Принтеры в ad как посмотреть

Обновлено: 18.05.2024

В этой статье описываются политики, специфические для управления принтерами и использование параметров групповой политики для управления принтерами в Active Directory.

Применяется к: Windows Server 2012 R2
Исходный номер КБ: 234270

Сводка

Параметры принтера Active Directory можно включить или отключить с помощью параметров групповой политики. Все параметры групповой политики содержатся в объектах групповой политики, связанных с контейнерами Active Directory (сайты, организационные подразделения и домены). Эта структура максимально расширяет и расширяет Active Directory.

В этой статье описываются политики, специфические для управления принтерами и как включить или отключить управление принтером с помощью редактора локальной групповой политики.

Существует два типа конфигураций, которые можно установить для принтеров в параметре групповой политики:

  • Конфигурация компьютера
  • Пользовательская конфигурация

Настройка параметров принтера для компьютеров

Выберите Начните, укажи программы, укажи на административные средства, а затем выберите пользователей и компьютеров Active Directory.

Выберите контейнер Active Directory для домена, который необходимо управлять (организационный блок или домен). Щелкните правой кнопкой мыши этот контейнер, а затем выберите Свойства.

Выберите вкладку Групповой политики, а затем выберите New для создания нового параметра групповой политики.

В редакторе локальной групповой политики разложите следующие папки:

В конфигурации компьютера можно включить следующие параметры:

Разрешить публикацию принтеров: Включает или отключает публикацию принтеров в каталоге.

Разрешить печать Spooler для приемки клиентских подключений: Контролирует, будет ли шпалер печати принимать клиентские подключения. Если политика не настроена, шпалер не будет принимать клиентские подключения, пока пользователь не откроет локальный принтер или не откроет очередь печати на подключении к принтеру. На этом этапе шпалер начнет принимать клиентские подключения автоматически.

Разрешить обрезку опубликованных принтеров: Определяет, может ли контроллер домена подрезать (удалить из Active Directory) принтеры, опубликованные на этом компьютере. По умолчанию служба обрезки контроллера домена подрезает объекты принтера из Active Directory, если опубликованный ими компьютер не отвечает на запросы контактов. Когда компьютер, опубликовав принтеры, перезапускает все удаленные объекты принтера.

Автоматически публиковать новые принтеры в Active Directory: По умолчанию этот параметр включен. Его можно отключить, чтобы в каталог помещались только выбранные общие принтеры.

Проверка опубликованного состояния: Используется для проверки публикации опубликованных принтеров в Active Directory. По умолчанию опубликованное состояние не проверяется.

Url-адрес пользовательской поддержки в левой области папки Принтеры: Этот бит политики предназначен для администраторов, чтобы добавить настраиваемые URL-адреса поддержки для сервера. Если этот бит не выбран, в области навигации папки Принтеры отображаются URL-адреса для выбранного принтера и URL-адрес поддержки поставщика, если он доступен. Если выбран этот бит и предоставлен настраиваемый URL-адрес поддержки, указанные ранее два URL-адреса поддержки заменяются настраиваемым URL-адресом. Не выбран по умолчанию, что означает отсутствие настраиваемого URL-адреса поддержки.

Расположение компьютера: Указывает критерии расположения по умолчанию, которые используются при поиске принтеров. Этот параметр является компонентом функции отслеживания расположения Windows принтеров. Чтобы использовать этот параметр, включив параметр "Отслеживание местоположения", включив текстовое расположение предварительного заполнения принтера. Когда включено отслеживание местоположения, система использует указанное расположение в качестве критерия при поиске принтеров пользователями. Значение, которое вы введите здесь, переопределяет фактическое расположение компьютера, который проводит поиск.

Введите расположение компьютера пользователя. При поиске принтеров пользователи используют указанное расположение (и другие критерии поиска), чтобы найти принтер поблизости. Вы также можете использовать этот параметр, чтобы направлять пользователей на определенный принтер или группу принтеров, которые вы хотите использовать.

Интервал обрезки каталогов: Интервал обрезки определяет период времени сна обрезки между проверками для оставленных PrintQueue объектов. Обрезка читает значение интервала обрезки каждый час.

Повторная обрезка каталогов: Задает количество раз, когда обрезка пытается связаться с сервером печати перед удалением PrintQueue заброшенного PrintQueue объекта.

Приоритет обрезки каталогов: Задает приоритет потока потока обрезки. Поток обрезки выполняется только на контроллерах домена и отвечает за удаление устаревших принтеров из каталога. Допустимые значения : -2, -1, 0, 1 и 2, соответствующие THREAD_PRIORITY_LOWEST через THREAD_PRIORITY_HIGHEST. Значение по умолчанию равно 0.

Отостановка установки принтеров с помощью драйверов в режиме ядра: Определяет, могут ли принтеры с драйверами в режиме ядра устанавливаться на локальном компьютере. Драйверы в режиме ядра имеют доступ к системной памяти. Поэтому плохо написанные драйверы режима ядра могут вызывать ошибки остановки.

События повторной обрезки каталогов журналов: Указывает, следует ли вести журнал событий, когда служба обрезки на контроллере домена пытается связаться с компьютером, прежде чем он подрезает принтеры компьютера.

Служба обрезки периодически контактов компьютеры, которые опубликовали принтеры, чтобы убедиться, что принтеры по-прежнему доступны для использования.

Если компьютер не реагирует на попытку контакта, попытка повторно задана заданным числом раз с заданным интервалом. Параметр повторной обрезки каталогов определяет количество повторяемой попытки. Значение по умолчанию — два ирисовки. Параметр интервала обрезки каталогов определяет интервал времени между повторами. Значение по умолчанию — восемь часов. Если компьютер не ответил последней попыткой контакта, его принтеры будут обрезки из каталога

Текст расположения расположения для предварительного заполнения принтера: Включает физический параметр отслеживания местоположения для Windows принтеров.

