О разном
В общем у меня на работе домен под управление Windows Server 2003. К нему подключены компьютеры под управление ОС Windows XP и Windows 7. Так вот при установке расшаренного принтера в домене на ОС Windows XP под ограниченными пользователя всё ставится нормально, а под ОС Windows 7 запрашивает права администратора.
В групповой политике надо параметр « Ограничения указания и печати » перевести в положение « Отключено ».
Computer ConfigurationPoliciesAdministrative TemplatesPrinters
Point and Print Restrictions
Конфигурация компьютераПолитикиАдминистративные шаблоныПринтеры
Ограничения указания и печати
Подключение принтеров пользователям через GPO
Создайте три новые группы безопасности в AD (prn_HPColorSales, prn_HPColorIT, prn_HPColorManagers) и добавьте в нее пользователей отделов (наполнение групп пользователей можно автоматизировать по статье “Динамические группы в AD”). Вы можете создать группы в консоли ADUC, или с помощью командлета New-ADGroup:
New-ADGroup «prnHPColorSales» -path ‘OU=Groups,OU=Moscow,DC=corp,dc=winitpro,DC=ru’ -GroupScope Global –PassThru
Если у вас в домене используется небольшое количество сетевых принтеров (до 30-50), вы можете все их настраивать с помощью одной GPO. Если у вас сложная структура домена, есть сайты AD, используется делегирование прав администраторам филиалов, лучше создать несколько политик подключения принтеров, например по одной политике на сайт или OU.
Если вы хотите подключать принтер по IP адресу (не через принт-сервера, а напрямую), выберите пункт TCP/IP Printer.
Обратите внимание, что данное ограничение не запрещает любому пользователю домена подключить это принтер вручную в проводнике Windows. Чтобы ограничить доступ к принтеру, нужно изменить права доступа к нему на принт-сервере, ограничив возможность печати определенными группам.
Есть еще старый раздел политик для настройки принтеров — Computer Configuration -> Policies -> Windows Settings -> Deployed Printers, однако этот метод установки принтеров пользователям не такой гибкий, как рассмотренный ваше способ с помощью GPP.
При использовании такой групповой политики, новые принтера будут устанавливаться у пользователей, только если на их компьютере уже установлен соответствующий принтеру драйвер печати. Дело в том, что у обычных пользователей нет прав на установку драйверов.
Конфигурация компьютера административные шаблоны принтеры ограничения указания и печати
По умолчанию рядовым пользователям домена запрещено устанавливать принтера (если быть более точными, драйвера принтеров) на доменных компьютерах, а для их установки необходимо наличие у пользователя определённых прав. Это правильно с точки зрения безопасности, ведь установка некорректного или вредоносного (поддельного) драйвера устройства может скомпрометировать или ухудшить работу системы, но крайне неудобно с точки зрения ИТ – отдела. Ведь, если пользователям запрещено устанавливать драйвера принтеров на своих компьютерах, эта забота возлагается на администраторов и ИТ-отдел.
В том случае, если ИТ-администраторы предприятия все-таки решили разрешить пользователям самостоятельно устанавливать драйвера принтеров на своих компьютерах, не предоставляя им прав локальных администраторов, в этой задаче помочь им могут групповые политики Active Directory.
Итак, предполагается, что имеется разнородная сеть и нам необходимо разрешить пользователям самостоятельно подключать сетевые и локальные принтера, и устанавливать их драйвера как на ПК с Windows 7, так и с Windows XP.
Итак, создайте (или отредактируйте существующую политику) и привяжите ее к OU (контейнеру Active Directory), в котором содержатся компьютеры, на которых политикой необходимо разрешить пользователям установку драйверов принтеров (на отдельно стоящем компьютере эту же политику можно реализовать с помощью локальной политики).
Откройте ветку групповых политик Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Local Policies -> Security Options, в которой найдите параметр Devices: Prevent users from installing printer drivers (Устройства: Запретить пользователям установку драйверов принтера). Активируйте политику и отключите ее применение (значение Disabled).
Как разрешить пользователям домена устанавливать принтеры-01
Данная политика подразумевает, что при подключении сетевого принтера, система позволяет пользователю, не обладающего правами администратора, установить драйвера сетевых принтеров.
Следующий момент – нужно разрешить пользователю устанавливать локальные принтера (и их драйвера). В этом случае нас интересует политика Allow non-administrators to install drivers for these device setup classes в разделе: Computer Configuration -> Policies -> Administrative Templates -> System -> Driver Installation.
