Как найти принтеры в active directory

Обновлено 12.06.2017

Всем привет, продолжаем настройку сервера печати Windows, и изучать его возможности и функционал. В предыдущей части мы с вами научились выполнять установку принтеров групповой политикой, метод отличный, но по мимо него есть еще один, это публикация в AD принтеров, что мы и рассмотрим сегодня. Очень часто в обучающих книгах, этот метод считается вторым по значимости, рассчитанный на компьютерную грамотность пользователей, но на практике почти не применим.

Настройка принтера через ad

И так давайте рассмотрим, что же такое публикация принтера. Откройте оснастку Acrive Directory Пользователи и компьютеры ил как ее еще называют ADUC. Сверху нажмите иконку поиска.

У вас откроется форма поиска, где в пункте найти вы выбираете принтеры, а в обзоре выбираете домен или лес. Жмете Найти. Как видите, у меня нет ни одного принтера.

Теперь идете на сервер печати и щелкаете по нужному принтеру правым кликом и из контекстного меню выбираете Перечислить в Active Directory, это и есть публикация, видимо трудности перевода.

На экране ничего не появится, но это и не важно, переходим снова в ADUC и делаем поиск по принтерам. Как видите ad принтеры уже видит и содержит в своей базе данных.

• Есть название принтера
• Модель
• И имя сервера где он находится

Если посмотреть возможные команды, то тут есть подключить, но мы то понимаем что рядовой пользователь сюда и не полезет, да и его и не пустят, но плюс публикации есть, его рассмотрим ниже.

Что происходит когда вы ставите перечислить принтеры в AD, тут все просто, в свойствах принтера на вкладке Доступ ставится галочка Внести в Active Directory.

Теперь предположим, вы не успели настроить групповую политику или вы сидите в другом доверительном домене и вам нужен некий принтер, то его можно поискать при добавлении устройства в панели управления.

Далее нажимаем Нужный принтер отсутствует в списке.

Далее выбираем Найти принтер в каталоге по его расположению и возможностям.

Откроется окно поиска и вы получите список принтеров.

Управление принтерами через GP

В ad принтеры централизованно настраиваются через групповые политики, и для опубликованных принтеров есть более 20 настроек.

Что советую отключить, это Обзор принтеров. Как вам известно, в доменах Active Directory, информация об установленных принтерах хранится в доменных службах, однако, по умолчанию, она не объявляется в списках просмотра службы каталога в том случае, если пользователь выполнил вход в домен. Если же доменные службы Active Directory не доступны, то в таком случае общие принтеры будут добавляться в список просмотра. В свою очередь, если включить данный параметр политики, то диспетчер очереди печати будет объявлять общие принтеры подсистеме печати. А клиенты, при каждом уведомлении о наличии принтеров должны использовать клиентские лицензии. Чтобы подсистема печати не добавляла общие принтеры в список просмотра, рекомендуется данный параметр политики отключить

Мастер установки принтеров – страница сканирования сети (неуправляемая сеть)» и Мастер установки принтеров – страница сканирования сети (управляемая сеть). Первый предназначен для установки количества принтеров в неуправляемой сети, то есть в сети, где невозможно обнаружить контроллер домена, например, в аэропорту или в домашнем окружении, а второй, соответственно, для управляемой сети, где у компьютера есть доступ к контроллеру домена. При помощи этих параметров политики вы можете определить отображаемое количество принтеров для TCP/IP-принтеров, принтеров веб-служб, Bluetooth принтеров, а также количество общих принтеров, которые выводятся в списке найденных результатов. Параметр политики для управляемых принтеров отличается лишь тем, что в нем еще присутствует возможность настройки определения принтеров Active Directory. Значения по умолчанию для каждого типа принтеров в параметрах политики отличаются. По умолчанию, для неуправляемой сети должны отображаться по 50 TCP/IP-принтеров, общих принтеров, а также принтеров веб-служб, а Bluetooth принтеров должно отображаться максимум 10 штук. В свою очередь, в управляемой сети по умолчанию должны отображаться только 20 принтеров Active Directory и 10 Bluetooth принтеров. Для определения своих параметров следует в обоих параметрах политики установить переключатель на опцию Включить и указать свое количество принтеров для каждого типа. Например, для неуправляемой сети можно установить для трех типов значение 10, а для Bluetooth принтеров указать значение 0. Это означает, что мастер не будет отображаться принтеры данного типа. Для управляемой сети зададим значение 20 для каждого типа помимо общих принтеров. Для этого типа укажем значение 10. Диалоговое окно настроек мастера установки принтеров для управляемой сети отображено ниже:

