпалер печати игнорирует значение флага совместимости driver Isolation, которое сообщается драйвером печати.

Точка упаковки и печать — утвержденные серверы: ограничивает точку упаковки и печать на утвержденных серверах. Этот параметр политики ограничивает подключение точки пакета и печати к утвержденным серверам. Этот параметр применяется только к подключениям точки и печати пакетов и не зависит от политики ограничений точки и печати, которая регулирует поведение подключений точки и печати, не входящего в пакет.

Клиент, работающий Windows Vista или более поздней версии Windows, будет пытаться сделать точку непакета и распечатать подключение в любое время, когда точка пакета и подключение печати сбой. Это включает попытки, заблокированные этой политикой. Администраторам может потребоваться установить обе политики для блокировки всех подключений печати к определенному серверу печати.

Если этот параметр включен, пользователи смогут упаковывать точку и печатать только на печатных серверах, утвержденных сетевым администратором. При использовании точки и печати пакетов клиентские компьютеры проверят подпись драйвера всех драйверов, скачаемых с серверов печати.

Ограничения точки и печати. Этот параметр политики управляет поведением "Точка клиента" и "Печать", в том числе запросами безопасности для Windows Vista. Параметр политики применяется только к клиентам администратора без печати и только к компьютерам, которые являются членами домена.

При включении параметра политики следующие условия:

Windows Xp и более поздние клиенты будут скачивать компоненты драйвера печати только из списка явно именуемых серверов. Если на клиенте доступен совместимый драйвер печати, будет выполнено подключение к принтеру. Если совместимый драйвер печати не доступен для клиента, подключение не будет выполнено.

Вы можете настроить Windows Vista так, чтобы предупреждения о безопасности и повышенные командные запросы не появлялись, когда пользователи указывают и печатают, или когда необходимо обновить драйверы подключения к принтеру.

Если параметр политики не настроен, следующие условия:

Windows Клиентские компьютеры Vista могут указать и распечатать на любом сервере.

Windows Компьютеры Vista будут показывать предупреждение и командную подсказку, когда пользователи создают подключение принтера к любому серверу с помощью Point и Print.

Windows Компьютеры Vista покажут предупреждение и командную подсказку, когда необходимо обновить существующий драйвер подключения к принтеру.

Windows Клиентские компьютеры server 2003 и Windows XP могут создавать подключение принтера к любому серверу в лесу с помощью Point и Print.

При отключении параметра политики следующие условия:

Windows Клиентские компьютеры Vista могут создавать подключение принтера к любому серверу с помощью Point и Print.

Windows Компьютеры Vista не будут показывать предупреждение или командную подсказку, когда пользователи создают подключение принтера к любому серверу с помощью Point и Print.

Windows Компьютеры Vista не будут показывать предупреждение или повышенную командную подсказку при обновлении существующего драйвера подключения к принтеру.

Windows Клиентские компьютеры server 2003 и Windows XP могут создавать подключение принтера к любому серверу с помощью Point и Print.

Пользователи могут только указать и распечатать компьютеры в лесу только для Windows Server 2003 и Windows XP SP1 (и более поздних пакетов служб).

Дополнительные сведения о Point и Print см. в следующей статье:

Настройка параметров для принтера для пользователей

Выберите контейнер Active Directory для домена, который вы хотите управлять (организационного подразделения или домена). Щелкните правой кнопкой мыши этот контейнер, а затем выберите Свойства.

Выберите New для создания новой групповой политики.

В редакторе групповой политики разложите следующие папки:

Следующие параметры можно настроить в соответствии с конфигурацией пользователя:

Эта политика не мешает пользователям использовать мастер add/Remove Hardware для добавления принтера. Это также не мешает пользователям запускать программы для добавления принтеров. Эта политика не удаляет принтеры, которые уже добавлены пользователями. Однако, если пользователи не добавили принтер при применении этой политики, они не могут распечатать.