Используйте отслеживание расположения для разработки схемы расположения для предприятия и назначения компьютеров и принтеров расположениям в схеме. Отслеживание местоположения переопределяет стандартный метод, используемый для обнаружения и связывать компьютеры и принтеры. Стандартный метод использует IP-адрес принтера и подсетевую маску для оценки его физического расположения и близости к компьютерам. Если включить этот параметр, пользователи могут просматривать принтеры по расположению, не зная расположения или схемы именования принтера.

Включение отслеживания местоположения добавляет кнопку Просмотр в следующих расположениях:

  • Имя принтера мастера добавления принтера и экран расположения общего доступа
  • Общая вкладка в диалоговом окне Свойства принтера

По умолчанию, если включить параметр расположения компьютера групповой политики, введенное по умолчанию отображается в поле Расположение.

Принтеры чернослива, которые не будут автоматически переиздаваться: Этот параметр определяет, можно ли обрезать принтеры из каталога. Лучше оставить этот параметр неконфигуративным. Однако, если вы найдете, что принтеры обрезки, даже если компьютер, с которого они опубликованы, функционирует и в сети, вы можете включить эту политику, чтобы предотвратить удаление службы обрезки опубликованных принтеров во время отключений сети или ситуаций, в которых диалоговые ссылки, которые только периодически используются. Чтобы предотвратить удаление принтеров из Active Directory, впеть эту политику и сохранить выбор never in the Prune non-republishing printers list.

Новые дополнительные объекты групповой политики в Windows Server 2008 R2

  1. На контроллере домена выберите Начните, выберите административные средства, а затем выберите управление групповой политикой. Или выберите Начните, выберите Выполнить, введите GPMC.MSC и нажмите кнопку Ввод.
  2. Расширь лес, а затем домены.
  3. В домене выберите OU, в котором необходимо создать эту политику.
  4. Щелкните правой кнопкой мыши OU, а затем выберите Создать GPO в этом домене и связать его здесь .
  5. Дайте имя GPO, а затем выберите ОК. Щелкните правой кнопкой мыши вновь созданный объект групповой политики, а затем выберите Изменить, чтобы открыть редактор управления групповой политикой.
  6. В редакторе управления групповой политикой разложите следующие папки:
    • Конфигурация компьютера
    • Политики
    • Административные шаблоны
    • Панель управления
    • Printers

В конфигурации компьютера можно включить следующие дополнительные параметры:

Добавление мастера принтера — страница сканирования сети (управляемая сетью): эта политика задает максимальное число принтеров каждого типа, которое мастер add Printer будет отображать на компьютере в управляемой сети, когда компьютер может достичь контроллера домена. Например, ноутбук с доменом в корпоративной сети.

Добавление мастера принтера — страница сканирования сети (неугодная сеть): Эта политика задает максимальное число принтеров каждого типа, которое мастер добавить принтер будет отображать на компьютере в неугодной сети, когда компьютер не может достичь контроллера домена. Например, ноутбук, подключился к домену в домашней сети.

Всегда отрисовка заданий печати на сервере. При печати с помощью сервера печати определяет, будет ли шпалер печати на клиенте обрабатывать задания печати самостоятельно или передавать их на сервер для работы. Этот параметр политики влияет на печать только Windows сервера печати.

Выполнение драйверов печати в изолированных процессах. Этот параметр политики определяет, будет ли шпалер печати выполнять драйверы печати в изолированном или отдельном процессе. Если драйверы печати загружаются в изолированный процесс или изолированные процессы, сбой драйвера печати не приведет к сбою службы spooler печати.

Расширение подключения Point и Print для поиска Windows обновления: этот параметр политики позволяет управлять поиском драйверов point и Print на клиентских компьютерах. Если включить этот параметр политики, клиентский компьютер продолжит поиск совместимых драйверов Point и Print из Windows Update после того, как не удастся найти совместимый драйвер из локального магазина драйверов и кэш драйвера сервера.

Используйте только пункт пакетов и печать. Эта политика ограничивает клиентские компьютеры только для использования точки пакета и печати. Если этот параметр включен, пользователи смогут указать и распечатать только принтеры, которые используют драйверы, которые знают пакеты. При использовании точки и печати пакетов клиентские компьютеры проверят подпись драйвера всех драйверов, скачаемых с серверов печати.

Переопределяйте параметр совместимости драйвера выполнения печати, о котором сообщает драйвер печати. Этот параметр политики определяет, переопределит ли шпалер печати совместимость driver Isolation, о котором сообщает драйвер печати. Он позволяет выполнять драйверы печати в изолированном процессе, даже если драйвер не сообщает о совместимости.

Если включить этот параметр политики, шпалер печати игнорирует значение флага совместимости driver Isolation, которое сообщается драйвером печати.

Точка упаковки и печать — утвержденные серверы: ограничивает точку упаковки и печать на утвержденных серверах. Этот параметр политики ограничивает подключение точки пакета и печати к утвержденным серверам. Этот параметр применяется только к подключениям точки и печати пакетов и не зависит от политики ограничений точки и печати, которая регулирует поведение подключений точки и печати, не входящего в пакет.

Клиент, работающий Windows Vista или более поздней версии Windows, будет пытаться сделать точку непакета и распечатать подключение в любое время, когда точка пакета и подключение печати сбой. Это включает попытки, заблокированные этой политикой. Администраторам может потребоваться установить обе политики для блокировки всех подключений печати к определенному серверу печати.

Если этот параметр включен, пользователи смогут упаковывать точку и печатать только на печатных серверах, утвержденных сетевым администратором. При использовании точки и печати пакетов клиентские компьютеры проверят подпись драйвера всех драйверов, скачаемых с серверов печати.

Ограничения точки и печати. Этот параметр политики управляет поведением "Точка клиента" и "Печать", в том числе запросами безопасности для Windows Vista. Параметр политики применяется только к клиентам администратора без печати и только к компьютерам, которые являются членами домена.