Следующие рассматриваемые в этой статье параметры политики предназначены для управления публикацией принтеров. Как вы знаете, каждому пользователю по умолчанию предоставлена возможность публикации принтера в Active Directory. Принтеры можно опубликовывать в Active Directory, установив флажок Внести в Active Directory на вкладке доступа диалогового окна свойств установленного общедоступного принтера. При желании пользователей можно лишить этой возможности, установив переключатель на опцию Отключено в диалоговом окне свойств параметра политики Разрешить публикацию принтеров. Так как в большинстве случаев нет необходимости в запрещении публикации принтеров, следует установить переключатель на опцию Включено. После того как принтер будет опубликован, операционная система должна проверять доступность своих опубликованных принтеров в доменных службах Active Directory. По умолчанию такая проверка выполняется однократно во время запуска самой операционной системы. Этим параметром также можно управлять при помощи функциональных возможностей групповой политики. Для этого следует открыть диалоговое окно свойств параметра политики Проверять состояние публикации, а затем установить переключатель на опцию Включено. После этого из раскрывающегося списка Периодичность проверки состояния публикации следует выбрать интервал проверки публикации. Например, оптимальным значением будет 4 часа, однако, если вы укажите значение Никогда, то это будет приравниваться тому, как если бы вы установили переключатель на опцию Отключено. Диалоговое окно свойств этого параметра политики с интервалами, указанными в соответствующем раскрывающемся списке отображено ниже:

Еще один параметр политики, отвечающий за публикацию принтеров, который рассматривается в этой статье, называется Удалять принтеры, которые не были повторно опубликованы. Для чего необходим этот параметр политики? Бывают такие ситуации, когда во время проверки состояния публикации компьютер, принтер которого опубликован в Active Directory при помощи возможностей оснастки Active Directory – пользователи или компьютеры или специального скрипта Pubprn.vbs, не отвечает на запросы. Так вот, данный параметр политики определяет, можно ли уменьшить количество принтеров в доменных службах при помощи службы очистки, о которой будет рассказано ниже. Установив переключатель на опцию Включить вы можете выбрать одну из следующих опций:

• Никогда. Данный параметр установлен по умолчанию, даже если не настраивать этот параметр политики и позволяет не удалять объекты принтеров, которые автоматически не публикуются повторно;
• Только если найден сервер печати. В данном случае такие объекты удаляются лишь в тогда, когда принтер недоступен, но в сети можно обнаружить работающий сервер печати;
• Когда принтер не найден. В этом случае, принтер будет удален, если компьютер не отвечает на запросы в тот момент, когда должна выполняться автоматическая публикация последнего.

Рекомендуемым значением данного параметра является значение Никогда.

Следующие четыре параметра политики отвечают за возможность очистки принтеров. Собственно, служба очистки предназначена для удаления из доменных служб Active Directory объектов принтеров. Первый, рассматриваемый в этой статье параметр очистки, называется Интервал очистки Active Directory. В принципе, предыдущий параметр, описанный в этой статье, напрямую зависит от значения, которое вы укажите в текущем параметре политики. При помощи данного параметра политики вы можете указать интервал, определяющий время, через которое служба очистки на контроллере домена будет опрашивать компьютеры на наличие работоспособности опубликованных принтеров. Соответственно, если компьютер не ответит на запрос, то объект принтера, опубликованного в доменных службах Active Directory, будет удален. Установите переключатель на опцию Включить и из раскрывающегося списка Интервал укажите требуемый промежуток времени между попытками обнаружения так называемых брошенных компьютеров. Рекомендуется, чтобы этот интервал был больше указанного в предыдущем параметре политики, например, как показано на следующей иллюстрации, 12 часов:

Для того чтобы объект принтера случайно не был удален в тот момент, когда при каком-то обстоятельстве компьютер, опубликовавший принтер может быть случайно недоступен, следует определять количество повторов попыток обращения к опубликовавшему принтер компьютеру, после которого служба очистки удалит объект принтера из доменных служб Active Directory. По умолчанию служба очистки дважды повторно опрашивает компьютер, перед тем как удалить объект из доменных служб. Используя параметр политики Повторы при очистке Active Directory вы можете изменить количество повторов. Откройте диалоговое окно свойств этого параметра политики и из раскрывающегося списка Повторы выберите необходимое для вас количество повторов, например, три повтора и нажмите на кнопку ОК.

