Рассмотрим возможности автоматического подключения принтеров пользователям домена Active Directory с помощью групповых политик (GPO). Довольно удобно, когда при первом входе в систему у пользователя сразу устанавливаются и появляются в принтерах доступные ему устройства.
Рассмотрим следующую конфигурацию: в организации имеется 3 отдела, каждый отдел должен печатать документы на собственном цветном сетевом принтере. Ваша задача, как администратора, настроить автоматическое подключение сетевых принтеров пользователям в зависимости от отдела.
Подключение принтеров пользователям через GPO
Создайте три новые группы безопасности в AD (prn_HPColorSales, prn_HPColorIT, prn_HPColorManagers) и добавьте в нее пользователей отделов (наполнение групп пользователей можно автоматизировать по статье “Динамические группы в AD”). Вы можете создать группы в консоли ADUC, или с помощью командлета New-ADGroup:
New-ADGroup "prnHPColorSales" -path ‘OU=Groups,OU=Moscow,DC=corp,dc=winitpro,DC=ru’ -GroupScope Global –PassThru
-
Запустите консоль редактора доменных политик (GPMC.msc), создайте новую политику prnt_AutoConnect и прилинкуйте ее к OU с пользователями;
При использовании такой групповой политики, новые принтера будут устанавливаться у пользователей, только если на их компьютере уже установлен соответствующий принтеру драйвер печати. Дело в том, что у обычных пользователей нет прав на установку драйверов.
Настройка политики подключения принтеров Point and Print Restrictions
Для корректного подключения принтеров у любого пользователя, вам придется настроить политику Point and Print Restrictions и настроить адреса принт-серверов серверов, с которых пользователей разрешено устанавливать принтеры.
Если вы подключаете принтеры через пользовательский раздел политики, перейдите в раздел GPO User Configuration -> Policy -> Administrative Templates -> Control Panel -> Printers -> Printer -> Point and Print Restriction. Включите политику (Enabled) и настройте ее следующим образом:
- Users can only point and print to these servers –укажите список принт-серверов, с которых разрешено устанавливать драйвера (указываются FQDN имена, разделитель точка с запятой);
- When installing driver for new connection -> Do not show warning or elevation prompt
- When installing driver for existing connection -> Do not show warning or elevation prompt.
Аналогичным образом нужно включить политику Package Point and Print – Approved server в разделе User Configuration -> Policies -> Administrative Templates -> Printers и задать в ней список доверенных принт-серверов.
Теперь после перезагрузки компьютера при входе пользователя у него будет автоматически подключаться назначенный ему сетевой принтер.
Служба каталогов Active Directory позволяет указывать принтеры, доступные в каталоге. Существует возможность с помощью групповой политики указать необходимость в записи объектов принтеров в домене, организационном подразделении и т.д.
1. Откройте оснастку Active Directory — Пользователи и компьютеры (Active Directory — Users and Computers) (Пуск > Программы > Администрирование > Active Directory — Пользователи и компьютеры (Start > Programs > Administrative Tools > Active Directory — Users and Computers)).
2. Кликните правой кнопкой на домене и выберите в контекстном меню команду Свойства (Properties).
3. Перескочите на вкладку Групповая политика (Group Policy).
4. Выберите объект Default Domain Policy и кликните на кнопке Изменить (Edit).
5. Раскройте раздел Конфигурация компьютера > Административные шаблоны > Принтеры (Computer Configuration > Administrative Templates > Printers).
6. Дважды кликните на параметре Разрешить публикацию принтеров (Allow printer to be published).
7. Выберите переключатель Включена (Enabled) или Отключена (Disabled) и кликните на кнопке Применить (Apply). Кликните на кнопке OK.
8. Закройте окно Групповая политика (Group Policy) и оснастку Active Directory — Пользователи и компьютеры (Active Directory — Users and Computers).
Даже если эта политика не настроена, пользователи имеют возможность указывать принтеры в Active Directory.
Политика Автоматическая публикация новых принтеров в Active Directory (Automatically publish new printers in Active Directory) позволяет автоматически включать новые принтеры в Active Directory. Если политика отключена, принтеры не будут автоматически публиковаться в БД Active Directory.
Как опубликовать принтеры в Active Directory
Как опубликовать принтеры в Active Directory
Всем привет, продолжаем настройку сервера печати Windows, и изучать его возможности и функционал. В предыдущей части мы с вами научились выполнять установку принтеров групповой политикой, метод отличный, но по мимо него есть еще один, это публикация в AD принтеров, что мы и рассмотрим сегодня. Очень часто в обучающих книгах, этот метод считается вторым по значимости, рассчитанный на компьютерную грамотность пользователей, но на практике почти не применим.
Настройка принтера через ad
И так давайте рассмотрим, что же такое публикация принтера. Откройте оснастку Acrive Directory Пользователи и компьютеры ил как ее еще называют ADUC. Сверху нажмите иконку поиска.