При включении параметра политики следующие условия:

Windows Xp и более поздние клиенты будут скачивать компоненты драйвера печати только из списка явно именуемых серверов. Если на клиенте доступен совместимый драйвер печати, будет выполнено подключение к принтеру. Если совместимый драйвер печати не доступен для клиента, подключение не будет выполнено.

Вы можете настроить Windows Vista так, чтобы предупреждения о безопасности и повышенные командные запросы не появлялись, когда пользователи указывают и печатают, или когда необходимо обновить драйверы подключения к принтеру.

Если параметр политики не настроен, следующие условия:

Windows Клиентские компьютеры Vista могут указать и распечатать на любом сервере.

Windows Компьютеры Vista будут показывать предупреждение и командную подсказку, когда пользователи создают подключение принтера к любому серверу с помощью Point и Print.

Windows Компьютеры Vista покажут предупреждение и командную подсказку, когда необходимо обновить существующий драйвер подключения к принтеру.

Windows Клиентские компьютеры server 2003 и Windows XP могут создавать подключение принтера к любому серверу в лесу с помощью Point и Print.

При отключении параметра политики следующие условия:

Windows Клиентские компьютеры Vista могут создавать подключение принтера к любому серверу с помощью Point и Print.

Windows Компьютеры Vista не будут показывать предупреждение или командную подсказку, когда пользователи создают подключение принтера к любому серверу с помощью Point и Print.

Windows Компьютеры Vista не будут показывать предупреждение или повышенную командную подсказку при обновлении существующего драйвера подключения к принтеру.

Windows Клиентские компьютеры server 2003 и Windows XP могут создавать подключение принтера к любому серверу с помощью Point и Print.

Пользователи могут только указать и распечатать компьютеры в лесу только для Windows Server 2003 и Windows XP SP1 (и более поздних пакетов служб).

Дополнительные сведения о Point и Print см. в следующей статье:

Настройка параметров для принтера для пользователей

Выберите Начните, укажи программы, укажи на административные средства, а затем выберите пользователей и компьютеров Active Directory.

Выберите контейнер Active Directory для домена, который вы хотите управлять (организационного подразделения или домена). Щелкните правой кнопкой мыши этот контейнер, а затем выберите Свойства.

Выберите New для создания новой групповой политики.

В редакторе групповой политики разложите следующие папки:

Следующие параметры можно настроить в соответствии с конфигурацией пользователя:

Эта политика не мешает пользователям использовать мастер add/Remove Hardware для добавления принтера. Это также не мешает пользователям запускать программы для добавления принтеров. Эта политика не удаляет принтеры, которые уже добавлены пользователями. Однако, если пользователи не добавили принтер при применении этой политики, они не могут распечатать.

Вы можете использовать разрешения принтера, чтобы ограничить использование принтеров без установки политики. В папке Принтеры щелкните правой кнопкой мыши принтер, щелкните Свойства и нажмите вкладку Безопасность.

Отображение страницы вниз по уровню в мастере Добавить принтер: позволяет пользователям просматривать сеть для общих принтеров в мастере Добавить принтер. Если включить эту политику, когда пользователи щелкнуть Добавить сетевой принтер, но не ввести имя конкретного принтера, мастер добавить принтер отображает список всех общих принтеров в сети и подсказок пользователям выбрать принтер. Если отключить эту политику, пользователи не смогут просматривать сеть. Вместо этого они должны ввести имя принтера.

Эта политика влияет только на мастера добавить принтер. Это не мешает пользователям использовать другие средства для просмотра общих принтеров или подключения к сетевым принтерам.

Путь Active Directory по умолчанию при поиске принтеров: указывает расположение Active Directory, в котором начинаются поиски принтеров.

Мастер add Printer предоставляет пользователям возможность поиска Active Directory для общего принтера. Если вы включаете эту политику, эти поиски начинаются в том расположении, которое указано в поле путь Active Directory по умолчанию. В противном случае поиск начинается в корне Active Directory.

Эта политика служит отправной точкой для поиска принтеров Active Directory. Это не ограничивает поиск пользователей через Active Directory.

Включить просмотр для интернет-принтеров: Добавляет путь к веб-странице Интернета или интрасети мастеру добавить принтер.

Эту политику можно использовать для того, чтобы направлять пользователей на веб-страницу, с которой они могут устанавливать принтеры.

Если включить эту политику и ввести адрес Интернета или интрасети в текстовом окне, Windows добавляет кнопку Просмотр страницы Найдите принтер в мастере добавить принтер. Кнопка Просмотр отображается рядом с Подключение принтером в Интернете или параметром Интрасети вашей компании. Когда пользователи нажимают кнопку Просмотр, Windows открывает браузер в Интернете и переходит на указанный адрес, чтобы отобразить доступные принтеры.

Эта политика упрощает поиск принтеров, которые необходимо добавить.

Ссылки

Дополнительные сведения об этих параметрах политики щелкните вкладку Explain для каждого параметра политики.

Как опубликовать принтеры в Active Directory

Всем привет, продолжаем настройку сервера печати Windows, и изучать его возможности и функционал. В предыдущей части мы с вами научились выполнять установку принтеров групповой политикой, метод отличный, но по мимо него есть еще один, это публикация в AD принтеров, что мы и рассмотрим сегодня. Очень часто в обучающих книгах, этот метод считается вторым по значимости, рассчитанный на компьютерную грамотность пользователей, но на практике почти не применим.

Настройка принтера через ad

И так давайте рассмотрим, что же такое публикация принтера. Откройте оснастку Acrive Directory Пользователи и компьютеры ил как ее еще называют ADUC. Сверху нажмите иконку поиска.

ad принтеры-1

У вас откроется форма поиска, где в пункте найти вы выбираете принтеры, а в обзоре выбираете домен или лес. Жмете Найти. Как видите, у меня нет ни одного принтера.

ad принтеры-2

Теперь идете на сервер печати и щелкаете по нужному принтеру правым кликом и из контекстного меню выбираете Перечислить в Active Directory, это и есть публикация, видимо трудности перевода.