Включите данную политику, затем зададим типы устройств, которые разрешено пользователям устанавливать самостоятельно (подробнее о принципах установки драйверов в Windows 7 без прав локального администратора). Нажмите кнопку Show, и в появившемся окне добавьте две строки (идентификаторы классов, соответствующие устройствам типа принтер):
Полный список кодов GUID классов устройств в ОС Windows доступен тут:
Сохраните изменения в политике.
Как разрешить пользователям домена устанавливать принтеры-02
Следующий момент касается особенностей работы UAC при установке сетевого принтера в Windows Vista и Windows 7. В том случае, если UAC включен, появляется сообщение, в котором требуется указать учетные данные администратора, если же UAC отключен при попытке установить принтер пользователем– система надолго задумывается, и в конце концов выдает сообщение об ошибке: “Windows не удалось подключиться к принтеру. Отказано в доступе”.
Чтобы решить данную проблему необходимо перевести в состояние Disabled политику Point and Print Restrictions . Данная политика находится как в системном, так и пользовательском разделе групповых политик и для поддержки совместимости с предыдущими версиями операционной системы Windows, рекомендуется задавать оба этих параметра. Необходимо отключить обе политики. Находятся он в разделах: Computer Configuration -> Policies -> Administrative Templates -> Printers и User Configuration -> Policies ->Administrative Templates ->Control Panel ->Printers.
Как разрешить пользователям домена устанавливать принтеры-03
Осталось сохранить изменения и протестировать политики на клиентах (потребуется перезагрузка). После перезагрузки и применения групповых политик пользователю будет разрешено самостоятельно устанавливать локальные и подключать сетевые принтера.
Для повышения стабильности и безопасности системы рекомендуется также включить изоляцию драйверов принтеров в Windows 7.
Конфигурация компьютера административные шаблоны принтеры ограничения указания и печати
Использование редактора групповой политики.
Независимо от способа запуска и открытого объекта групповой политики окно редактора групповой политики всегда выглядит одинаково:
Дерево консоли управления содержит два стандартных контейнера:
- Конфигурация компьютера — содержит параметры, настраиваемые для всех пользователей компьютера;
- Конфигурация пользователя — содержит параметры, настраиваемые для конкретного пользователя компьютера.
Каждый из этих контейнеров содержит следующие вложенные контейнеры:
- Конфигурация программ — параметры автоматической установки и назначения приложений пользователям компьютера;
- Конфигурация Windows — различные параметры операционной системы, в том числе политики безопасности, сценарии, перенаправление папок;
- Административные шаблоны — параметры настройки операционной системы и различных программных продуктов Microsoft (в основном Internet Explorer).
В свою очередь каждый из этих контейнеров может содержать любое количество вложенных контейнеров. Структура этих контейнеров определяется самой операционной системой и дополнительными программными продуктами, устанавливающими свои расширения для редактора групповых политик.
Вы не можете изменять структуру контейнеров объекта групповой политики, добавлять свои контейнеры, удалять или переименовывать уже существующие контейнеры. Также вы не можете добавлять, удалять или переименовывать параметры групповой политики, хранящиеся в этих контейнерах.
Для изменения значения любого параметра групповой политики вы должны найти необходимый контейнер в дереве консоли управления, выбрать нужный параметр в списке справа и дважды щелкнуть по нему левой кнопкой мыши. В появившемся окне вы можете настроить значение параметра.
Окно значения параметра обычно содержит флажок Определить следующий параметр политики в шаблоне или аналогичный, позволяющий отключить соответствующий параметр политики. Это хорошо видно на примере параметра Мин. длина пароля (Minimum password age).
Тем не менее, встречаются параметры, которые не имеют такого флажка. Для отключения такого параметра обычно необходимо задать пустое значение параметра или пустой список. Это хорошо видно на примере параметра Автозагрузка.
При настройке значений параметров групповой политики следует придерживаться следующих правил:
- не изменяйте значения параметров, область или принцип действия которых вам не известны;
- документируйте изменения, вносимые в объекты групповой политики — это позволит вам быстро определить, параметры какой политики приводят к некорректной работе Windows Server 2003.
Поинтересуйтесь значениями параметров, используемыми операционной системой для ненастроенных параметров политики, — не определяйте в групповой политике такие же значения параметров, как и используемые операционной системой по умолчанию. Это уменьшит размер объекта групповой политики и ускорит загрузку клиентских компьютеров.