У вас откроется форма поиска, где в пункте найти вы выбираете принтеры, а в обзоре выбираете домен или лес. Жмете Найти. Как видите, у меня нет ни одного принтера.
Теперь идете на сервер печати и щелкаете по нужному принтеру правым кликом и из контекстного меню выбираете Перечислить в Active Directory, это и есть публикация, видимо трудности перевода.
На экране ничего не появится, но это и не важно, переходим снова в ADUC и делаем поиск по принтерам. Как видите ad принтеры уже видит и содержит в своей базе данных.
- Есть название принтера
- Модель
- И имя сервера где он находится
Если посмотреть возможные команды, то тут есть подключить, но мы то понимаем что рядовой пользователь сюда и не полезет, да и его и не пустят, но плюс публикации есть, его рассмотрим ниже.
Что происходит когда вы ставите перечислить принтеры в AD, тут все просто, в свойствах принтера на вкладке Доступ ставится галочка Внести в Active Directory.
Теперь предположим, вы не успели настроить групповую политику или вы сидите в другом доверительном домене и вам нужен некий принтер, то его можно поискать при добавлении устройства в панели управления.
Далее нажимаем Нужный принтер отсутствует в списке.
Далее выбираем Найти принтер в каталоге по его расположению и возможностям.
Откроется окно поиска и вы получите список принтеров.
Управление принтерами через GP
В ad принтеры централизованно настраиваются через групповые политики, и для опубликованных принтеров есть более 20 настроек.
Что советую отключить, это Обзор принтеров. Как вам известно, в доменах Active Directory, информация об установленных принтерах хранится в доменных службах, однако, по умолчанию, она не объявляется в списках просмотра службы каталога в том случае, если пользователь выполнил вход в домен. Если же доменные службы Active Directory не доступны, то в таком случае общие принтеры будут добавляться в список просмотра. В свою очередь, если включить данный параметр политики, то диспетчер очереди печати будет объявлять общие принтеры подсистеме печати. А клиенты, при каждом уведомлении о наличии принтеров должны использовать клиентские лицензии. Чтобы подсистема печати не добавляла общие принтеры в список просмотра, рекомендуется данный параметр политики отключить
Мастер установки принтеров – страница сканирования сети (неуправляемая сеть)» и Мастер установки принтеров – страница сканирования сети (управляемая сеть). Первый предназначен для установки количества принтеров в неуправляемой сети, то есть в сети, где невозможно обнаружить контроллер домена, например, в аэропорту или в домашнем окружении, а второй, соответственно, для управляемой сети, где у компьютера есть доступ к контроллеру домена. При помощи этих параметров политики вы можете определить отображаемое количество принтеров для TCP/IP-принтеров, принтеров веб-служб, Bluetooth принтеров, а также количество общих принтеров, которые выводятся в списке найденных результатов. Параметр политики для управляемых принтеров отличается лишь тем, что в нем еще присутствует возможность настройки определения принтеров Active Directory. Значения по умолчанию для каждого типа принтеров в параметрах политики отличаются. По умолчанию, для неуправляемой сети должны отображаться по 50 TCP/IP-принтеров, общих принтеров, а также принтеров веб-служб, а Bluetooth принтеров должно отображаться максимум 10 штук. В свою очередь, в управляемой сети по умолчанию должны отображаться только 20 принтеров Active Directory и 10 Bluetooth принтеров. Для определения своих параметров следует в обоих параметрах политики установить переключатель на опцию Включить и указать свое количество принтеров для каждого типа. Например, для неуправляемой сети можно установить для трех типов значение 10, а для Bluetooth принтеров указать значение 0. Это означает, что мастер не будет отображаться принтеры данного типа. Для управляемой сети зададим значение 20 для каждого типа помимо общих принтеров. Для этого типа укажем значение 10. Диалоговое окно настроек мастера установки принтеров для управляемой сети отображено ниже:
Следующие рассматриваемые в этой статье параметры политики предназначены для управления публикацией принтеров. Как вы знаете, каждому пользователю по умолчанию предоставлена возможность публикации принтера в Active Directory. Принтеры можно опубликовывать в Active Directory, установив флажок Внести в Active Directory на вкладке доступа диалогового окна свойств установленного общедоступного принтера. При желании пользователей можно лишить этой возможности, установив переключатель на опцию Отключено в диалоговом окне свойств параметра политики Разрешить публикацию принтеров. Так как в большинстве случаев нет необходимости в запрещении публикации принтеров, следует установить переключатель на опцию Включено. После того как принтер будет опубликован, операционная система должна проверять доступность своих опубликованных принтеров в доменных службах Active Directory. По умолчанию такая проверка выполняется однократно во время запуска самой операционной системы. Этим параметром также можно управлять при помощи функциональных возможностей групповой политики. Для этого следует открыть диалоговое окно свойств параметра политики Проверять состояние публикации, а затем установить переключатель на опцию Включено. После этого из раскрывающегося списка Периодичность проверки состояния публикации следует выбрать интервал проверки публикации. Например, оптимальным значением будет 4 часа, однако, если вы укажите значение Никогда, то это будет приравниваться тому, как если бы вы установили переключатель на опцию Отключено. Диалоговое окно свойств этого параметра политики с интервалами, указанными в соответствующем раскрывающемся списке отображено ниже:
Еще один параметр политики, отвечающий за публикацию принтеров, который рассматривается в этой статье, называется Удалять принтеры, которые не были повторно опубликованы. Для чего необходим этот параметр политики? Бывают такие ситуации, когда во время проверки состояния публикации компьютер, принтер которого опубликован в Active Directory при помощи возможностей оснастки Active Directory – пользователи или компьютеры или специального скрипта Pubprn.vbs, не отвечает на запросы. Так вот, данный параметр политики определяет, можно ли уменьшить количество принтеров в доменных службах при помощи службы очистки, о которой будет рассказано ниже. Установив переключатель на опцию Включить вы можете выбрать одну из следующих опций:
- Никогда. Данный параметр установлен по умолчанию, даже если не настраивать этот параметр политики и позволяет не удалять объекты принтеров, которые автоматически не публикуются повторно;
- Только если найден сервер печати. В данном случае такие объекты удаляются лишь в тогда, когда принтер недоступен, но в сети можно обнаружить работающий сервер печати;
- Когда принтер не найден. В этом случае, принтер будет удален, если компьютер не отвечает на запросы в тот момент, когда должна выполняться автоматическая публикация последнего.