Как опубликовать принтеры в Active Directory-1

На экране ничего не появится, но это и не важно, переходим снова в ADUC и делаем поиск по принтерам. Как видите ad принтеры уже видит и содержит в своей базе данных.

  • Есть название принтера
  • Модель
  • И имя сервера где он находится

ad принтеры-3

Если посмотреть возможные команды, то тут есть подключить, но мы то понимаем что рядовой пользователь сюда и не полезет, да и его и не пустят, но плюс публикации есть, его рассмотрим ниже.

Как опубликовать принтеры в Active Directory-2

Что происходит когда вы ставите перечислить принтеры в AD, тут все просто, в свойствах принтера на вкладке Доступ ставится галочка Внести в Active Directory.

Как опубликовать принтеры в Active Directory-3

Теперь предположим, вы не успели настроить групповую политику или вы сидите в другом доверительном домене и вам нужен некий принтер, то его можно поискать при добавлении устройства в панели управления.

Как опубликовать принтеры в Active Directory-4

Далее нажимаем Нужный принтер отсутствует в списке.

Как опубликовать принтеры в Active Directory-5

Далее выбираем Найти принтер в каталоге по его расположению и возможностям.

Как опубликовать принтеры в Active Directory-6

Откроется окно поиска и вы получите список принтеров.

Как опубликовать принтеры в Active Directory-7

Управление принтерами через GP

В ad принтеры централизованно настраиваются через групповые политики, и для опубликованных принтеров есть более 20 настроек.

Откройте Редактор управления групповыми политиками > Конфигурация компьютера\Политики\Административные шаблоны > Принтеры.

ad принтеры

Что советую отключить, это Обзор принтеров. Как вам известно, в доменах Active Directory, информация об установленных принтерах хранится в доменных службах, однако, по умолчанию, она не объявляется в списках просмотра службы каталога в том случае, если пользователь выполнил вход в домен. Если же доменные службы Active Directory не доступны, то в таком случае общие принтеры будут добавляться в список просмотра. В свою очередь, если включить данный параметр политики, то диспетчер очереди печати будет объявлять общие принтеры подсистеме печати. А клиенты, при каждом уведомлении о наличии принтеров должны использовать клиентские лицензии. Чтобы подсистема печати не добавляла общие принтеры в список просмотра, рекомендуется данный параметр политики отключить

ad принтеры-7

Мастер установки принтеров – страница сканирования сети (неуправляемая сеть)» и Мастер установки принтеров – страница сканирования сети (управляемая сеть). Первый предназначен для установки количества принтеров в неуправляемой сети, то есть в сети, где невозможно обнаружить контроллер домена, например, в аэропорту или в домашнем окружении, а второй, соответственно, для управляемой сети, где у компьютера есть доступ к контроллеру домена. При помощи этих параметров политики вы можете определить отображаемое количество принтеров для TCP/IP-принтеров, принтеров веб-служб, Bluetooth принтеров, а также количество общих принтеров, которые выводятся в списке найденных результатов. Параметр политики для управляемых принтеров отличается лишь тем, что в нем еще присутствует возможность настройки определения принтеров Active Directory. Значения по умолчанию для каждого типа принтеров в параметрах политики отличаются. По умолчанию, для неуправляемой сети должны отображаться по 50 TCP/IP-принтеров, общих принтеров, а также принтеров веб-служб, а Bluetooth принтеров должно отображаться максимум 10 штук. В свою очередь, в управляемой сети по умолчанию должны отображаться только 20 принтеров Active Directory и 10 Bluetooth принтеров. Для определения своих параметров следует в обоих параметрах политики установить переключатель на опцию Включить и указать свое количество принтеров для каждого типа. Например, для неуправляемой сети можно установить для трех типов значение 10, а для Bluetooth принтеров указать значение 0. Это означает, что мастер не будет отображаться принтеры данного типа. Для управляемой сети зададим значение 20 для каждого типа помимо общих принтеров. Для этого типа укажем значение 10. Диалоговое окно настроек мастера установки принтеров для управляемой сети отображено ниже:

ad принтеры-8

Следующие рассматриваемые в этой статье параметры политики предназначены для управления публикацией принтеров. Как вы знаете, каждому пользователю по умолчанию предоставлена возможность публикации принтера в Active Directory. Принтеры можно опубликовывать в Active Directory, установив флажок Внести в Active Directory на вкладке доступа диалогового окна свойств установленного общедоступного принтера. При желании пользователей можно лишить этой возможности, установив переключатель на опцию Отключено в диалоговом окне свойств параметра политики Разрешить публикацию принтеров. Так как в большинстве случаев нет необходимости в запрещении публикации принтеров, следует установить переключатель на опцию Включено. После того как принтер будет опубликован, операционная система должна проверять доступность своих опубликованных принтеров в доменных службах Active Directory. По умолчанию такая проверка выполняется однократно во время запуска самой операционной системы. Этим параметром также можно управлять при помощи функциональных возможностей групповой политики. Для этого следует открыть диалоговое окно свойств параметра политики Проверять состояние публикации, а затем установить переключатель на опцию Включено. После этого из раскрывающегося списка Периодичность проверки состояния публикации следует выбрать интервал проверки публикации. Например, оптимальным значением будет 4 часа, однако, если вы укажите значение Никогда, то это будет приравниваться тому, как если бы вы установили переключатель на опцию Отключено. Диалоговое окно свойств этого параметра политики с интервалами, указанными в соответствующем раскрывающемся списке отображено ниже:

ad принтеры-9

Еще один параметр политики, отвечающий за публикацию принтеров, который рассматривается в этой статье, называется Удалять принтеры, которые не были повторно опубликованы. Для чего необходим этот параметр политики? Бывают такие ситуации, когда во время проверки состояния публикации компьютер, принтер которого опубликован в Active Directory при помощи возможностей оснастки Active Directory – пользователи или компьютеры или специального скрипта Pubprn.vbs, не отвечает на запросы. Так вот, данный параметр политики определяет, можно ли уменьшить количество принтеров в доменных службах при помощи службы очистки, о которой будет рассказано ниже. Установив переключатель на опцию Включить вы можете выбрать одну из следующих опций:

  • Никогда. Данный параметр установлен по умолчанию, даже если не настраивать этот параметр политики и позволяет не удалять объекты принтеров, которые автоматически не публикуются повторно;
  • Только если найден сервер печати. В данном случае такие объекты удаляются лишь в тогда, когда принтер недоступен, но в сети можно обнаружить работающий сервер печати;
  • Когда принтер не найден. В этом случае, принтер будет удален, если компьютер не отвечает на запросы в тот момент, когда должна выполняться автоматическая публикация последнего.