Вы можете использовать разрешения принтера, чтобы ограничить использование принтеров без установки политики. В папке Принтеры щелкните правой кнопкой мыши принтер, щелкните Свойства и нажмите вкладку Безопасность.

Отображение страницы вниз по уровню в мастере Добавить принтер: позволяет пользователям просматривать сеть для общих принтеров в мастере Добавить принтер. Если включить эту политику, когда пользователи щелкнуть Добавить сетевой принтер, но не ввести имя конкретного принтера, мастер добавить принтер отображает список всех общих принтеров в сети и подсказок пользователям выбрать принтер. Если отключить эту политику, пользователи не смогут просматривать сеть. Вместо этого они должны ввести имя принтера.

Эта политика влияет только на мастера добавить принтер. Это не мешает пользователям использовать другие средства для просмотра общих принтеров или подключения к сетевым принтерам.

Путь Active Directory по умолчанию при поиске принтеров: указывает расположение Active Directory, в котором начинаются поиски принтеров.

Мастер add Printer предоставляет пользователям возможность поиска Active Directory для общего принтера. Если вы включаете эту политику, эти поиски начинаются в том расположении, которое указано в поле путь Active Directory по умолчанию. В противном случае поиск начинается в корне Active Directory.

Эта политика служит отправной точкой для поиска принтеров Active Directory. Это не ограничивает поиск пользователей через Active Directory.

Включить просмотр для интернет-принтеров: Добавляет путь к веб-странице Интернета или интрасети мастеру добавить принтер.

Эту политику можно использовать для того, чтобы направлять пользователей на веб-страницу, с которой они могут устанавливать принтеры.

Если включить эту политику и ввести адрес Интернета или интрасети в текстовом окне, Windows добавляет кнопку Просмотр страницы Найдите принтер в мастере добавить принтер. Кнопка Просмотр отображается рядом с Подключение принтером в Интернете или параметром Интрасети вашей компании. Когда пользователи нажимают кнопку Просмотр, Windows открывает браузер в Интернете и переходит на указанный адрес, чтобы отобразить доступные принтеры.

Эта политика упрощает поиск принтеров, которые необходимо добавить.

Ссылки

Дополнительные сведения об этих параметрах политики щелкните вкладку Explain для каждого параметра политики.

02.04.2019

Active Directory, Windows 10, Windows Server 2012 R2, Групповые политики

комментариев 37

Рассмотрим возможности автоматического подключения принтеров пользователям домена Active Directory с помощью групповых политик (GPO). Довольно удобно, когда при первом входе в систему у пользователя сразу устанавливаются и появляются в принтерах доступные ему устройства.

Рассмотрим следующую конфигурацию: в организации имеется 3 отдела, каждый отдел должен печатать документы на собственном цветном сетевом принтере. Ваша задача, как администратора, настроить автоматическое подключение сетевых принтеров пользователям в зависимости от отдела.

Данная инструкция предполагает использованием Group Policy Preferences – расширения групповых политик, которые появились в Windows Server 2008. Соответственно уровень домена должен быть не менее Windows Server 2008, а клиенты не ниже Win XP SP3.

Подключение принтеров пользователям через GPO

Создайте три новые группы безопасности в AD (prn_HPColorSales, prn_HPColorIT, prn_HPColorManagers) и добавьте в нее пользователей отделов (наполнение групп пользователей можно автоматизировать по статье “Динамические группы в AD”). Вы можете создать группы в консоли ADUC, или с помощью командлета New-ADGroup:

New-ADGroup "prnHPColorSales" -path 'OU=Groups,OU=Moscow,DC=corp,dc=winitpro,DC=ru' -GroupScope Global –PassThru

Если у вас в домене используется небольшое количество сетевых принтеров (до 30-50), вы можете все их настраивать с помощью одной GPO. Если у вас сложная структура домена, есть сайты AD, используется делегирование прав администраторам филиалов, лучше создать несколько политик подключения принтеров, например по одной политике на сайт или OU. Если вы хотите подключать принтер по IP адресу (не через принт-сервера, а напрямую), выберите пункт TCP/IP Printer. Обратите внимание, что данное ограничение не запрещает любому пользователю домена подключить это принтер вручную в проводнике Windows. Чтобы ограничить доступ к принтеру, нужно изменить права доступа к нему на принт-сервере, ограничив возможность печати определенными группам.