Рекомендуемым значением данного параметра является значение Никогда.
Следующие четыре параметра политики отвечают за возможность очистки принтеров. Собственно, служба очистки предназначена для удаления из доменных служб Active Directory объектов принтеров. Первый, рассматриваемый в этой статье параметр очистки, называется Интервал очистки Active Directory. В принципе, предыдущий параметр, описанный в этой статье, напрямую зависит от значения, которое вы укажите в текущем параметре политики. При помощи данного параметра политики вы можете указать интервал, определяющий время, через которое служба очистки на контроллере домена будет опрашивать компьютеры на наличие работоспособности опубликованных принтеров. Соответственно, если компьютер не ответит на запрос, то объект принтера, опубликованного в доменных службах Active Directory, будет удален. Установите переключатель на опцию Включить и из раскрывающегося списка Интервал укажите требуемый промежуток времени между попытками обнаружения так называемых брошенных компьютеров. Рекомендуется, чтобы этот интервал был больше указанного в предыдущем параметре политики, например, как показано на следующей иллюстрации, 12 часов:
Для того чтобы объект принтера случайно не был удален в тот момент, когда при каком-то обстоятельстве компьютер, опубликовавший принтер может быть случайно недоступен, следует определять количество повторов попыток обращения к опубликовавшему принтер компьютеру, после которого служба очистки удалит объект принтера из доменных служб Active Directory. По умолчанию служба очистки дважды повторно опрашивает компьютер, перед тем как удалить объект из доменных служб. Используя параметр политики Повторы при очистке Active Directory вы можете изменить количество повторов. Откройте диалоговое окно свойств этого параметра политики и из раскрывающегося списка Повторы выберите необходимое для вас количество повторов, например, три повтора и нажмите на кнопку ОК.
Как я уже не один раз упомянул, в том случае, если компьютер, опубликовавший принтер не ответит на сообщение опроса на протяжении указанных в предыдущем параметре политики попыток, принтер будет удален из Active Directory. При желании вы можете запретить очистку опубликованных ранее принтеров, установив переключатель на опцию Отключено в диалоговом окне свойств параметра политики Разрешить очистку опубликованных принтеров. Естественно, этот параметра политики спасет опубликованные принтеры от очистки в том случае, если компьютеры, опубликовывающие принтеры в обязательном порядке должны выключаться, однако, в диалоговом окне данного параметра лучше установить переключатель на опцию Включить.
Последний параметр политики, позволяющий настроить службу очистки, называется Приоритет потока при очистке Active Directory. Как вы догадались, используя свойства этого параметра политики, вы можете указать приоритет, влияющий на порядок получения процессорного времени, определяющий вероятность вытеснения другими процессами, которые могут быть более приоритетными. Сам поток очистки, соответственно, удаляет ненужные объекты принтеров из доменных служб Active Directory. В раскрывающемся списке Приоритет диалогового окна свойств данного параметра политики можно найти 5 значений: Самый низкий, Ниже среднего, Средний, Выше среднего, а также Самый высокий. По умолчанию установлено значение Средний, а так как поток очистки не является приоритетным процессом, выполняющимся на контроллере домена (а поток очистки выполняется лишь на контроллерах).
Как видите настроек очень много, остальные вы сможете прочитать в описании к политикам. Далее мы поговорим о безопасности принтеров и печати. Чтобы убрать принтер из публикации, просто на сервере печати щелкните по нему правым кликом и выберите
Далее советую почитать про безопасность принтеров, ее много не бывает.