Рекомендуемым значением данного параметра является значение Никогда.

Следующие четыре параметра политики отвечают за возможность очистки принтеров. Собственно, служба очистки предназначена для удаления из доменных служб Active Directory объектов принтеров. Первый, рассматриваемый в этой статье параметр очистки, называется Интервал очистки Active Directory. В принципе, предыдущий параметр, описанный в этой статье, напрямую зависит от значения, которое вы укажите в текущем параметре политики. При помощи данного параметра политики вы можете указать интервал, определяющий время, через которое служба очистки на контроллере домена будет опрашивать компьютеры на наличие работоспособности опубликованных принтеров. Соответственно, если компьютер не ответит на запрос, то объект принтера, опубликованного в доменных службах Active Directory, будет удален. Установите переключатель на опцию Включить и из раскрывающегося списка Интервал укажите требуемый промежуток времени между попытками обнаружения так называемых брошенных компьютеров. Рекомендуется, чтобы этот интервал был больше указанного в предыдущем параметре политики, например, как показано на следующей иллюстрации, 12 часов:

ad принтеры-10

Для того чтобы объект принтера случайно не был удален в тот момент, когда при каком-то обстоятельстве компьютер, опубликовавший принтер может быть случайно недоступен, следует определять количество повторов попыток обращения к опубликовавшему принтер компьютеру, после которого служба очистки удалит объект принтера из доменных служб Active Directory. По умолчанию служба очистки дважды повторно опрашивает компьютер, перед тем как удалить объект из доменных служб. Используя параметр политики Повторы при очистке Active Directory вы можете изменить количество повторов. Откройте диалоговое окно свойств этого параметра политики и из раскрывающегося списка Повторы выберите необходимое для вас количество повторов, например, три повтора и нажмите на кнопку ОК.

ad принтеры-11

Последний параметр политики, позволяющий настроить службу очистки, называется Приоритет потока при очистке Active Directory. Как вы догадались, используя свойства этого параметра политики, вы можете указать приоритет, влияющий на порядок получения процессорного времени, определяющий вероятность вытеснения другими процессами, которые могут быть более приоритетными. Сам поток очистки, соответственно, удаляет ненужные объекты принтеров из доменных служб Active Directory. В раскрывающемся списке Приоритет диалогового окна свойств данного параметра политики можно найти 5 значений: Самый низкий, Ниже среднего, Средний, Выше среднего, а также Самый высокий. По умолчанию установлено значение Средний, а так как поток очистки не является приоритетным процессом, выполняющимся на контроллере домена (а поток очистки выполняется лишь на контроллерах).

Как видите настроек очень много, остальные вы сможете прочитать в описании к политикам. Далее мы поговорим о безопасности принтеров и печати. Чтобы убрать принтер из публикации, просто на сервере печати щелкните по нему правым кликом и выберите

В Windows 2000 администрирование принтеров стало более простым и предоставляет больше возможностей, чем в Windows NT. Разработчики Microsoft добавили в эту ОС новые возможности, связанные с печатью, включая способность публиковать принтеры как объекты Active Directory (AD). При публикации принтеров как объектов AD доступ к ним получить легко, а управлять ими можно из любого места корпоративной сети. В данной статье я хочу рассказать о нескольких наиболее интересных особенностях Windows 2000, связанных с печатью, которые делают инсталляцию и конфигурирование принтеров, а также обслуживание процесса печати, задачей довольно простой.

Публикация принтеров в AD

Разработчики Microsoft объединили подсистему печати Windows 2000 с Active Directory. Как результат, пользователи могут получить из AD информацию о местоположении принтера, а администраторы имеют возможность управлять принтерами через AD. Для поиска необходимой информации, в качестве критериев поиска, можно использовать свойства принтера (например, модель принтера, цветная или черно-белая печать, формат бумаги, местоположение).

По умолчанию сервер печати Windows 2000, работающий под управлением Windows 2000 Server или Windows 2000 Professional, автоматически публикует свои принтеры, к которым организуется общий доступ, в AD, как объекты PrintQueue. Объект PrintQueue содержит копию информации сервера печати о принтере. Если изменить конфигурацию принтера на сервере печати, то данные изменения автоматически распространятся в AD.

Объект PrintQueue располагается в объекте «компьютер» сервера печати. Однако при открытии в Microsoft Management Console (MMC) оснастки Active Directory Users and Computers и выборе компьютера в панели дерева объект PrintQueue в панели деталей (details pane) не виден. По умолчанию, настойка вида default view для данной оснастки не отображает компьютер как контейнер, поэтому не показывает подчиненные объекты компьютера.

Для того чтобы увидеть подчиненные объекты, выберите Users, Groups, а затем Computers as containers из меню View данной оснастки. Потом можно выбрать любой компьютер для отображения его подчиненных объектов, включая объект PrintQueue, в панели результатов оснастки, как показано на Рисунке 1.

При публикации принтера сервер печати взаимодействует с контроллером домена для отправки информации о принтере в AD. Если имеется несколько контроллеров домена, то сервер печати выбирает контроллер домена случайным образом, а процесс репликации распространяет информацию по всей AD в сети предприятия.