При использовании такой групповой политики, новые принтера будут устанавливаться у пользователей, только если на их компьютере уже установлен соответствующий принтеру драйвер печати. Дело в том, что у обычных пользователей нет прав на установку драйверов.

Настройка политики подключения принтеров Point and Print Restrictions

Для корректного подключения принтеров у любого пользователя, вам придется настроить политику Point and Print Restrictions и настроить адреса принт-серверов серверов, с которых пользователей разрешено устанавливать принтеры.

Напомню, что с 2016 года Microsoft с целью безопасности по-умолчанию запретила установку неподписанных и неупакованных драйверов (non-package-aware v3 printer drivers). Смотри статью Проблема подключения сетевых принтеров.

Если вы подключаете принтеры через пользовательский раздел политики, перейдите в раздел GPO User Configuration -> Policy -> Administrative Templates -> Control Panel -> Printers -> Printer -> Point and Print Restriction. Включите политику (Enabled) и настройте ее следующим образом:

Users can only point and print to these servers –укажите список принт-серверов, с которых разрешено устанавливать драйвера (указываются FQDN имена, разделитель точка с запятой);
When installing driver for new connection -> Do not show warning or elevation prompt
When installing driver for existing connection -> Do not show warning or elevation prompt.

Аналогичным образом нужно включить политику Package Point and Print – Approved server в разделе User Configuration -> Policies -> Administrative Templates -> Printers и задать в ней список доверенных принт-серверов.

Теперь после перезагрузки компьютера при входе пользователя у него будет автоматически подключаться назначенный ему сетевой принтер.

Раньше для подключения принтеров пользователей мне приходилось использовать VBS /PowerShell скрипты установки и подключения принтеров, которые запускались как Startup скрипты GPO и возможностей фильтрации групповых политик. Однако использовать GPP политики для настройки принтеров на мой взгляд намного проще. Предыдущая статья Следующая статья

Настройка политики паролей пользователей в Active Directory Когда истекает пароль пользователя в AD, оповещаем пользователей о необходимости сменить пароль Критическая уязвимость Active Directory Zerologon (CVE-2020-1472) Административные шаблоны для управления настройками MS Office с помощью GPO

Можно распространять принтеры на пользователей и таки образом. Все зависит от инфраструктуры.
Но, на мой взгляд метод с GPP более универсальный и гибкий. Кроме того, не нужно ставить роль принт-сервера, а также можно подключить сетевые принтеры (не опубликованные на принт-сервере) или принтеры с компьютеров других пользователей.

Админ, почини SMTP)))

[email protected]
Blacklisted by the SPF Test (sender forged per policy of "example.com", SPF result: "fail").
37.252.2.22

Если указать ip адрес сетевого принтера, то данная схема не работает. Как быть, если нет принт-сервера, а у принтера только ip?

Сделать принтсервер или расшарить на любом другом компьютере.

См. ремарку. Если вы хотите подключать принтер по IP адресу (не через принт-сервера, а напрямую), выберите пункт TCP/IP Printer.

В поле Printer Path попробуйте указать путь UNC путь к принтеру (в виде \\pcname\hp2000 ), с которого нужно получить драйвер для принтера (это может быть любой другой компьютер с настроенным и расшаренным этим или другим принтером той же модели).

Всё хорошо, только последние два пункта надо настраивать не в User Configuration, а в Сomputer Configuration. Второй скриншот снизу именно из того раздела.

Не корректно выразился. Имел ввиду, что для подключения принтеров через GPO нужно настраивать политику как в разделе User Configuration, так и в разделе Сomputer Configuration. Вот.