Как я уже не один раз упомянул, в том случае, если компьютер, опубликовавший принтер не ответит на сообщение опроса на протяжении указанных в предыдущем параметре политики попыток, принтер будет удален из Active Directory. При желании вы можете запретить очистку опубликованных ранее принтеров, установив переключатель на опцию Отключено в диалоговом окне свойств параметра политики Разрешить очистку опубликованных принтеров. Естественно, этот параметра политики спасет опубликованные принтеры от очистки в том случае, если компьютеры, опубликовывающие принтеры в обязательном порядке должны выключаться, однако, в диалоговом окне данного параметра лучше установить переключатель на опцию Включить.

Последний параметр политики, позволяющий настроить службу очистки, называется Приоритет потока при очистке Active Directory. Как вы догадались, используя свойства этого параметра политики, вы можете указать приоритет, влияющий на порядок получения процессорного времени, определяющий вероятность вытеснения другими процессами, которые могут быть более приоритетными. Сам поток очистки, соответственно, удаляет ненужные объекты принтеров из доменных служб Active Directory. В раскрывающемся списке Приоритет диалогового окна свойств данного параметра политики можно найти 5 значений: Самый низкий, Ниже среднего, Средний, Выше среднего, а также Самый высокий. По умолчанию установлено значение Средний, а так как поток очистки не является приоритетным процессом, выполняющимся на контроллере домена (а поток очистки выполняется лишь на контроллерах).

Как видите настроек очень много, остальные вы сможете прочитать в описании к политикам. Далее мы поговорим о безопасности принтеров и печати. Чтобы убрать принтер из публикации, просто на сервере печати щелкните по нему правым кликом и выберите

Далее советую почитать про безопасность принтеров, ее много не бывает.

Время на прочтение
4 мин

Количество просмотров 56K

Введение

В данном топике я подробно расскажу о том, на какие грабли можно наткнуться при автоматической установке, удалении принтеров средствами Active Directory.

Подготовка AD к установке принтеров

Предполагается, что Active Directory настроена и функционирует. В ней созданы организационные единицы, заведены пользователи и добавлены компьютеры, у пользователей отсутствуют права администратора.
Для начала необходимо сделать 3 вещи:

1. Разделить компьютеры по версии и архитектуре ОС.
2. Выделить сетевую папку для хранения драйверов принтеров.
3. Скачать и распаковать драйвера принтеров в сетевую папку для всех архитектур, созданную в пункте 2.

Разделяем компьютеры по арxитектуре и версии ОС

Я опишу случай, когда целевые компьютеры находятся в различных организационных единицах, при этом имеют разную архитектуру.

1. Создаем группы безопасности соответствующие каждой архитектуре и версии ОС, пример: win_x64, win_x32. (Я использовал только 2 группы, так как в моем парке компьютеров существуют либо Windows XP x32, либо Windows 7 x64.).
2. Создаем политики с понятными названиями и ограничиваем доступ к этим политикам только для групп безопасности из предыдущего пункта. Пример: «Политика принтеров x32», доступ только для членов группы win_x32.
3. Применяем созданные политики ко всем организационным единицам. Самый лучший способ это сделать, по моему мнению — это поместить все OU внутри одной и к ней применить новые политики.
4. Делаем компьютеры с архитектурой ОС x32 членами группы win_x32, для других архитектур и версий соответственно.

Таким образом, у нас появилась возможность применить определенную политику к компьютерам из разных OU (организационных единиц), что весьма удобно. Просто и надежно.
Разделение можно организовать и другими способами, но в данном посте я эти варианты рассматривать не буду.