Серверы печати, работающие на любой версии Windows 2000 Server, автоматически предоставляют принтеры в общий доступ и публикуют их в AD. (Исключение составляют принтеры, работающие через USB, для которых необходимо вручную организовывать общий доступ и публикацию.) Однако серверы печати, работающие под управлением Windows 2000 Pro, по умолчанию не предоставляют общий доступ к принтерам, потому его необходимо организовывать вручную. При этом, предоставление общего доступа к принтеру в Windows 2000 Pro автоматически настраивает данный принтер для публикации в AD. Для публикации этого принтера в AD на вкладке Sharing диалогового окна свойства принтера выставляют флажок List in the Directory .

Публикация общих принтеров в AD требует немного больше усилий, если серверы печати работают под управлением NT или Windows 9x. Можно установить Windows Script Host (WSH), который входит в Windows 2000 и Windows 98, и выполнить сценарий pubprn (pubprn.vbs). В Windows 2000 сценарий расположен в каталоге \%systemroot%\system32.

Для публикации всех общедоступных на сервере принтеров данный сценарий использует следующий синтаксис: cscript pubprn.vbs servername dspath . В данном синтаксисе dspath это путь до контейнера назначения (target container), то есть:

Где “LDAP:// элементы” представляет полностью определенное доменное имя (fully qualified domain name (FQDN)) целевого сервера печати.

Поиск и установка сетевых принтеров

Поиск и установка сетевых принтеров является задачей более простой, чем инсталляция локального принтера. Для поиска сетевого принтера в AD откройте меню Start, выберите команду Search, затем выберите For Printers для открытия диалогового окна Find Printers. Чтобы открыть это диалоговое окно, можно также воспользоваться помощником Add Printer, в папке Printers. Необходимо установить в текстовом поле In , находящемся в верхней части диалогового окна, значение Entire Directory и использовать закладки диалогового окна для настройки критериев поиска.

Закладка Printers содержит поля, в которых задаются имя принтера, местоположение или модель. Задание части имени работает по принципу начать с ( begins with ), то есть при задании HP в AD будут найдены принтеры HP LaserJet и HP DeskJet. Однако если задать Desk , то поиск закончится неудачей.

Закладка Features предлагает поля с общими свойствами, по которым можно выполнять поиск. Она пригодится, например, для поиска принтеров с возможностями цветной печати, заданным минимальным разрешением, определенной скоростью печати и возможностью сортировки листов.

Закладка Advanced позволяет задать настойки и детализировать выбранные критерии, чтобы точно настроить критерий поиска по свойствам принтера и найти именно тот принтер, который нужен. Задав критерий, нажмите Find Now. Система просмотрит свойства всех принтеров в AD, чтобы найти принтеры, соответствующие критериям поиска, как показано на Рисунке 2. (Если нужно просто посмотреть список доступных принтеров, то не задавайте никакого критерия – просто нажмите Find Now). Из списка найденных принтеров щелкните правой кнопкой на каком-нибудь принтере и выберите Connect для установки данного принтера и размещения значка принтера в папке Printers.

Установить можно любое количество принтеров. Принтеры, установленные на серверах печати Windows 2000 и NT 4.0, содержат драйверы для различных операционных систем, поэтому пользователям не нужно иметь CD-ROM с драйверами для определенной ОС, чтобы завершить установку принтера.

Групповые политики и принтеры

К принтерам применимы несколько групповых политик, и некоторые из этих политик оказывают влияние на результаты поиска принтеров в AD. Принтерные политики находятся в Computer Configuration/Administrative templates/Printers. На Рисунке 3 показаны принтерные политики, присутствующие по умолчанию. Также есть возможность настраивать пользовательские принтерные политики, но о них я расскажу в следующей статье.

Все принтерные политики имеют значение Not Configured. Это означает, что режимы работы принтеров по умолчанию определяются настройками Windows 2000. Можно включить или выключить какую-либо политику, а также установить соответствующие настройки конфигурации для этой политики.

Для публикации всех разделяемых принтеров Windows 2000 заранее устанавливает политику Automatically publish new printers in Active Directory . Если нет веских причин, данную политику выключать не следует.

Некоторые принтерные политики относятся к службе автоматического удаления принтеров (pruning service). (По умолчанию эта служба выключена). Сервис автоматического удаления принтеров удаляет принтер из AD, если сервер печати не отвечает на запрос данной службы, который работает на контроллере домена. Если сервер печати не работает, то ОС предполагает, что принтер недоступен и удаляет его из AD.

Служба автоматического удаления принтеров связывается с серверами печати каждые 8 часов и выполняет две попытки соединения, при третьей неудачной попытке принтер удаляется из AD. Данную службу можно включить и выключить, изменить интервал между попытками, изменить количество повторных попыток и настроить соответствующую политику для изменения уровня приоритета, с которым работает данная служба.

Когда сервер печати Windows 2000 остановлен и потом снова запускается, он автоматически проводит повторную публикацию (republishes) всех разделяемых принтеров. При запуске сервера печати, работающего не на Windows 2000, необходимо проводить такую операцию вручную. Для этого используются те же шаги, что и для первоначальной публикации принтеров (например, используя сценарий pubprn)

Отслеживание расположения принтера

Одной из новых особенностей Windows 2000 является отслеживание расположения принтера (Printer Location Tracking), которое работает с поразительной эффективностью в организациях с множеством узлов (sites). Printer Location Tracking позволяет избежать неудобств при определении местоположения принтера с нужными свойствами, когда после подсоединения со своего компьютера к принтеру обнаруживаешь, что придется воспользоваться лифтом, для того чтобы забрать свою распечатку.

Для использования Printer Location Tracking придется выполнить несколько предварительных рутинных настроек, таких как создание местоположения внутри узла и запуск Printer Location Tracking в AD, и изменить свойства принтеров так, чтобы связать каждый принтер с его расположением. Для создания местоположения создаются подсети (subnets), которые связываются с узлами. Создание и конфигурирование подсетей осуществляется с помощью оснастки Active Directory Sites and Services, которая находится в меню Administrative Tools. Щелкните правой кнопкой на контейнере Subnets, который находится внутри контейнера узла, и создайте новую подсеть.

