Установка принтеров на компьютеры пользователей средствами групповой политики. часть 2

Опубликовано: ПК
Что делать, если не работает принтер, пишет ошибку «доменные службы active directory сейчас недоступны» в windows 7-10

Открываем общий сетевой доступ к папке (файлу) в Windows 10 1803

Разберёмся как в Windows 10 April Update 1803 предоставить общий доступ к локальному каталогу другим компьютерам в вашей рабочей группы или домене по сети.

  1. В проводнике найдите папку или файл, доступ к которой вы хотите предоставить.
  2. Щелкните по ней ПКМ и выберите Предоставить доступ к ->Отдельные люди (Give access to -> Specific people).
  3. Вы можете предоставить доступ конкретной учетной записи (при включенном парольном доступе при доступе к данной сетевой папке у пользователя будет запрашиваться пароль. Либо вы можете включить доступ для всех пользователей, в том числе анонимных (группа Everyone). В этом случае при доступе к файлам в данном сетевом каталоге пароль запрашиваться не будет.
  4. При предоставлении сетевого доступа к папке вы можете дать доступ на чтение (Read), чтение и запись (Read/Write) или запретить доступ.
  5. Если вы были ранее не включили сетевое обнаружение, появится запрос:
  • Нет, сделать сеть, к которой подключен этот компьютер, частной (Обнаружение сети и общий доступ к файлам будут включены для частных сетей, таких как домашние сети и сети на рабочих местах)
  • Да, включить обнаружение сети и совместный доступ к файлам для всех общественных сетей.

Теперь вы можете получить доступ к данной папке с другого компьютера по сети. Для этого в окне проводника просто перейдите по адресу вашей папки, например \Desktop-JOPF9Distr . Для удобства пользователя вы можете создать у него на рабочем столе ярлык на данную папку или подключить ее как сетевой диск через команду net use.

Каждый репост — это репост репоста.

Разрешение на доступ по RDP

По пути 

Конфигурация компьютера
  Политики
    Административные шаблоны
      Компоненты Windows
        Службы удаленных рабочих столов
          Узел сеансов удаленных рабочих столов
            Подключения

Включить правило 

Разрешить пользователям удаленное подключение с использованием служб удаленных рабочих столов

И по пути 

Конфигурация компьютера
  Политики
    Административные шаблоны
      Сеть
        Сетевые подключения
          Брандмауэр Защитника Windows
            Профиль домена

Включить правила и указать разрешенные ip-адреса, если нужно 

Брандмауэр Защитника Windows: Разрешает исключение для входящего общего доступа к файлам и принтерам
Брандмауэр Защитника Windows: Разрешить входящее исключение удаленного администрирования 
Брандмауэр Защитника Windows: Разрешить входящие исключения удаленного рабочего стола

Обновление «офиса» и Windows

Всегда рекомендуется обновлять любые программы до актуальной версии, не говоря уже о системе. В последнем случае длительное отсутствие обновлений может привести к нестабильности работы Windows, возникновению разных проблем, конфликтов с оборудованием и установленными программами.

На «семерке» выполнить поиск, загрузку и установку обновлений можно в меню управления системой, а именно по пути «Система и безопасность»-«Центр обновления».

В Win 10 нужно зайти в «Параметры», открыть категорию «Обновление и безопасность».

Воспользуйтесь кнопкой «Проверить наличие обновлений».

Microsoft Office – самый популярный офисный пакет, если говорить про работу с текстовыми документами. Имеется ввиду одна из программ пакета – «Ворд». Обновить MS Office можно из любой программы, будь то Word или Excel.

Запустите любую программу и воспользуйтесь функцией обновлений в одном из разделов меню «Файл». В зависимости от выпуска «офиса» обновления доступны в подменю «Справка» или «Учетная запись».

Word 2007Word 2019

Проблемы с подключением сетевых принтеров после установки KB3170455

Обнаружили одну неприятную проблему с одним из июльский обновлений безопасности Microsoft. Речь о KB3170455, выпущенном 12 июля 2016 года. После установки данного обновления в домене могут возникнуть проблемы при попытке подключить сетевой принтер.

Проблема проявлялась следующим образом:

При попытке на доменных клиентах (Windows 10, Windows 7) установить (подключить) принтер с принт-сервера (на Windows Server 2008 R2), появляется ошибка.

Connect to Printer

A policy is in effect on your computer which prevents you from connecting to this print queue. Please contact your system administrator.

На некоторых моделях принтеров при попытке подключить сетевой принтер появлялось другое сообщение:

Do you trust this printer?

Windows needs to download and install a software driver from \\PrintServerName computer to print to PrinterName. Proceed only if you trust the \\PrintServerName and the network

При нажатии на кнопку «Установить драйвер» появляется окно UAC с предложением ввести учетные данные администратора. Хотя ранее пользователи могли без проблем подключать эти принтера (включена политика, позволяющая обычным пользователям устанавливать драйвера принтеров без прав локального администратора).

Путем сравнения установленных обновлений на проблемных компьютерах, обнаружили, что проблема наблюдается на компьютерах с установленным апдейтом KB3170455 (MS16-087: Description of the security update for Windows print spooler components: July 12, 2016). И действительно, при удалении этого обновления принтера подключаются корректно.

wusa.exe /uninstall /kb:3170455 /quiet /norestart

Но не все так просто, обновление на самом деле не кривое, а исправляет конкретную критическую уязвимость в подсистеме печати Windowsю. Обновление в том числе предполагает выдавать предупреждение пользователя при попытке установить недоверенные или неподписанные драйвера принтеров. Да и в Windows 10 это обновление вшито в кумулятивное обновление, и так просто его уже не откатишь. Так что простым удалением обновления проблему не решить.

В статье https://support.microsoft.com/en-us/kb/3170005 указаны критерии, которым должны соответствовать драйвера принтеров, чтобы они могли корректно устанавливаться на клиентах:

Поэтому Microsoft рекомендует:

Драйвер перенаправления

Симптомы:

Не создаются перенаправляемые принтеры и в «диспетчере устройств» в «системных устройствах» отсутствует специальное устройство «перенаправитель устройства сервера терминалов», он же «remote desktop device redirector bus», в 2003 выглядит так:

В 2008 R2 выглядит так:

Что делать:

Переставлять драйвер редиректора, inf-файл поставляется вместе с системой, для установки можно воспользоваться утилитой devcon.exe (http://support.microsoft.com/kb/311272):

devcon -r install %windir%\inf\machine.inf root\rdpdr

Проверять через появление соотв. устройства в списке системных устройств девайс менеджера.

Как избавиться от окна сообщения «Доверяете ли вы этому принтеру» и добавить свой принтер через объект групповой политики?

Пытаясь отладить проблему, я обнаружил, что если я зайду \\myserver\ и дважды нажму на принтер, он попытается установить принтер, а затем предложит мне установить драйверы с подсказкой типа UAC.

Я перепробовал все, что мог придумать, чтобы это окно сообщений перестало появляться. Я покопался в нем и обнаружил, что если бы мне нужно было отредактировать объект групповой политики с именем, Point and Print Restrictions расположенным по адресу Computer Configuration->Policies->Administrative Templates->Printers и был таким же, как у User Configuration->Policies->Administrative Templates->Control Panel->Printers вас, можно попытаться установить политику в Disabled или или Enabled выбрать Do not show warning or elevation prompt два запроса безопасности, перечисленных в нижней части параметров политики.

Я обнаружил, что если я попытаюсь вручную установить принтер, зайдя в unc и введя свои учетные данные администратора, он загрузит драйверы с сервера и установит принтер (как и ожидалось). Если пользователь попытался удалить принтер и каким-то образом добился успеха, как только он выйдет из системы и вернется к объекту групповой политики, он сделает то, что я хочу, и вернет принтер обратно. Но мне потребовалось добавить его вручную в первый раз на КАЖДОМ ПК.

Я где-то читал, что, возможно, причина в каком-то обновлении безопасности Windows, которое что-то изменило. Он был выпущен из-за какой-то статьи, показывающей, как вы можете подключить всю сеть, если бы вы могли использовать один принтер. Что-то о том, что когда пользователи подключаются к принтеру и скачивают драйверы, он устанавливает внедренное программное обеспечение и запускается на машине и т. Д.

Моя главная цель — иметь возможность развернуть этот принтер для группы пользователей в этом подразделении с помощью используемого объекта групповой политики. Но все, что я пытаюсь сделать, требует для входа администратора (по крайней мере, в первый раз). У кого-нибудь есть идеи, почему мой принтер не будет автоматически добавлять себя через объект групповой политики, а также как я могу получить эту фразу «Вы доверяете этому принтеру?» сообщение уйти?

Решение проблемы с подключением к принтеру

Причина одна и кроется она в цифровой подписи драйверов принтеров, а точнее в отсутствии данной подписи. Если драйвера на устройства подписаны не валидным с точки зрения Microsoft сертификатом или вообще без него, то он таки драйвера не принимает, считая это потенциальной угрозой, в следствии чего ваше устройство перестает работать. Это не новая проблема, но после очередного обновления KB3170455, проверка цифровой подписи драйверов, ужесточилась.

  • Можете полностью отключить проверку цифровой подписи драйверов, как это делать я описывал, посмотрите. В Windows 10 она обязательная и ужесточенная.
  • Можете удалить обновление KB3170455, но думаю это не лучший вариант, когда есть в разы проще.
  • Правка реестра Windows.

Так как у меня в основном на работе операционная система windows 10 и с нее не удается подключиться к принтеру на терминальном сервере, где есть драйвера без цифровой подписи, чтобы не делать большого количества телодвижений и кучей перезагрузок, я для принтеров, которые испытывают проблемы, поставлю один параметр, который все поправит.

Что вы делаете, вы открываете реестр и переходите вот по такому пути, лично я для быстрого поиска по реестру использую утилиту register jump, делается это либо локально, если принтер подключен по USB, либо же на сервере терминалов, если используются они.

В моем случае это HP M1212, но таких полным полно, Canon, Xerox и так далее.

Находим там параметр PrinterDriverAttributes, по умолчанию там будет стоять значение 0, нужно поменять его на 1. После чего вы смело перезагружаете службу печати либо же сам сервер.

Данный метод, действует в 90 процентах случаев, если вам не помогло, то ниже я привожу дополнительные методы решения данной проблемы.

Сканирование на вирусы

Рекомендуется сделать сканирование Windows для выявления опасных программ и вирусов. Можете воспользоваться стандартным системным антивирусом. Но для полноценного обнаружения и лечение лучше воспользоваться полноценными антивирусными пакетами. Если покупать софт нет желания, можно быстро просканировать компьютер бесплатными утилитами:

  • Web CureIT;
  • Kaspersky Virus Removal Tool.

По возможности не стоит удалять зараженные файлы, так как без них может нарушиться функционирование системы.

После применения антивируса проверьте целостность файлов Windows встроенным функционалом. Запустите командную строку (Windows+R и команда «cmd») и начните сканирование командой «sfc /scannow».

Создание домена в Windows Server

Запускаем Диспетчер серверов -> «Добавить роли и компоненты».

На первой странице мастер напоминает, что необходимо сделать перед началом добавления роли на сервер. Нажмите «Далее».

На втором шаге нужно выбрать «Установка ролей и компонентов» и нажать «Далее».

Выбираем сервер, на который нужно установить Active Directory (он у нас один), «Далее».

Теперь нужно выбрать роль, которую нужно добавить. Выбираем «Доменные службы Active Directory». После чего откроется окно, в котором будет предложено установить службы ролей или компоненты, необходимые для установки роли Active Directory, нажмите кнопку «Добавить компоненты», после чего кликните «Далее».

PЗатем нажимайте «Далее», «Далее» и «Установить».

Перезапустите компьютер.

После того, как роль была добавлена на сервер, необходимо настроить доменную службу, то есть установить и настроить контроллер домена.

Подключение принтеров пользователям через GPO

Создайте три новые группы безопасности в AD (prn_HPColorSales, prn_HPColorIT, prn_HPColorManagers) и добавьте в нее пользователей отделов (наполнение групп пользователей можно автоматизировать по статье “Динамические группы в AD”). Вы можете создать группы в консоли ADUC, или с помощью командлета New-ADGroup:

Запустите консоль редактора доменных политик (GPMC.msc), создайте новую политику prnt_AutoConnect и прилинкуйте ее к OU с пользователями; Если у вас в домене используется небольшое количество сетевых принтеров (до 30-50), вы можете все их настраивать с помощью одной GPO. Если у вас сложная структура домена, есть сайты AD, используется делегирование прав администраторам филиалов, лучше создать несколько политик подключения принтеров, например по одной политике на сайт или OU.

Перейдите в режим редактирования политики и разверните секцию User Configuration -> Preferences -> Control Panel Setting -> Printers. Создайте новый элемент политики с именем Shared Printer;
Если вы хотите подключать принтер по IP адресу (не через принт-сервера, а напрямую), выберите пункт TCP/IP Printer.

Действие – Update. В поле Shared Path укажите UNC адрес принтера, например, (в моем примере все принтеры подключены к принт-серверу ). Здесь же вы можете указать, нужно ли использовать этот принтер в качестве принтера по-умолчанию;
Перейдите на вкладку Common и укажите, что принтер нужно подключать в контексте пользователя (опция Run in logged-on user’s security context). Также выберите опцию Item-level targeting и нажмите на кнопку Targeting;
С помощью нацеливания GPP вам нужно указать, что данная политика подключения принтера применялась только для членов группы prn_HPColorSales

Для этого нажмите New Item -> Security Group -> в качестве имени группы укажите prn_HPColorSales; Обратите внимание, что данное ограничение не запрещает любому пользователю домена подключить это принтер вручную в проводнике Windows. Чтобы ограничить доступ к принтеру, нужно изменить права доступа к нему на принт-сервере, ограничив возможность печати определенными группам.

Аналогичным образом создайте политики подключения принтеров для других групп пользователей

Есть еще старый раздел политик для настройки принтеров — Computer Configuration -> Policies -> Windows Settings -> Deployed Printers, однако этот метод установки принтеров пользователям не такой гибкий, как рассмотренный ваше способ с помощью GPP.

При использовании такой групповой политики, новые принтера будут устанавливаться у пользователей, только если на их компьютере уже установлен соответствующий принтеру драйвер печати. Дело в том, что у обычных пользователей нет прав на установку драйверов.

Учебник GPO — Установка принтера

На сервере печати поделитесь принтером.

В нашем примере мы создали общий принтер под названием PRINTER01.

Copy to Clipboard
\\tech-dc01\PRINTER01

На контроллере домена откройте инструмент управления групповой политикой.

Создание новой групповой политики.

Введите имя для новой политики группы.

В нашем примере, новый GPO был назван: MY-GPO.

На экране управления групповой политикой расширьте папку под названием «Объекты групповой политики».

Нажмите правой кнопкой мыши на новый объект групповой политики и выберите опцию редактирования.

На экране редактора групповой политики расширьте папку конфигурации пользователя и найдите следующий элемент.

Copy to Clipboard
User Configuration > Preferences > Control Panel Settings > Printers

Создайте новый общий принтер.

На вкладке General выполните следующую конфигурацию.

• Действие — Обновление.
• Путь совместного входа — Введите сетевой путь к общей принтеру.
• Установить этот принтер по умолчанию — необязательно.
• Только в том случае, если локального принтера нет — необязательно.

Нажмите на кнопку OK.

Чтобы сохранить конфигурацию групповой политики, необходимо закрыть редактор групповой политики.

Поздравляю! Вы закончили создание GPO.

Windows 10 Point Print UAC Prompt Cause

Microsoft as tightened the requirement for printer drivers on print servers.

  • Are using a print server
  • Allow standard user to install printer drivers using the Point and Print Group Policy
  • Are using old printer driver that might have the following :
    • Non-package-aware v3 printer drivers
    • Unsigned or expired certificate validation drivers

Following MS16-087 installation, you receive a UAC prompt and a Connect to Printer error after a printer installation attempt. (A policy is in effect on your computer which prevents you from connecting to this print queue. Please contact your system Administaor)

Here’s the list of the specific KB per OS that create the issue :

  • KB3163912

    Windows 10

  • KB3172985

    Windows 10 v1511

  • KB3170455
    • Windows Vista
    • Windows 7
    • Windows 8.1
    • Windows Server 2008
    • Windows Server 2008 R2
    • Windows Server 2012
    • Windows Server 2012 R2

Похожие записи:

  1. Среда восстановления windows (windows re)
  2. Send email with powershell
  3. Удаление почтового ящика в exchange server
  4. База знаний wiki
0
Понравилась статья? Поделиться с друзьями:
Быть в курсе нового

Похожие записи:

  1. Среда восстановления windows (windows re)
  2. Send email with powershell
  3. Удаление почтового ящика в exchange server
  4. База знаний wiki
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!:

Этот сайт использует cookie для хранения данных. Продолжая использовать сайт, Вы даете свое согласие на работу с этими файлами и принимаете условия пользовательского соглашения.