Насколько я помню там указывается UNC путь к принтеру, с которого нужно получить драйвера. Т.е. нужно руками подключить и расшиарить этот принтер на одном компьютере.

Добрый день!
Спасибо за статью. Возникло 3 вопроса.
1. Зачем настраивать политики подключения принтеров Point and Print Restrictions. Это же нужно для более старых версий Windows?
2. При перемещении пользователя в другое подразделение принтер не удаляется. А новый появляется.
3. С недавних пор возникла проблема долгой установки принтера на клиентском компьютере. Раньше это происходило после команды gpupdate /force.

Решилось сменой Действия с Замена на Обновить для проблемного принтера. Да, первый логон после создания политики будет немного дольше, но последующие будут залетать махом.

Вариант Replace в GPP используется крайне редко, когда вам нужно что-то сначала гарантированно удалить, а потом установить. Поэтому по умолчанию стоит режиме Update.

А что делать, если принтер все же не подключается? Все настроено в соответствии с вашей статьей, но в логах сыпется ошибка

Элемент предпочтения пользователь "printer_name" в объекте групповой политики "Подключение принтеров " не применен по причине ошибки с кодом '0x80070bcb Указанный драйвер принтера не найден в системе. Необходимо скачать драйвер.' Эта ошибка была отключена.

При этом вручную принтер подключается, правда выдается запрос о доверии к этому принтеру и этому серверу печати. После ручного добавления принтера политика будет работать нормально, пока не удалишь драйвер принтера с клиента

KB5005652 — управление поведением драйвера по умолчанию (CVE-2021–34481)
Сводка

Windows обновлений, выпущенных 10 августа 2021 г. и более поздних версий, для установки драйверов по умолчанию требуются права администратора. Мы внося это изменение в поведение по умолчанию, чтобы снизить риск на всех Windows, включая устройства, которые не используют функции Point и Print или Print. Дополнительные сведения см. в пунктах Изменение поведения по умолчанию и CVE-2021–34481.

По умолчанию пользователи без прав администратора больше не могут делать следующее с помощью точки и печати:

Установка новых принтеров с помощью драйверов на удаленном компьютере или сервере

Мы не распространяем принтеры политиками, но в политики настроены так чтобы пользователь без прав админа мог подключить принтер с любого сервера. Может вам поможет:

Computer Configuration / Administrative Templates
Printers / Point and Print Restrictions = Disabled
System / Device Installation / Allow remote access to the Plug and Play interface = Enabled
System / Driver Installation / Allow non-administrators to install drivers for these device setup classes = Enabled
Allow Users to install device drivers for these classes:

User Configuration / Administrative Templates / Control Panel / Printers
Browse the network to find printers = Enabled
Point and Print Restrictions = Disabled
Prevent addition of printers = Disabled
Prevent deletion of printers = Disabled

Все тоже самое. И драйвера новые ,но все равно 0x80070bcb. HP, Brother нормально прокинулись, а Ricoh просят обновить драйвер. И хоть ты тресни.
И кстати:
When installing driver for new connection -> Do not show warning or elevation prompt
When installing driver for existing connection -> Do not show warning or elevation prompt.
Вот этих пунктов нет в User configurations.
Включал выключал этот

Добрый день!
А в для этого примера, при создании GPO AutoConnect, в фильтре безопасности тогда что должно быть для этой политики прописано, если группы задаются в Нацеливании?
Спасибо!

Не проще ли цеплять принтер к ПК, а не терминале печать будет работать через EasyPrint на локальном принтере.

Добрый день, подскажите а если у меня нет принтсервера то как указать unc путь и можно как-то указать ему путь на файловый сервер где драйвера лежат или все таки принт сервер надо разворачивать

Настроил по мануалу, все заработало, принтер установился автоматически.
На Вашем сайте очень качественные инструкции, уже не первый раз выручают!
Спасибо большое за Ваш труд!

ставил однажды так принтеры. столкнулся с одной очень неприятной штукой, после отключения пользователя от политики, ему продолжает устанавливается принтер. Где-то это в профиле прописывается или еще где-то? пользователю уже не нужен этот принтер, а он продолжает ставится.