После создания новой подсети откройте диалоговое окно ее свойств и выберите закладку Location. (Контейнер Subnets не имеет закладки Location, только подсети, созданные внутри данного контейнера имеют такую настройку). Задайте местоположение в виде /location/location , и используйте столько уровней местоположения, сколько необходимо. Например, если компания находится в Пенсильвании и имеет узлы в нескольких городах, то создается подсеть для каждого узла (например, /PA/Philadelphia, /PA/Pittsburgh). Если организация располагается на большой территории, можно создать подсеть для /US/PA/Philadelphia.

В групповых политиках (Group Policies) необходимо активизировать политику Pre-populate printer search location text , чтобы включить службу отслеживания местоположения принтера. Если не активизировать эту службу, Windows 2000 будет пытаться определить ближайший принтер, основываясь на IP-адресе и сетевой маске, что не всегда эффективно.

Последний шаг - это привязка принтера к местоположению. Открыв диалоговое окно Properties принтера, увидим новую кнопку Browse справа от текстового окна Location на закладке General. Нажмите Browse, чтобы открыть диалоговое окно Browse for Location , затем выберите местоположение, которое расположено в нижней части отображенной иерархической структуры. Данное действие поместит выбранное местоположение в текстовое окно Location принтера в формате /location/location/ . Дополнительную информацию о местоположении вводим после последнего слэша. Например, к местоположению /PA/Philadelphia/Floor3 можно добавить местоположение Room 309 (то есть, /PA/Philadelphia/Floor3/Room309).

После активизации службы отслеживание местоположения принтера AD автоматически заполняет (pre-populates) текстовое окно Find Printers Location данными о местоположении, соответствующем узлу и подсети. Нажатие кнопки Find Now покажет все ближайшие принтеры (см. Рисунок 4).

Мощный потенциал

Расширенные возможности печати Windows 2000 намного превосходят аналогичные возможности предыдущих версий Windows и делают администрирование принтеров очень простым. В следующих статьях я расскажу о возможностях управления, встроенных в Windows 2000 и покажу, как удобнее поддерживать и оптимизировать принтеры внутри предприятия со своего рабочего места.

date

02.04.2019

directory

Active Directory, Windows 10, Windows Server 2012 R2, Групповые политики

comments

комментариев 37

Рассмотрим возможности автоматического подключения принтеров пользователям домена Active Directory с помощью групповых политик (GPO). Довольно удобно, когда при первом входе в систему у пользователя сразу устанавливаются и появляются в принтерах доступные ему устройства.

Рассмотрим следующую конфигурацию: в организации имеется 3 отдела, каждый отдел должен печатать документы на собственном цветном сетевом принтере. Ваша задача, как администратора, настроить автоматическое подключение сетевых принтеров пользователям в зависимости от отдела.

Данная инструкция предполагает использованием Group Policy Preferences – расширения групповых политик, которые появились в Windows Server 2008. Соответственно уровень домена должен быть не менее Windows Server 2008, а клиенты не ниже Win XP SP3.

Подключение принтеров пользователям через GPO

Создайте три новые группы безопасности в AD (prn_HPColorSales, prn_HPColorIT, prn_HPColorManagers) и добавьте в нее пользователей отделов (наполнение групп пользователей можно автоматизировать по статье “Динамические группы в AD”). Вы можете создать группы в консоли ADUC, или с помощью командлета New-ADGroup:

New-ADGroup "prnHPColorSales" -path 'OU=Groups,OU=Moscow,DC=corp,dc=winitpro,DC=ru' -GroupScope Global –PassThru

Если у вас в домене используется небольшое количество сетевых принтеров (до 30-50), вы можете все их настраивать с помощью одной GPO. Если у вас сложная структура домена, есть сайты AD, используется делегирование прав администраторам филиалов, лучше создать несколько политик подключения принтеров, например по одной политике на сайт или OU. Если вы хотите подключать принтер по IP адресу (не через принт-сервера, а напрямую), выберите пункт TCP/IP Printer. Обратите внимание, что данное ограничение не запрещает любому пользователю домена подключить это принтер вручную в проводнике Windows. Чтобы ограничить доступ к принтеру, нужно изменить права доступа к нему на принт-сервере, ограничив возможность печати определенными группам.

При использовании такой групповой политики, новые принтера будут устанавливаться у пользователей, только если на их компьютере уже установлен соответствующий принтеру драйвер печати. Дело в том, что у обычных пользователей нет прав на установку драйверов.

Настройка политики подключения принтеров Point and Print Restrictions

Для корректного подключения принтеров у любого пользователя, вам придется настроить политику Point and Print Restrictions и настроить адреса принт-серверов серверов, с которых пользователей разрешено устанавливать принтеры.

Напомню, что с 2016 года Microsoft с целью безопасности по-умолчанию запретила установку неподписанных и неупакованных драйверов (non-package-aware v3 printer drivers). Смотри статью Проблема подключения сетевых принтеров.

Если вы подключаете принтеры через пользовательский раздел политики, перейдите в раздел GPO User Configuration -> Policy -> Administrative Templates -> Control Panel -> Printers -> Printer -> Point and Print Restriction. Включите политику (Enabled) и настройте ее следующим образом:

политика Point and Print Restriction

  • Users can only point and print to these servers –укажите список принт-серверов, с которых разрешено устанавливать драйвера (указываются FQDN имена, разделитель точка с запятой);
  • When installing driver for new connection -> Do not show warning or elevation prompt
  • When installing driver for existing connection -> Do not show warning or elevation prompt.

Аналогичным образом нужно включить политику Package Point and Print – Approved server в разделе User Configuration -> Policies -> Administrative Templates -> Printers и задать в ней список доверенных принт-серверов.

политика Package Point and Print – Approved server

Теперь после перезагрузки компьютера при входе пользователя у него будет автоматически подключаться назначенный ему сетевой принтер.

Раньше для подключения принтеров пользователей мне приходилось использовать VBS /PowerShell скрипты установки и подключения принтеров, которые запускались как Startup скрипты GPO и возможностей фильтрации групповых политик. Однако использовать GPP политики для настройки принтеров на мой взгляд намного проще. Предыдущая статья Следующая статья

page

page

page

Настройка политики паролей пользователей в Active Directory Когда истекает пароль пользователя в AD, оповещаем пользователей о необходимости сменить пароль Критическая уязвимость Active Directory Zerologon (CVE-2020-1472) Административные шаблоны для управления настройками MS Office с помощью GPO

Можно распространять принтеры на пользователей и таки образом. Все зависит от инфраструктуры.
Но, на мой взгляд метод с GPP более универсальный и гибкий. Кроме того, не нужно ставить роль принт-сервера, а также можно подключить сетевые принтеры (не опубликованные на принт-сервере) или принтеры с компьютеров других пользователей.

Админ, почини SMTP)))

webmaster@example.com
Blacklisted by the SPF Test (sender forged per policy of "example.com", SPF result: "fail").
37.252.2.22

Если указать ip адрес сетевого принтера, то данная схема не работает. Как быть, если нет принт-сервера, а у принтера только ip?

Сделать принтсервер или расшарить на любом другом компьютере.

См. ремарку. Если вы хотите подключать принтер по IP адресу (не через принт-сервера, а напрямую), выберите пункт TCP/IP Printer.

В поле Printer Path попробуйте указать путь UNC путь к принтеру (в виде \\pcname\hp2000 ), с которого нужно получить драйвер для принтера (это может быть любой другой компьютер с настроенным и расшаренным этим или другим принтером той же модели).

Всё хорошо, только последние два пункта надо настраивать не в User Configuration, а в Сomputer Configuration. Второй скриншот снизу именно из того раздела.

Не корректно выразился. Имел ввиду, что для подключения принтеров через GPO нужно настраивать политику как в разделе User Configuration, так и в разделе Сomputer Configuration. Вот.

Насколько я помню там указывается UNC путь к принтеру, с которого нужно получить драйвера. Т.е. нужно руками подключить и расшиарить этот принтер на одном компьютере.

Добрый день!
Спасибо за статью. Возникло 3 вопроса.
1. Зачем настраивать политики подключения принтеров Point and Print Restrictions. Это же нужно для более старых версий Windows?
2. При перемещении пользователя в другое подразделение принтер не удаляется. А новый появляется.
3. С недавних пор возникла проблема долгой установки принтера на клиентском компьютере. Раньше это происходило после команды gpupdate /force.

Решилось сменой Действия с Замена на Обновить для проблемного принтера. Да, первый логон после создания политики будет немного дольше, но последующие будут залетать махом.

Вариант Replace в GPP используется крайне редко, когда вам нужно что-то сначала гарантированно удалить, а потом установить. Поэтому по умолчанию стоит режиме Update.

А что делать, если принтер все же не подключается? Все настроено в соответствии с вашей статьей, но в логах сыпется ошибка

Элемент предпочтения пользователь "printer_name" в объекте групповой политики "Подключение принтеров " не применен по причине ошибки с кодом '0x80070bcb Указанный драйвер принтера не найден в системе. Необходимо скачать драйвер.' Эта ошибка была отключена.

При этом вручную принтер подключается, правда выдается запрос о доверии к этому принтеру и этому серверу печати. После ручного добавления принтера политика будет работать нормально, пока не удалишь драйвер принтера с клиента

KB5005652 — управление поведением драйвера по умолчанию (CVE-2021–34481)
Сводка

Windows обновлений, выпущенных 10 августа 2021 г. и более поздних версий, для установки драйверов по умолчанию требуются права администратора. Мы внося это изменение в поведение по умолчанию, чтобы снизить риск на всех Windows, включая устройства, которые не используют функции Point и Print или Print. Дополнительные сведения см. в пунктах Изменение поведения по умолчанию и CVE-2021–34481.

По умолчанию пользователи без прав администратора больше не могут делать следующее с помощью точки и печати:

Установка новых принтеров с помощью драйверов на удаленном компьютере или сервере

Мы не распространяем принтеры политиками, но в политики настроены так чтобы пользователь без прав админа мог подключить принтер с любого сервера. Может вам поможет:

Computer Configuration / Administrative Templates
Printers / Point and Print Restrictions = Disabled
System / Device Installation / Allow remote access to the Plug and Play interface = Enabled
System / Driver Installation / Allow non-administrators to install drivers for these device setup classes = Enabled
Allow Users to install device drivers for these classes:


User Configuration / Administrative Templates / Control Panel / Printers
Browse the network to find printers = Enabled
Point and Print Restrictions = Disabled
Prevent addition of printers = Disabled
Prevent deletion of printers = Disabled

Все тоже самое. И драйвера новые ,но все равно 0x80070bcb. HP, Brother нормально прокинулись, а Ricoh просят обновить драйвер. И хоть ты тресни.
И кстати:
When installing driver for new connection -> Do not show warning or elevation prompt
When installing driver for existing connection -> Do not show warning or elevation prompt.
Вот этих пунктов нет в User configurations.
Включал выключал этот

Добрый день!
А в для этого примера, при создании GPO AutoConnect, в фильтре безопасности тогда что должно быть для этой политики прописано, если группы задаются в Нацеливании?
Спасибо!

Не проще ли цеплять принтер к ПК, а не терминале печать будет работать через EasyPrint на локальном принтере.

Добрый день, подскажите а если у меня нет принтсервера то как указать unc путь и можно как-то указать ему путь на файловый сервер где драйвера лежат или все таки принт сервер надо разворачивать

Настроил по мануалу, все заработало, принтер установился автоматически.
На Вашем сайте очень качественные инструкции, уже не первый раз выручают!
Спасибо большое за Ваш труд!

ставил однажды так принтеры. столкнулся с одной очень неприятной штукой, после отключения пользователя от политики, ему продолжает устанавливается принтер. Где-то это в профиле прописывается или еще где-то? пользователю уже не нужен этот принтер, а он продолжает ставится.

Читайте также: