Меню Рубрики

Установка принтера с правами пользователя

Как разрешить пользователям домена устанавливать принтеры

По умолчанию рядовым пользователям домена запрещено устанавливать принтера (если быть более точными, драйвера принтеров) на доменных компьютерах, а для их установки необходимо наличие у пользователя определённых прав. Это правильно с точки зрения безопасности, ведь установка некорректного или вредоносного (поддельного) драйвера устройства может скомпрометировать или ухудшить работу системы, но крайне неудобно с точки зрения ИТ – отдела. Ведь, если пользователям запрещено устанавливать драйвера принтеров на своих компьютерах, эта забота возлагается на администраторов и ИТ-отдел.

В том случае, если ИТ-администраторы предприятия все-таки решили разрешить пользователям самостоятельно устанавливать драйвера принтеров на своих компьютерах, не предоставляя им прав локальных администраторов, в этой задаче помочь им могут групповые политики Active Directory.

Итак, предполагается, что имеется разнородная сеть и нам необходимо разрешить пользователям самостоятельно подключать сетевые и локальные принтера, и устанавливать их драйвера как на ПК с Windows 7, так и с Windows XP.

Итак, создайте (или отредактируйте существующую политику) и привяжите ее к OU (контейнеру Active Directory), в котором содержатся компьютеры, на которых политикой необходимо разрешить пользователям установку драйверов принтеров (на отдельно стоящем компьютере эту же политику можно реализовать с помощью локальной политики).

Откройте ветку групповых политик Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Local Policies -> Security Options, в которой найдите параметр Devices: Prevent users from installing printer drivers (Устройства: Запретить пользователям установку драйверов принтера). Активируйте политику и отключите ее применение (значение Disabled).

Данная политика подразумевает, что при подключении сетевого принтера, система позволяет пользователю, не обладающего правами администратора, установить драйвера сетевых принтеров.

Следующий момент – нужно разрешить пользователю устанавливать локальные принтера (и их драйвера). В этом случае нас интересует политика Allow non-administrators to install drivers for these device setup classes в разделе: Computer Configuration -> Policies -> Administrative Templates -> System -> Driver Installation.

Включите данную политику, затем зададим типы устройств, которые разрешено пользователям устанавливать самостоятельно (подробнее о принципах установки драйверов в Windows 7 без прав локального администратора). Нажмите кнопку Show, и в появившемся окне добавьте две строки (идентификаторы классов, соответствующие устройствам типа принтер):

Полный список кодов GUID классов устройств в ОС Windows доступен тут:
http://msdn.microsoft.com/en-us/library/ff553426%28v=VS.85%29.aspx

Сохраните изменения в политике.

Следующий момент касается особенностей работы UAC при установке сетевого принтера в Windows Vista и Windows 7. В том случае, если UAC включен, появляется сообщение, в котором требуется указать учетные данные администратора, если же UAC отключен при попытке установить принтер пользователем– система надолго задумывается, и в конце концов выдает сообщение об ошибке: “Windows не удалось подключиться к принтеру. Отказано в доступе”.

Чтобы решить данную проблему необходимо перевести в состояние Disabled политику Point and Print Restrictions . Данная политика находится как в системном, так и пользовательском разделе групповых политик и для поддержки совместимости с предыдущими версиями операционной системы Windows, рекомендуется задавать оба этих параметра. Необходимо отключить обе политики. Находятся он в разделах: Computer Configuration -> Policies -> Administrative Templates -> Printers и User Configuration -> Policies ->Administrative Templates ->Control Panel ->Printers.

Осталось сохранить изменения и протестировать политики на клиентах (потребуется перезагрузка). После перезагрузки и применения групповых политик пользователю будет разрешено самостоятельно устанавливать локальные и подключать сетевые принтера.

Для повышения стабильности и безопасности системы рекомендуется также включить изоляцию драйверов принтеров в Windows 7.

источник

Установка принтеров пользователям домена AD с помощью групповых политик

Рассмотрим возможности автоматического подключения принтеров пользователям домена Active Directory с помощью групповых политик (GPO). Довольно удобно, когда при первом входе в систему у пользователя сразу устанавливаются и появляются в принтерах доступные ему устройства.

