3

Удаленная установка принтеров через GPO

Posted by admin on 27.02.2014 in Советы |

Удаленная установка сетевых принтеров, подключенных по IP-адресу или по имени DNS.

(Для домена 2008 R2 и выше, где в политиках уже есть разделы Preferences)

Поднадоело уже на каждом ПК устанавливать принтер, даже если он сетевой и подключен не через ПК, а прямо к свичу, все равно время от времени приходится их переустанавливать в связи с установкой новых ПК или переездом ПК из офиса в офис, или при переносе принтера в другое помещение. Много рутинной работы по установке принтеров немного раздражает. Однако, хоть микрософт и остается самой худшей системой в мире, но все же и у него с большим отставанием от других появляются плюшки по автоматизации администрирования сетей. Итак, что нужно сделать, чтобы принтер на компьютере устанавливался простым добавлением этого самого ПК в определенную группу безопасности в AD.

В АД создаем группу безопасности prn_имя-принтера

В эту группу добавляем имена ПК (имена пользователей) для которых должен быть установлен принтер.

Один из серверов нужно выбрать в качестве принтсервера (WSUS). Не нужно считать его жертвой, т.к. в данном случае он НЕ будет выполнять роль принтсервера на самом деле, с него только будут браться драйверы для установки и только во время установки принтера на клиенте. Однако, расположение клиентов и сервера нужно учитывать, они должны быть в одном сайте, иначе установка может затянуться очень на долго. На этом принтсервере нужно установить (если еще не установлено) “Службы печати и документов”.

Устанавливаем наш принтер на этот принтсервер, выставляя его в общий доступ и обязательно добавляя его в АД.  При установке выбираем порт Локальный — TCP/IP — IP-адрес.
Если нужно поддержать клиентов как 32 битных, так и 64-битных, то на сервере нужно будет установить дополнительно недостающие драйверы для этого принтера. При этом, если для 64 есть только PCL6, а для 32 — только PCL5, то придется выставлять разные принтеры, отдельно PCL6 и PCL5. Потому что невозможно добавить драйверы PCL5 x32 к принтеру PCL6 x64. Но PCL6 x32 можно добавить к PCL6 x64.

В групповых политиках домена создаем новый объект GPO, скажем, prn_auto_имя-принтера. Помещаем ссылку на этот объект в нужный контейнер и задаем в Security Filtering группу с нашими компьютерами (пользователями), для которых нужно установить принтер. ЛИБО вместо этого можно фильтрацию по группе сделать в окне Targeting Editor свойств принтера (об этом далее). Здесь проще, в Targeting Editor — гибче.

Открываем новый объект GPO и его раздел Preferences для компьютера (пользователя), в зависимости от того, кого мы добавляли в группу prn_имя-принтера. Можно и там и там сделать. Далее Control Panel Settings — Printers. Создаем здесь новый TCP/IP принтер. Action = “Replace”. Задаем IP-адрес принтера (IP Address), имя (Local Name), как оно будет выглядеть в списке принтеров у клиента. Поле Printer path заполняется выбором из списка. На вкладке Common нижняя птица открывает кнопку Targeting, с помощью которой можно довольно гибко отфильтровать объекты, для которых будет установлен принтер. Например, ограничить сайт, версию ОС и прочее.

После перезагрузки ПК принтер появится у всех клиентов в группе prn_имя-принтера. Вместо перезагрузки можно попробовать выполнить в командной строке gpupdate /force, но это не всегда срабатывает.

Предварительно на принт-сервере можно настроить параметры на закладке Дополнительно кнопка Умолчания. Остальные параметры (включая Безопасность) настраивать бесполезно, их придется задавать на каждом клиенте отдельно.

Примечания:

1. При создании нового принтера в редакторе GPO можно выбрать из выпадающего списка разные действия (Action): Create, Replace, Update. Для первого добавления (подключения) принтера на клиенте разницы между этими вариантами нет, но если придется изменять адрес принтера, например, при переносе его в другую сеть/подсеть, то лучше сразу поставить значение Action = “Replace”.
В режиме Update, если изменить только IP адрес, то на клиенте создается новый порт, но он остается неисползуемым. Ранее установленный этим ГПО принтер остается на прежнем порте. И принтер печатать не будет.
В режиме Replace создается новый принтер с новым адресом. Старый принтер удаляется.

2. Вместо IP-адреса можно использовать имя принтера. Казалось бы, что это должно помочь обойти проблему со сменой IP-адреса принтера при переносе в другой сайт. Но фактически, при создании на клиенте нового порта имя, которое будет задано в GPO, разрешается в IP-адрес, и порт создается именно по этому текущему IP-адресу, а не по имени.
Поэтому, при создании нового принтера в GPO можно оставить действие по умолчанию (Action = “Update”) и подключать через имя принтера. Но при переносе обязательно изменить на Action = “Replace”. Тогда даже при ссылке на принтер по имени, его IP-адрес будет всякий раз разрешаться заново, и порт будет оставаться актуальным.

3. Описанный здесь метод удаленной установки принтеров через GPO почему-то работает не со всеми принтерами (драйверами принтеров). В частности, в нашей сети:
НЕ работает: Ricoh 201
НЕ работает: Xerox 5020
Работает : Xerox 5325
Работает : Kyocera 3040

Метки:

3 Comments

  • Антон:

    Добрый день. Частенько забегаю к вам за ключами kms (все лень записать). Решил почитать что у вас есть еще интересного. Вот решил немного дополнить.

    1. Для подключения на клиентах ниже Win7 нужен файл pushprinterconnection.exe (с сайта Microsoft). Его надо указать в скриптах на вход пользователя в GPO
    2. Я у себя подключал немного наоборот. (~100 принтеров Xerox, samsung, Kyocera) После создания в принтсервере принтера щелкал по нему ПКМ и выбирал «Развернуть в групповую политику». Далее выбирается Политика и развертывается на пользователя. (это кстати единственный способ если у вас уровень леса ниже 2008)
    Кстати у меня они подключались по имени порта (не по IP). Все работало В редких случаях при смене IP не обновлялась запись в DNS и соответственно порт отваливался. Такой забывчивостью у нас страдали в основном Kyocera.

  • Sasha Odarchuk:

    А что делать если на некоторых ПК есть локальные принтеры и они все время норовят сделать себя «принтер по умолчанию» ?
    Галочка «сделать принтером по умолчанию» стоит но НЕ помагает 🙁

  • Андрей:

    День добрый! Нарисовалась проблема. Если у принтеров на принт-сервере выставить ограничения доступа для пользователей во вкладке безопасность, убрав «прошедшие проверку», а потом распространить эти принтеры на этих же пользователей, то политика не отрабатывает, а если установить вручную (расшарены через самбу), то всё нормально. Может кто сталкивался?

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Copyright © 2011-2017 Сисадминские будни All rights reserved.
Любое воспроизведение материалов сайта возможно только с активной ссылкой на admsoft.ru.