Если такая заявка в вашей системе сервис-деска вызывает дергающийся глаз и падение тонуса ― у вас наверняка еще не настроено удобное централизованное управление принтерами. Пора исправлять эту неувязочку.

Статья скорее для тех, у кого нет этого сферического корпорейта в вакууме, с виртуальными принтерами, прикладыванием пропуска для печати на HP M8xx, а то и даже Ricoh Pro 8ххх. Как обычно, запасаемся скриптами, GPO и еще раз скриптами.

В качестве первой меры, облегчающей жизнь, рекомендую завести сервер печати, где можно развернуть все принтеры организации. В идеале это отдельная виртуальная машина, где все принтеры являются сетевыми и выведены в отдельный VLAN с доступом только с сервера печати. Если невозможно использовать сетевой принтер, то в крайнем случае можно превратить компьютер с USB\LPT принтером в принт-сервер. Например, при помощи утилиты rawprintserver.

Помимо удобства обслуживания конфигурация с единым сервером печати позволит запросто реализовать и «наколеночные» отчеты печати, разбирая журнал Microsoft-Windows-PrintService/Operational. Надеюсь, что с решением этой задачи поможет наш материал «Вертим логи как хотим ― анализ журналов в системах Windows», а в качестве примера предложу следующий скрипт PowerShell:

Результат работы скрипта.

Вдобавок, можно как следует заняться оптимизацией быстродействия единого сервера печати, объединять принтеры в кластер. В общем, развлекаться как угодно ― хотя бы мониторить принтеры по SNMP и заранее уведомлять сотрудников о заканчивающихся картриджах.

Перейдем к подключению принтеров пользователям: вариантам затейливым и не очень.

Использование логон-скриптов ― это старое и проверенное средство, работает всегда и везде. При входе пользователя в систему срабатывает скрипт, который подключает нужный принтер и устанавливает его по умолчанию ― все просто и стабильно. На cmd скрипт будет вида:

Подробнее про работу команды cmd для работы с принтерами можно почитать в документации Microsoft.

Любителям vbs придется уже использовать объекты, и подключение принтера будет выглядеть так:

Аналогичным образом задача решается на PowerShell:

Если непосредственно с подключением принтера все просто ― лишь бы драйвер стоял на компьютере, ― то выборочное подключение принтеров потребует архитектурной смекалки. Приведу пару вариантов, которые встречались на просторах админской деятельности.

Для каждого принтера существует своя группа безопасности. Только ей разрешена печать на принтере в его свойствах. Для каждой группы безопасности создан свой логон-скрипт и своя групповая политика с фильтром безопасности.

Нужно больше групповых политик.

Вариант неплохой, но при добавлении нового принтера приходится создавать новую группу безопасности, новую групповую политику и новый скрипт для подключения. Конечно же, это можно автоматизировать не без помощи нашего материала «Погружение в шаблоны и приручение GPO Windows», но решение все равно выглядит далеко не самым изящным.

Другой вариант таков ― создается единый скрипт, который проверяет какой-либо атрибут пользователя или компьютера и в зависимости от него подключает нужный принтер. В качестве атрибута может выступать расположение, описание или вовсе членство в группе безопасности.

Под спойлером приведу вариант подобного скрипта на vbs.

С появлением Group Policy Preferences или предпочтений групповых политик стало возможным обходиться без скриптов вовсе. Действительно, подключение к принтерам можно настроить в разделе «Конфигурация пользователя ― Настройка ― Панель управления ― Принтеры».

Подключение к новому или старому принтеру.

При этом не обязательно настраивать политики по количеству принтеров в домене инструментом «Нацеливание» на вкладке «Общие параметры». По сути этот инструмент напоминает wmi-фильтры в групповой политике, только у него заранее создан готовый набор опций помимо фильтров.

Возможные варианты нацеливания.

Неплохим вариантом будет настройка фильтра по группе безопасности. Тогда будет достаточно создать нужное число групп безопасности, настроить разрешения на принтеры на сервере печати и завести эти принтеры в групповую политику.

При автоматизации добавления-изменения можно использовать тот факт, что сами настройки предпочтения групповых политик располагаются в папке групповой политики в подпапке Preference. В случае принтеров это будет xml-файл Printers.xml в подпапке Printers.

Физическое расположение настроек принтеров.

Если открыть его, можно увидеть, что структура xml достаточно проста:

И при желании можно аккуратно добавлять\изменять параметры вручную или скриптами. Конечно же, изобретать велосипед и лезть немытыми руками в xml весело и занимательно, но совершенно не обязательно ― в галерее скриптов TechNet уже есть готовый скрипт Add-Printer-IN-GPO, который добавит принтеры к групповой политике с нацеливанием на группы безопасности.

В завершение статьи расскажу про один занятный способ, который мне как-то раз пришлось реализовать.

От заказчика поступила задача ― создать инструмент для автоматического подключения принтеров пользователю. При этом время реакции должно быть минимально и никакие перелогины недопустимы, поэтому классические варианты вроде логон-скриптов и групповых политик сразу отмели.

Нюанс был и в том, что пользователи работали на терминальных серверах в ферме и без фермы. Голь на выдумки хитра, поэтому мне пришлось вспомнить возможные варианты запуска команд на удаленном компьютере под разными сессиями ― часть вариантов описана в нашей статье «1000++ способ запуска команд на удаленном компьютере». Лучшим оказался вариант с назначенными заданиями.

Поскольку я люблю батники и использую их, когда можно обойтись без применения PowerShell, то для решения задачи я использовал исключительно cmd.

Основной проблемой была необходимость запускать команды на подключение принтера непосредственно в сессии пользователя, а не зная его пароля, обычные методы не очень результативны. Как раз для этого я использовал возможность задать имя пользователя при создании назначенного задания вот такой командой:

Второй проблемой было найти компьютер, на котором пользователь работает в момент обращения. Я использовал утилиту qwinsta и список возможных компьютеров в текстовом файле. Разумеется, есть и другие способы ― например, брать имя компьютера из атрибута Active Directory или из текстового файла. Но эта процедура потребует дополнительных Logon-скриптов. В качестве примера реализации могу посоветовать материал How to: Show User's Logged On Computer Name In Active Directory.

В результате на свет появился скрипт, принимающий в качестве параметра имя пользователя и подключаемого принтера. Рядом со скриптом надо положить текстовый файл со списком серверов, на которых может работать пользователь.

Конечно же, есть компании, где пользователи сами в состоянии подключиться к нужному принтеру, выбрать его по умолчанию и не дергать для этого IT-службу. К сожалению, не все такие продвинутые.

Предлагаю в комментариях поделиться, как обстоят дела с сетевыми принтерами и их управлением в ваших организациях.

После того, как установлен и настроен Windows server 2019 , можно приступить к установке различных служб и компонентов. В данном случае установим службу печати и документов, которая позволяет управлять печатающими устройствами в домене, а также развертывать принтеры с помощью групповой политики.

Установка роли "Служба печати и документов".

1. нажимаем "Пуск" - "Диспетчер серверов".

2. Выбираем "Добавить роли и компоненты".

3. В мастере добавления ролей и компонентов читаем условия, которые необходимы для установки ролей и компонентов.

Учётная запись администратора защищена надежным паролем;
Настроены сетевые параметры, такие как статические IP-адреса;
Установлены новейшие обновления безопасности из Центра обновления Windows.

Нажимаем "Далее".

4. В следующем окне выбираем "Установка ролей или компонентов", нажимаем "Далее".

5. Выбираем сервер из пула серверов, затем "Далее".

6. Выбираем "Службы печати и документов".

7. В открывшемся окне выбираем "Добавить компоненты", снова "Далее".

8. Компоненты для установки на этом сервере устанавливать нет необходимости, нажимаем "Далее".

9. Читаем на что обратить внимание при установке службы печати и документов, нажимаем "Далее".

10. В следующем окне оставляем по умолчанию чекбокс на "Сервер печати". Если в сети имеются компьютеры, работающие на базе UNIX (в том числе Linux), ставим чекбокс на "Службы LPD". Затем "Далее".

11. В открывшемся окне Нажимаем "Установить".

12. По окончании установки нажимаем "Закрыть". Служба печати и документов после установки не требует перезагрузки сервера.

Установка принтера в домене

Для того, чтобы установить принтер, МФУ в домене, сначала необходимо установить драйвер печатающего устройства на сервере. В данном случае установим драйвер для МФУ Kyocera Ecosys M2835dw.

1. Открывает "Диспетчер серверов" (Пуск - Диспетчер серверов), далее "Средства" - "Управление печатью".

2. В открывшемся окне "Управление печатью" раскрываем "Серверы печати". Нажимаем правой клавишей мыши на "Принтеры", далее "Добавить принтер. ".

3. В мастере установки сетевого принтера выбираем "Добавить TCP/IP-принтер или веб-принтер по его IP-адресу или имени узла", затем "Далее".

4. Задаём "Имя узла или IP-адрес", "Имя порта". Устанавливаем чекбокс "Автоматический поиск драйвера принтера", если не стоит. Нажимаем "Далее".

5. После того, как принтер (МФУ) найден, задаём "Имя принтера", "Имя общего ресурса", устанавливаем чекбокс "Общий доступ к принтеру", если не стоит. Для удобства заполняем поле "Размещение" и если есть необходимость, заполняем "Комментарий". Нажимаем "Далее".

6. Дожидаемся установки драйвера сетевого принтера (МФУ), затем "Далее".

7. После окончания установки устройства, мастер установки сетевых принтеров напишет состояние "Принтер установлен". Можно напечатать пробную страницу, а также установить другой принтер, установив чекбокс в соответствующее поле. Нажимаем "Готово".

8. Далее в окне "Управление печатью", нажимаем правой клавишей на установленное устройство, выбираем "Свойства". В открывшемся окне ставим чекбокс "Внести в Active Directory". Нажимаем "Применить", затем "ОК".

Развертывание принтера (МФУ) в домене с помощью групповой политики

1. Для развертывания принтера (МФУ) в домене с помощью GPO в окне "Управление печатью" переходим к "Принтеры", далее выбираем необходимый принтер. Нажимаем правой клавишей мыши на выбранный принтер, далее "Развернуть с помощью групповой политики". В новом окне нажимаем "Обзор".

2. В открывшемся окне выбираем подразделение, в котором будет развернуто устройство для печати, затем нажимаем на "+" и задаём имя для новой групповой политики.

3. В зависимости от применения групповой политики (для пользователей, для компьютеров), ставим чекбокс. В данном случае применяем политику для пользователей, к которым применен данный объект групповой политики (на пользователя). Нажимаем "Добавить" - "Применить".

5. Для того, чтобы связать созданную групповую политику с другими подразделениями в домене, открываем оснастку консоли "Управление групповой политикой". Выбираем нужное подразделение, правой клавишей мыши - "Связать существующий объект групповой политики. ".

6. Выбираем созданную групповую политику, нажимаем "ОК". Применяем групповую политику к нужным подразделениям, или можем сразу выбрать весь домен.

7. Для немедленного применения групповой политики открываем командную строку, набираем gpupdate /force.

Проверка установки принтера в домене с помощью групповой политики

1. Для проверки установки принтера (МФУ) в домене, заходим на компьютере пользователя под учетной записью. В строке поиска пишем "Принтеры", нажимаем на появившееся "Принтеры и сканеры".

2. В новом окне проверяем, что появилось устройство печати.

Посмотреть, как установить и настроить службу печати и документов, а также развернуть принтер в домене с помощью групповой политикой можно здесь:

Читайте также: