Instaliranje pisača za korisnike AD domena pomoću grupnih pravila

Razmislite o mogućnosti automatskog povezivanja pisača s korisnicima u domeni Active Directory korištenjem grupnih politika (GPO). Prilično je prikladno kad se prilikom prve prijave korisnik odmah instalira i pojavi u uređajima koji su mu dostupni.

Razmotrite sljedeću konfiguraciju: organizacija ima 3 odjela, a svaki odjel mora ispisati dokumente na svom mrežnom pisaču u boji. Vaš zadatak kao administratora je konfigurirati automatsko povezivanje mrežnih pisača s korisnicima, ovisno o odjelu.

sadržaj:

  • Povežite pisače s korisnicima putem GPO-a
  • Konfiguriranje pravila o ograničenju točaka i ispisa

Ova uputa podrazumijeva upotrebu postavki grupe pravila - proširenje grupnih pravila koja su se pojavila u sustavu Windows Server 2008. Prema tome, razina domene mora biti barem Windows Server 2008, a klijenti moraju imati najmanje Win XP SP3.

Povežite pisače s korisnicima putem GPO-a

Stvorite tri nove sigurnosne grupe u AD-u (prn_HPColorSales, prn_HPColorIT, prn_HPColorManagers) i dodajte mu korisnike odjela (popunjavanje korisničkih grupa može se automatski automatizirati pod člankom „Dinamičke grupe u AD“). Možete stvoriti grupe u ADUC konzoli ili pomoću cmdleta New-ADGroup:

Nova-ADGroup "prnHPColorSales" -path "OU = Grupe, OU = Moskva, DC = corp, dc = winitpro, DC = ru" -GroupScope Global -PassThru

  1. Pokrenite konzolu za uređivanje pravila domene (GPMC.msc), kreirajte novo pravilo prnt_AutoConnect i povezati ga s OU-om s korisnicima; Ako vaša domena koristi mali broj mrežnih pisača (do 30-50), možete ih sve konfigurirati s jednim GPO-om. Ako imate složenu strukturu domena, postoje AD web mjesta, koristi se delegiranje prava administratorom podružnice, bolje je stvoriti nekoliko pravila za povezivanje pisača, na primjer, jedno pravilo za web mjesto ili OU.
  2. Idite u način uređivanja pravila i proširite odjeljak Konfiguracija korisnika -> Postavke -> Postavke upravljačke ploče -> Pisači. Izradite novu stavku pravila s nazivom Zajednički pisač; Ako želite spojiti pisač IP adresom (ne putem poslužitelja ispisa, već izravno), odaberite TCP / IP pisač.
  3. posljedica - ažuriranje. U polju Zajednički put Na primjer, navedite UNC adresu pisača, \\ msk-prnt \ hpcolorsales (u mom su primjeru svi pisači povezani na poslužitelj ispisa \\ msk-prnt). Ovdje možete odrediti želite li ovaj pisač koristiti kao zadani pisač;
  4. Idite na karticu zajednička i odredite da pisač treba biti povezan u kontekstu korisnika (opcija Pokrenite se u sigurnosnom kontekstu korisnika na kojem je prijavljen). Također odaberite opciju Ciljanje na razini predmeta i kliknite na gumb Ciljanje;
  5. Koristeći GPP ciljanje, morate naznačiti da je ovo pravilo povezivanja pisača primijenjeno samo na članove grupe prn_HPColorSales. Da biste to učinili, kliknite Nova stavka -> Sigurnosna grupa -> navedite prn_HPColorSales kao naziv grupe; Imajte na umu da ovo ograničenje ne zabranjuje nijednom korisniku domene ručno povezivanje ovog pisača u programu Windows Explorer. Da biste ograničili pristup pisaču, morate promijeniti prava pristupa na ispisnom poslužitelju, ograničavajući mogućnost ispisa na određene skupine.
  6. Slično tome, izradite pravila za povezivanje pisača za druge grupe korisnika..
Još uvijek postoji stari odjeljak pravila za konfiguriranje pisača - Konfiguracija računala -> Pravila -> Postavke sustava Windows -> Instalirani pisači, no ova metoda instaliranja pisača za korisnike nije tako fleksibilna kao vaša metoda pomoću GPP-a..

Kada se koristi ovo grupno pravilo, nove pisače korisnici će instalirati samo ako je upravljački program za ispis koji odgovara pisaču već instaliran na njihovom računalu. Činjenica je da obični korisnici nemaju prava na instaliranje upravljačkih programa.

Konfiguriranje pravila o ograničenju točaka i ispisa

Da bi bilo koji korisnik ispravno spojio pisače, morat ćete konfigurirati Pravila ograničenja točaka i ispisa i konfigurirati adrese poslužitelja ispisa na poslužiteljima s kojih korisnici mogu instalirati pisače..

Podsjetim, Microsoft je od 2016. zbog sigurnosnih razloga zabranio instalaciju nepotpisanih i nepakiranih upravljačkih programa (koji nisu svjesni paketa v3 upravljački programi pisača). Pogledajte članak Problem s povezivanjem mrežnih pisača..

Ako pisače povežete kroz odjeljak s korisničkim pravilima, idite na odjeljak GPO Konfiguracija korisnika -> Pravila -> Administrativni predlošci -> Upravljačka ploča -> Pisači -> Pisač -> Ograničenje točke i ispisa. Omogućite pravilo (Omogućeno) i konfigurirajte ga na sljedeći način:

  • Korisnici mogu samo usmjeravati i ispisati na ove poslužitelje -odredite popis poslužitelja ispisa s kojih je dopušteno instalirati upravljačke programe (naznačeni su nazivi FQDN, razdjelnik s zarezima);
  • Kada instalirate upravljački program za novu vezu -> Ne prikazujte upozorenje ili brzinu podizanja
  • Kada instalirate upravljački program za postojeću vezu -> Ne prikazujte upozorenje ili brzinu podizanja.

Slično tome, morate omogućiti pravilo Paketna točka i ispis - poslužitelj s odobrenjem u odjeljku Konfiguracija korisnika -> Pravila -> Administrativni predlošci -> Pisači i na njemu postaviti popis pouzdanih poslužitelja ispisa.

Sada, nakon ponovnog pokretanja računala, kad se korisnik prijavi, dodijeljeni mrežni pisač automatski će se povezati s njim.

Prije toga za povezivanje korisničkih pisača morao sam koristiti VBS / PowerShell skripte za instalaciju i povezivanje pisača, koji su se izvodili kao Startup GPO skripte i mogućnosti filtriranja Group Policy. Međutim, korištenje GPP pravila za konfiguriranje pisača je, po mom mišljenju, mnogo lakše.
Kategorija