Часто используемые контейнеры групповой политики.
Ниже представлен список и краткое описание наиболее часто используемых контейнеров групповой политики.
Контейнер
Описание
Конфигурация компьютераКонфигурация WindowsСценарии (запуск/завершение)
Содержит параметры Автозагрузка и Завершение работы , предназначенные для указания файлов сценариев, которые выполняются при загрузке и выключении компьютера
Конфигурация компьютераКонфигурация WindowsПараметры безопасностиПолитики учетных записейПолитика паролей
Содержит параметры, задающие ограничения и правила использования паролей, такие как минимальная длина пароля и срок действия пароля
Конфигурация компьютераКонфигурация WindowsПараметры безопасностиПолитики учетных записейПолитика блокировки учетной записи
Содержит параметры, определяющие правила автоматической блокировки учетных записей при вводе неправильных паролей
Конфигурация компьютераКонфигурация WindowsПараметры безопасностиЛокальные политикиПолитика аудита
Содержит параметры, определяющие какие категории событий системы безопасности должны регистрироваться в журнале безопасности
Конфигурация компьютераКонфигурация WindowsПараметры безопасностиЛокальные политикиНазначение прав пользователя
Содержит параметры, определяющие привилегии пользователей, например, возможность пользователя регистрироваться на компьютере или останавливать системные службы
Конфигурация компьютераКонфигурация WindowsПараметры безопасностиЛокальные политикиПараметры безопасности
Содержит параметры, определяющие поведение системы безопасности, как при локальной работе пользователя, так и при взаимодействии компьютеров в сети
Конфигурация компьютераКонфигурация WindowsПараметры безопасностиЖурнал событийНастройка протоколирования
Содержит параметры, определяющие правила ведения и размеры системных журналов Windows Server 2003
Конфигурация компьютераАдминистративные шаблоныСистема
Содержит параметры, определяющие поведение операционной системы при загрузке компьютера и регистрации пользователя
Конфигурация компьютераАдминистративные шаблоныСистемаВход в систему
Содержит параметры, определяющие поведение ОС при регистрации пользователя, например, правила обработки сценариев входа
Конфигурация компьютераАдминистративные шаблоныСетьАвтономные файлы
Содержит параметры, определяющие возможность и правила работы пользователей с автономными файлами
Конфигурация компьютераАдминистративные шаблоныПринтеры
Содержит параметры, определяющие взаимодействие ОС с пользователем при работе с принтерами
Конфигурация пользователяКонфигурация WindowsПоддержка Internet ExplorerПользовательский интерфейс обозревателя
Содержит параметры, настраивающие пользовательский интерфейс Internet Explorer
Конфигурация пользователяКонфигурация WindowsПоддержка Internet ExplorerСоединение
Содержит параметры, определяющие настройки подключения для Internet Explorer
Конфигурация пользователяКонфигурация WindowsПоддержка Internet ExplorerАдреса URL
Содержит параметры, определяющие различные адреса Интернета, используемые Internet Explorer
Конфигурация пользователяКонфигурация WindowsПоддержка Internet ExplorerБезопасность
Содержит параметры, определяющие зоны и настройки безопасности, используемые Internet Explorer
Конфигурация пользователяКонфигурация WindowsПоддержка Internet ExplorerПрограммы
Содержит параметры, определяющие программы, которые используются для просмотра и редактирования HTML, для работы с электронной почтой, календарем, контактами и т.п.
Конфигурация пользователяКонфигурация WindowsСценарии (вход/выход из системы)
Содержит параметры Вход в систему и Выход из системы , предназначенные для указания файлов сценариев, которые выполняются при регистрации и завершении сеанса пользователя на компьютере
Конфигурация пользователяКонфигурация WindowsПеренаправление папки
Содержит параметры, определяющее местоположение основных папок профиля пользователя, в которых могут храниться файлы пользователя
Конфигурация пользователяАдминистративные шаблоныКомпоненты WindowsInternet Explorer
Содержит параметры, определяющие настройки Internet Explorer, в основном блокирующие те или иные действия пользователя
Конфигурация пользователяАдминистративные шаблоныКомпоненты WindowsПроводник
Содержит параметры, определяющие, а в основном, блокирующие те или иные действия пользователя
Конфигурация пользователяАдминистративные шаблоныКомпоненты WindowsКонсоль управления Microsoft
Содержит параметры, ограничивающие возможности пользователя при работе с консолью управления и системными оснастками Windows Server 2003
Конфигурация пользователяАдминистративные шаблоныПанель задач и меню «Пуск»
Содержит параметры, определяющие внешний вид панели задач и меню Пуск , а также ограничивающие возможности пользователей по изменению их настроек
Конфигурация пользователяАдминистративные шаблоныРабочий стол
Содержит параметры, определяющие внешний вид рабочего стола и ограничивающие возможности пользователей по изменению его настроек
Конфигурация пользователяАдминистративные шаблоныРабочий столActive Desktop
Содержит параметры, определяющие элементы, размещаемые на рабочем столе, например, фоновый рисунок
Конфигурация пользователяАдминистративные шаблоныПанель управления
Содержит параметры, определяющие настройки и ограничения для основных компонентов Панели управления
Конфигурация пользователяАдминистративные шаблоныСетьАвтономные файлы
Содержит параметры, определяющие возможность и правила работы пользователей с автономными файлами
Конфигурация пользователяАдминистративные шаблоныСистема
Содержит параметры, в основном ограничивающие возможности пользователя по изменению параметров операционной системы и ее компонентов
Конфигурация пользователяАдминистративные шаблоныСистемаВход/выход из системы
Содержит параметры, определяющие поведение операционной системы при загрузке компьютера и регистрации пользователя, а также ограничивающие возможности пользователя при выполнении некоторых операций
Описание остальных контейнеров и параметров групповой политике вы найдете в справочной системе Windows Server 2003 либо в руководствах пользователя к соответствующим компонентам Windows.
Исправление неполадки с сетевым принтером
Июльское обновление KB3170455 является универсальным (выпущенным для всех версий ОС Windows, кроме XP) и направленным на устранение уязвимостей в подсистеме печати Windows. Однако оно вызывает такие ошибки с подключением сетевого принтера:
По сути можно было бы просто его удалить (актуально для Windows 7), но с Windows 10 дела обстоят иначе. Это обновление вшито в кумулятивное дополнение и его не просто откатить, а полное удаление вовсе не решает проблему.
Чтобы исправить такие ошибки с сетевым принтером, стоит выполнить следующие действия:
- Нужно заменить драйвера на принт-серверах на упакованные. Для этого изначально нужно проверить статус актуального ПО. Для этого загружаем консоль управления печатью Print Management и переходим к ветке «Drivers», «Printers» и смотрим, чтобы напротив драйвера для принтера стояло обозначение «True» (это колонка Packaged).
- Теперь нужно включить политику «Ограничения указания печати». Для этого жмём «Win+R» и вводим «gpedit.msc».
- Откроется редактор локальных групповых политик. Выбираем «Конфигурация компьютера», «Административные шаблоны», «Принтеры». Здесь ищем нужную политику.
- Двойным щелчком открываем элемент и ставим отметку «Включено».
- Перезагружаем компьютер.
Этап третий. Развертывание параметров групповой политики, отвечающих за управление принтерами
В отличие от второго этапа развертывания принтеров средствами групповой политики, определять параметры политики принтеров рекомендуется практически для любых операционных систем Windows. Прежде всего, административные шаблоны, предназначенные для управления принтерами в организации, будут настраиваться в созданном заранее объекте групповой политики «Принтеры бухгалтерии», который уже связан с подразделением бухгалтеров. Итак, чтобы настроить параметры политики, отвечающие за управление принтерами, выполните следующие действия:
- Откройте оснастку «Управление групповой политикой», разверните узел «Лес: %имя леса%», узел «Домены», затем узел с названием вашего домена. Выберите узел «Объекты групповой политики». В данном узле выберите объект групповой политики «Принтеры бухгалтерии», нажмите на нем правой кнопкой мыши и из контекстного меню выберите команду «Изменить»;
- В отобразившейся оснастке «Редактор управления групповыми политиками» разверните узел Конфигурация компьютераПолитикиАдминистративные шаблоны и выберите узел «Принтеры», как показано на следующей иллюстрации:
Рис. 1. Узел «Принтеры» редактора управления групповыми политиками
Рис. 2. Отключение обзора принтеров при помощи групповой политики
Рис. 3. Настройка мастера установки принтеров для управляемой сети
Рис. 4. Выбор интервала проверки состояния публикации принтера в Active Directory
Еще один параметр политики, отвечающий за публикацию принтеров, который рассматривается в этой статье, называется «Удалять принтеры, которые не были повторно опубликованы». Для чего необходим этот параметр политики? Бывают такие ситуации, когда во время проверки состояния публикации компьютер, принтер которого опубликован в Active Directory при помощи возможностей оснастки «Active Directory – пользователи или компьютеры» или специального скрипта Pubprn.vbs, не отвечает на запросы. Так вот, данный параметр политики определяет, можно ли уменьшить количество принтеров в доменных службах при помощи службы очистки, о которой будет рассказано ниже. Установив переключатель на опцию «Включить» вы можете выбрать одну из следующих опций:
- Никогда. Данный параметр установлен по умолчанию, даже если не настраивать этот параметр политики и позволяет не удалять объекты принтеров, которые автоматически не публикуются повторно;
- Только если найден сервер печати. В данном случае такие объекты удаляются лишь в тогда, когда принтер недоступен, но в сети можно обнаружить работающий сервер печати;
- Когда принтер не найден. В этом случае, принтер будет удален, если компьютер не отвечает на запросы в тот момент, когда должна выполняться автоматическая публикация последнего.