Сетевая папка

Создается сетевая папка доступная всем пользователям и компьютерам домена. Думаю, этот этап подробно расписывать нет необходимости. Права на папку — только чтение.

Драйвера

1. Скачиваем драйвера для всех версий и архитектур.
2. Распаковываем их до состояния INF файлов. Грабля №1. Если с этим возникают проблемы, то чаще всего драйвера можно найти в скрытой шаре PRINT$ на машине где установлен принтер. Их можно взять оттуда.
3. Копируем эти файлы у нашу сетевую папку. Для удобства разделяем по подпапкам.

Теперь можно переходить к развертыванию.

Развертывание

Развертывание будет делаться в 2 этапа:

1. Создание скрипта установки драйвера.
2. Создание скрипта подключения пользователя к принтеру.

Внимание! Грабля №2 Пункт 1 актуален только для Windows Vista и новее, так как драйвер на Windows XP ставится с правами обычного пользователя и не требует админских прав. Как ни странно.

Скрипт установки драйвера

Этот скрипт помещается в разделе «Конфигурация компьютера» — «Политики» — «Конфигурация Windows» — «Сценарии (запуск/завершение)» — «Автозагрузка»
Создаем файл .BAT такого содержания:
rundll32 printui.dll,PrintUIEntry /ia /m "<Имя принтера 1>" /h "x64" /v "Type 3 - User Mode" /f "<путь к INF файлу драйвера в сетевой папке/x64/>"
rundll32 printui.dll,PrintUIEntry /ia /m "<Имя принтера 2>" /h "x64" /v "Type 3 - User Mode" /f "<путь к INF файлу драйвера в сетевой папке/x64/>"

Грабля №3 Имя принтера можно и нужно узнать в свойствах сервера печати Windows на машине, где драйвер уже установлен. Наверняка есть и в inf файле.

Теперь драйвер принтера будет устанавливаться при загрузке системы автоматически. Если применить его ко всем компьютерам с Windows Vista и новее, то при срабатывании скрипта подключения принтера не выскочит ошибка о недостаточности прав.

Скрипт подключение принтеров

Этот скрипт помещается в разделе «Конфигурация пользователя» — «Политики» — «Конфигурация Windows» — «Сценарии (вход/выход из системы)» — «Вход в систему»
Для обеих архитектур скрипт одинаков.
rem Подключаем сетевой принтер "officeprint" на сервере server
rundll32 printui.dll,PrintUIEntry /in /n \serverofficeprint /q
rem Подключаем сетевой принтер "print" на сервере server1
rundll32 printui.dll,PrintUIEntry /in /n \server1print /q
rem Ставим его по умолчанию
rundll32 printui.dll,PrintUIEntry /in /n \server1print /y /q

Теперь при входе в систему пользователю автоматически подключатся принтеры и по умолчанию выберется принтер «print» на server1.

Автоматическое удаление принтеров

Все достаточно просто.
Создаем .BAT файл вот с таким содержанием.
REG DELETE "HKEY_CURRENT_USERPrintersConnections" /f
Затем делаем его скриптом на выход пользователя из системы.
Когда пользователь в следующий раз зайдет в сеть, у него будут только те принтеры, которые установятся политикой.
Полезно при переезде принтера с одного принт-сервера на другой.
Грабля №4 Удаление ветки реестра лучше производить при выходе пользователя из системы, а не при входе перед подключением принтеров.
Для этого требуется перезагрузка службы печати, которая может перезагружаться достаточно долго. Это черевато ситуацией, когда служба еще не запустилась, а скрипт подключения уже сработал и вызвал ошибку.

Автоматическое удаление драйверов принтеров

Данная операция может потребоваться при обновлении драйвера.

Желательно удалять вручную, но если принтеров очень много, то делается это вот такой командой:
rundll32 printui.dll,PrintUIEntry /dd /m "<Имя принтера>"
Грабля №5 При повторном срабатывании скрипт с такой командой выдаст ошибку, которая может поставить пользователей в тупик.

Задача: увидеть все опубликованные принтеры в Active Directory

Get-AdObject -filter "objectCategory -eq 'printqueue'"

Get-AdObject -filter "objectCategory -eq 'printqueue'" -Prop *| Select Name,serverName, @{N='ShareNames';E={$_.printShareName -join ';'}}