Рассмотрим следующую конфигурацию: в организации имеется 3 отдела, каждый отдел должен печатать документы на собственном цветном сетевом принтере. Ваша задача, как администратора, настроить автоматическое подключение сетевых принтеров пользователям в зависимости от отдела.

Читайте также:  Установка пирамиды в русском бильярде

Подключение принтеров пользователям через GPO

Создайте три новые группы безопасности в AD (prn_HPColorSales, prn_HPColorIT, prn_HPColorManagers) и добавьте в нее пользователей отделов (наполнение групп пользователей можно автоматизировать по статье “Динамические группы в AD”). Вы можете создать группы в консоли ADUC, или с помощью командлета New-ADGroup:

New-ADGroup «prnHPColorSales» -path ‘OU=Groups,OU=Moscow,DC=corp,dc=winitpro,DC=ru’ -GroupScope Global –PassThru

    Запустите консоль редактора доменных политик (GPMC.msc), создайте новую политику prnt_AutoConnect и прилинкуйте ее к OU с пользователями;

При использовании такой групповой политики, новые принтера будут устанавливаться у пользователей, только если на их компьютере уже установлен соответствующий принтеру драйвер печати. Дело в том, что у обычных пользователей нет прав на установку драйверов.

Настройка политики подключения принтеров Point and Print Restrictions

Для корректного подключения принтеров у любого пользователя, вам придется настроить политику Point and Print Restrictions и настроить адреса принт-серверов серверов, с которых пользователей разрешено устанавливать принтеры.

Если вы подключаете принтеры через пользовательский раздел политики, перейдите в раздел GPO User Configuration -> Policy -> Administrative Templates -> Control Panel -> Printers -> Printer -> Point and Print Restriction. Включите политику (Enabled) и настройте ее следующим образом:

  • Users can only point and print to these servers –укажите список принт-серверов, с которых разрешено устанавливать драйвера (указываются FQDN имена, разделитель точка с запятой);
  • When installing driver for new connection -> Do not show warning or elevation prompt
  • When installing driver for existing connection -> Do not show warning or elevation prompt.

Аналогичным образом нужно включить политику Package Point and Print – Approved server в разделе User Configuration -> Policies -> Administrative Templates -> Printers и задать в ней список доверенных принт-серверов.

Теперь после перезагрузки компьютера при входе пользователя у него будет автоматически подключаться назначенный ему сетевой принтер.

источник

Управление принтерами в Active Directory с помощью скриптов для разных версий ОС

Введение

В данном топике я подробно расскажу о том, на какие грабли можно наткнуться при автоматической установке, удалении принтеров средствами Active Directory.

Подготовка AD к установке принтеров

Разделяем компьютеры по арxитектуре и версии ОС

Я опишу случай, когда целевые компьютеры находятся в различных организационных единицах, при этом имеют разную архитектуру.

  1. Создаем группы безопасности соответствующие каждой архитектуре и версии ОС, пример: win_x64, win_x32. (Я использовал только 2 группы, так как в моем парке компьютеров существуют либо Windows XP x32, либо Windows 7 x64.).
  2. Создаем политики с понятными названиями и ограничиваем доступ к этим политикам только для групп безопасности из предыдущего пункта. Пример: «Политика принтеров x32», доступ только для членов группы win_x32.
  3. Применяем созданные политики ко всем организационным единицам. Самый лучший способ это сделать, по моему мнению — это поместить все OU внутри одной и к ней применить новые политики.
  4. Делаем компьютеры с архитектурой ОС x32 членами группы win_x32, для других архитектур и версий соответственно.

Таким образом, у нас появилась возможность применить определенную политику к компьютерам из разных OU (организационных единиц), что весьма удобно. Просто и надежно.
Разделение можно организовать и другими способами, но в данном посте я эти варианты рассматривать не буду.

Сетевая папка

Создается сетевая папка доступная всем пользователям и компьютерам домена. Думаю, этот этап подробно расписывать нет необходимости. Права на папку — только чтение.

Драйвера
  1. Скачиваем драйвера для всех версий и архитектур.
  2. Распаковываем их до состояния INF файлов. Грабля №1. Если с этим возникают проблемы, то чаще всего драйвера можно найти в скрытой шаре PRINT$ на машине где установлен принтер. Их можно взять оттуда.
  3. Копируем эти файлы у нашу сетевую папку. Для удобства разделяем по подпапкам.

Теперь можно переходить к развертыванию.

Развертывание

Развертывание будет делаться в 2 этапа:

  1. Создание скрипта установки драйвера.
  2. Создание скрипта подключения пользователя к принтеру.
Читайте также:  Установка датчиков паров бензина

Внимание! Грабля №2 Пункт 1 актуален только для Windows Vista и новее, так как драйвер на Windows XP ставится с правами обычного пользователя и не требует админских прав. Как ни странно.

Скрипт установки драйвера

Этот скрипт помещается в разделе «Конфигурация компьютера» — «Политики» — «Конфигурация Windows» — «Сценарии (запуск/завершение)» — «Автозагрузка»
Создаем файл .BAT такого содержания:
rundll32 printui.dll,PrintUIEntry /ia /m » » /h «x64» /v «Type 3 — User Mode» /f » »
rundll32 printui.dll,PrintUIEntry /ia /m » » /h «x64» /v «Type 3 — User Mode» /f » »

Грабля №3 Имя принтера можно и нужно узнать в свойствах сервера печати Windows на машине, где драйвер уже установлен. Наверняка есть и в inf файле.

Теперь драйвер принтера будет устанавливаться при загрузке системы автоматически. Если применить его ко всем компьютерам с Windows Vista и новее, то при срабатывании скрипта подключения принтера не выскочит ошибка о недостаточности прав.

Скрипт подключение принтеров

Этот скрипт помещается в разделе «Конфигурация пользователя» — «Политики» — «Конфигурация Windows» — «Сценарии (вход/выход из системы)» — «Вход в систему»
Для обеих архитектур скрипт одинаков.
rem Подключаем сетевой принтер «officeprint» на сервере server
rundll32 printui.dll,PrintUIEntry /in /n \\server\officeprint /q
rem Подключаем сетевой принтер «print» на сервере server1
rundll32 printui.dll,PrintUIEntry /in /n \\server1\print /q
rem Ставим его по умолчанию
rundll32 printui.dll,PrintUIEntry /in /n \\server1\print /y /q

Теперь при входе в систему пользователю автоматически подключатся принтеры и по умолчанию выберется принтер «print» на server1.

Автоматическое удаление принтеров

Все достаточно просто.
Создаем .BAT файл вот с таким содержанием.
REG DELETE «HKEY_CURRENT_USER\Printers\Connections» /f
Затем делаем его скриптом на выход пользователя из системы.
Когда пользователь в следующий раз зайдет в сеть, у него будут только те принтеры, которые установятся политикой.
Полезно при переезде принтера с одного принт-сервера на другой.
Грабля №4 Удаление ветки реестра лучше производить при выходе пользователя из системы, а не при входе перед подключением принтеров.
Для этого требуется перезагрузка службы печати, которая может перезагружаться достаточно долго. Это черевато ситуацией, когда служба еще не запустилась, а скрипт подключения уже сработал и вызвал ошибку.

Автоматическое удаление драйверов принтеров

Данная операция может потребоваться при обновлении драйвера.

источник

Ограничиваем доступ к печати для посторонних

С первого курса подрабатываю аникейщиком в школах, сейчас универ заканчиваю и это уже дополнение к основной работе, тем не менее вспомнил один полезный трюк, который, возможно, пригодится кому-то еще

Как-то просили меня «держатели» кабинетов информатики сделать им парольный доступ к принтерам, типа ввел пароль — смог распечатать, ибо полугодичных запас картриджа стал уходить за месяц.

Ясно понятно, что некоторые хитропопые сотрудники берут ключи не от своего кабинета по блату и проникают с целью распечатать Войну и мир

А картридж каждый месяц заправлять никто не будет

Собственно из опыта общения с виндой знаю, что поставить пароль на принтер нельзя, и через гугл такой софтины не нашел. Был вариант создать отдельного пользователя с правами печати, но это не очень удобно для простых пользователей — менять постоянно учетки и обязательно кто-то будет тупить. Компы находятся в сети и принтер расшарен, поэтому надо как можно проще, особенно для людей, которые с компами на Вы

Подумал немного и мне пришел в голову следующий способ

I. Определяем компьютеры, с которых будет запрещено печатать всем и всегда, выполняем на них следующие операции:

1. Заходим в ОС с правами Администратора

2. Панель управления — Администрировани — Службы

3. Находим службу «Диспетчер очереди печати»

4. ПКМ — Свойства

5. Тип запуска — «Отключена»

6. Кнопка «Остановить»

7. Вкладка «Вход в систему» — внизу кнопка «Запретить»

Читайте также:  Установка габаритных огней в фары

8. Применить, ОК

9. С данного ПК отправить на печать ничего не удастся, принтер просто будет отсутствовать в системе

Догадаться в чем причина сможет только очень пытливый ум с наличием соответствующего опыта

II. Определяем ПК, на котором будем сами печатать хоть иногда, выполняем на нем следующие операции:

1. Заходим в ОС с правами Администратора

2. Панель управления — Администрирование — Службы

3. Находим службу «Диспетчер очереди печати»

4. ПКМ — Свойства

5. Тип запуска — «Вручную»

6. Кнопка «Остановить»

7. Применить, ОК (т.е. вход в систему службе не запрещаем)

8. На данном ПК после его включения печатать будет нельзя,

9. Чтобы включить принтер запустите файл ON.bat (о создании файлов ниже)

10. При каждом следующем запуске ОС принтер будет по умолчания отключен, для его активации запустите ON.bat

11. Если же ПК не будет выключаться, но принтер необходимо заблокировать, запустите OFF.bat

12. Если потом опять запустить ON.bat, то принтер включится. Иначе ON.bat принтер включает, а OFF.bat выключает.

Но OFF.bat можно не запускать если ПК будет в скором времени выключен — при каждом новом запуске принтер отключен

13. Файлы ON.bat и OFF.bat рекомендуется куда-нибудь спрятать (и возможно переименовать) в ПК так, чтобы никакое хитропопое существо в порывах распечатать на вашем принтере листов этак 500 его не нашло На рабочем столе и корнях дисков располагать точно не ст0ит

Идеальный вариант — хранить эти файлы у себя на флешке. Понадобилось что-то распечатать, запустили ON.bat, распечатали, флешку вытащили,

ПК выключили и домой, при следующем запуске принтер уже будет разблокирован

Можно еще сделать автозапуск ON.bat с флешки, т.е. флешку вставил — принтер врубился

Собственно файлы ON и OFF:

Создаем *.txt документы (блокнот), первый называем ON.bat (расширение txt меняем на bat) , вписываем в него net start spooler, второй — OFF.bat, в него — net stop spooler

Теперь можно отслеживать, как идет расход тонера, а также оставить около принтера простой карандаш и листок бумаги с ехидной заметкой «Если принтер не печатает — пользуйся на здоровье»

источник

Установка принтера с правами пользователя

Вопрос

Ответы

Все ответы

Ставлю локально через сетевой порт и даю доступ. Принтер становится виден в сети, но печать через сеть не проходит — задание зависает с ошибкой. Печатать получается только с той машины, куда принтер был установлен локально через сетевой порт.

Смена прав и варианты установки этого принтера на других машинах в сети ситуацию не исправляют.

Принтер HP 1220 (драйвер свежий HP 1200 6L).

Машина, на которую ставится локальный принтер через сетевой порт — XP Prof SP2.

Остальные машины в сети — XP Prof (часть SP2, часть SP3).

В чем может быть проблема?

ЗЫ Проблема появилась после появления в сети новых компов с XP Prof SP3. Сомневаюсь, что дело именно в этом, но ранее все работало.

А что с доменом, есть ли он? Ошибки с перенаправленным портом возникают из-за трудностей аутентификации.

А вообще, по-хорошему, вам бы организовать логонный скрипт, подключающий принтера и один из них назнающий дефолтным в зависимости от местоположения компьютера.

Сообщение об ошибке появляется в окне диспетчера задач принтера — в строке конкретного задания в графе «Состояние» указано «Ошибка».

Домена(ов) нет. Две мелкие одноранговые сетки (нужна возможность полной автономии). Комп, на котором локально установлен сетевой принтер, является шлюзом (две сетевые карты) выполняя роль «принтсервера», с «локально локальным» и «локально сетевым» принтерами (по одному на подсеть). Задача шлюза (помимо работы на нем пользователя) — дать возможность всем (из обоих сеток) печатать на любом из принтеров. Т.е., пока в строю принтер в своей подсети — подсеть печатает только на нем, но ежели что, имеется возможность печатать на принтере из другой подсети.

источник