Рекомендуемым значением данного параметра является значение «Никогда».
Рис. 5. Определение интервала очистки Active Directory
Для того чтобы объект принтера случайно не был удален в тот момент, когда при каком-то обстоятельстве компьютер, опубликовавший принтер может быть случайно недоступен, следует определять количество повторов попыток обращения к опубликовавшему принтер компьютеру, после которого служба очистки удалит объект принтера из доменных служб Active Directory. По умолчанию служба очистки дважды повторно опрашивает компьютер, перед тем как удалить объект из доменных служб. Используя параметр политики «Повторы при очистке Active Directory» вы можете изменить количество повторов. Откройте диалоговое окно свойств этого параметра политики и из раскрывающегося списка «Повторы» выберите необходимое для вас количество повторов, например, три повтора и нажмите на кнопку «ОК».
Как я уже не один раз упомянул, в том случае, если компьютер, опубликовавший принтер не ответит на сообщение опроса на протяжении указанных в предыдущем параметре политики попыток, принтер будет удален из Active Directory. При желании вы можете запретить очистку опубликованных ранее принтеров, установив переключатель на опцию «Отключено» в диалоговом окне свойств параметра политики «Разрешить очистку опубликованных принтеров». Естественно, этот параметра политики спасет опубликованные принтеры от очистки в том случае, если компьютеры, опубликовывающие принтеры в обязательном порядке должны выключаться, однако, в диалоговом окне данного параметра лучше установить переключатель на опцию «Включить».
Последний параметр политики, позволяющий настроить службу очистки, называется «Приоритет потока при очистке Active Directory». Как вы догадались, используя свойства этого параметра политики, вы можете указать приоритет, влияющий на порядок получения процессорного времени, определяющий вероятность вытеснения другими процессами, которые могут быть более приоритетными. Сам поток очистки, соответственно, удаляет ненужные объекты принтеров из доменных служб Active Directory. В раскрывающемся списке «Приоритет» диалогового окна свойств данного параметра политики можно найти 5 значений: Самый низкий, Ниже среднего, Средний, Выше среднего, а также Самый высокий. По умолчанию установлено значение «Средний», а так как поток очистки не является приоритетным процессом, выполняющимся на контроллере домена (а поток очистки выполняется лишь на контроллерах), я предлагаю установить значение «Ниже среднего», как показано на следующей иллюстрации:
Рис. 6. Выбор приоритета потока при очистке Active Directory
Рис. 7. Настройка ограничений указания и печати средствами групповой политики
Рис. 8. Диалоговое окно параметра политики, запрещающего пользователям добавлять принтеры
Рис. 9. Определение пути поиска принтеров в домене по умолчанию
Внимательный читатель может задать вопрос: почему же не были рассмотрены некоторые параметры политики из узлов конфигурации компьютера или конфигурации пользователя? В принципе, ответ очень простой. Помимо этих двух статей, в которых рассказывается о развертывании принтеров в организации при помощи функциональных возможностей Active Directory, в феврале этого года я буду проводить 13-е занятие тренинга по групповой политике. На этом занятии вы узнаете обо всех возможных настройках принтеров средствами данной технологии, а также сможете задать любой вопрос, который у вас возникнет по данной тематике.