Как подключить сетевой принтер в windows server

В этой статье я пошагово опишу, как настроить сетевой принтер на Windows Server 2008 R2.

   Первым делом, для безотказной работы сетевых принтеров, необходимо установить роль печати. Для этого заходим в «Диспетчер сервера», для этого нажимаем на панели на значок диспетчера сервера.

Заходим «Роли- Добавить роль».

В следующем окне читаем служебную информацию, нажимаем «Далее».

Выбираем интересующую нас роль «Служба печати и документов» и нажимаем «Далее».

Читаем общую информацию о службе и нажимаем «Далее».

В следующем окне выбираем необходимые службы ролей, в данном примере нам хватит «Сервера печати», выбираем его, нажимаем «Далее».

Подтверждаем свой выбор нажатием кнопки «Установить».

После этого идет процесс установки роли, ждем… если роль успешно установлена нажимаем «Закрыть», иначе разбираемся почему не установилась роль и повторяем процедуру установки роли печати.
Теперь необходимо физически (с помощью сетевого кабеля или принт-сервера) подключить принтер к серверу и настроить работу принтера на сервере, для этого заходим «Пуск- Устройства и принтеры».
В окне Устройства и принтеры нажимаем «Установка принтера».
В следующем окне выбираем «Добавить локальный или сетевой принтер от имени администратора».
Затем выбираем «Добавить локальный принтер».
Выбираем «Создать новый порт» «Standard TCP/IP port» и нажимаем «Далее».
Прописываем IP адрес принтера. Если у вас возник вопрос – Как узнать IP адрес принтера? Немного поясню. Сетевые принтеры подключаются двумя способами (исключаю расшаривание принтера, поскольку в таком случае у принтера нет своего IP):
1)    С помощью сетевого кабеля LAN (или Wi-Fi).
2)    С помощью принт-сервера

В первом способе IP адрес вручную прописывается в принтере (или принтер получает IP с помощью DHCP), соответственно узнать IP, можно на дисплее принтера, в настройках, либо нажав клавишу конфигурации? принтер распечатает всю служебную информацию в том числе и IP.
Во втором случае у вас должен быть DHCP сервер, что бы принт-сервер получил IP.  После того как вы подключите принт-сервер в сеть и подключите к нему питание, посмотрите его MAC адрес на корпусе.

Зайдите на DHCP сервер и найдите ваш принт-сервер по MAC адресу и соответственно узнаете его IP.
После того как вы узнали IP адрес принтера (или принт-сервера с помощью которого он подключен) прописываем его и нажимаем «Далее».

После этого необходимо выбрать драйвер. В списке скорее всего не будет драйвера для вашего принтера (если есть, я вас поздравляю ), драйвер необходимо скачать с сайта производителя принтера, установить его и выбрать его окне «Установка драйвера принтера».
Указываем имя принтера или оставляем имя, которое пропишется по умолчанию.

В следующем окне оставляем «Разрешить общий доступ к принтеру, чтобы его могли использовать другие» (иначе зачем вся это пошаговая инструкция), если у вас будет несколько принтеров подключено к этому серверу, рекомендую в комментарии указать отдел в котором стоит принтер (или для кого он предназначен).
Печатаем пробную страницу, в качестве проверки, что драйвер подходит и все работает и нажимаем «Готово».
Для того, что бы подключить принтер на компьютер (рабочую станцию), нажимаем «Пуск» «\\имя вашего сервера».
Выбираем принтер, который необходимо подключить и кликаем на нем двумя кликами мыши.
После того как автоматически установились драйвера, заходим «Пуск- Устройства и принтеры» и видим сетевой принтер.
Надеюсь данное пошаговое руководство помогло вам настроить сетевой принтер.

После того, как установлен и настроен Windows server 2019, можно приступить к установке различных служб и компонентов. В данном случае установим службу печати и документов, которая позволяет управлять печатающими устройствами в домене, а также развертывать принтеры с помощью групповой политики.

Установка роли «Служба печати и документов»

Установка принтера в домене

Развертывание принтера (МФУ) в домене с помощью групповой политики

Проверка установки принтера в домене с помощью групповой политики

Установка роли «Служба печати и документов».

1. нажимаем «Пуск» — «Диспетчер серверов«.

2. Выбираем «Добавить роли и компоненты«.

3. В мастере добавления ролей и компонентов читаем условия, которые необходимы для установки ролей и компонентов. 

• Учётная запись администратора защищена надежным паролем;
• Настроены сетевые параметры, такие как статические IP-адреса;
• Установлены новейшие обновления безопасности из Центра обновления Windows.

Нажимаем «Далее«.

4. В следующем окне выбираем «Установка ролей или компонентов«, нажимаем «Далее«.

5. Выбираем сервер из пула серверов, затем «Далее«.

6. Выбираем «Службы печати и документов«.

7. В открывшемся окне выбираем «Добавить компоненты«, снова «Далее«.

8.  Компоненты для установки на этом сервере устанавливать нет необходимости, нажимаем «Далее«.

9. Читаем на что обратить внимание при установке службы печати и документов, нажимаем «Далее«.

10. В следующем окне оставляем по умолчанию чекбокс на «Сервер печати«. Если в сети имеются компьютеры, работающие на базе UNIX (в том числе Linux), ставим чекбокс на «Службы LPD«. Затем «Далее«.

11. В открывшемся окне Нажимаем «Установить«.

12. По окончании установки нажимаем «Закрыть«. Служба печати и документов после установки не требует перезагрузки сервера.

Установка принтера в домене

Для того, чтобы установить принтер, МФУ в домене, сначала необходимо установить драйвер печатающего устройства на сервере. В данном случае установим драйвер для МФУ Kyocera Ecosys M2835dw.

1. Открывает «Диспетчер серверов» (Пуск — Диспетчер серверов), далее «Средства» — «Управление печатью«.

2. В открывшемся окне «Управление печатью» раскрываем «Серверы печати«. Нажимаем правой клавишей мыши на «Принтеры«, далее «Добавить принтер…«.

3. В мастере установки сетевого принтера выбираем «Добавить TCP/IP-принтер или веб-принтер по его IP-адресу или имени узла«, затем «Далее«.

4. Задаём «Имя узла или IP-адрес«, «Имя порта«. Устанавливаем чекбокс «Автоматический поиск драйвера принтера«, если не стоит. Нажимаем «Далее«.

5. После того, как принтер (МФУ) найден, задаём «Имя принтера«, «Имя общего ресурса«, устанавливаем чекбокс «Общий доступ к принтеру«, если не стоит. Для удобства заполняем поле «Размещение» и если есть необходимость, заполняем «Комментарий«. Нажимаем «Далее«.

6. Дожидаемся установки драйвера сетевого принтера (МФУ), затем «Далее«.

7. После окончания установки устройства, мастер установки сетевых принтеров напишет состояние «Принтер установлен». Можно напечатать пробную страницу, а также установить другой принтер, установив чекбокс в соответствующее поле. Нажимаем «Готово«.

т

8. Далее в окне «Управление печатью«, нажимаем правой клавишей на установленное устройство, выбираем «Свойства«. В открывшемся окне ставим чекбокс «Внести в Active Directory«. Нажимаем «Применить«, затем «ОК«.

Развертывание принтера (МФУ) в домене с помощью групповой политики

1. Для развертывания принтера (МФУ) в домене с помощью GPO в окне «Управление печатью» переходим к «Принтеры«, далее выбираем необходимый принтер. Нажимаем правой клавишей мыши на выбранный принтер, далее «Развернуть с помощью групповой политики«. В новом окне нажимаем «Обзор«.

2. В открывшемся окне выбираем подразделение, в котором будет развернуто устройство для печати, затем нажимаем на «+» и задаём имя для новой групповой политики.

3. В зависимости от применения групповой политики (для пользователей, для компьютеров), ставим чекбокс. В данном случае применяем политику для пользователей, к которым применен данный объект групповой политики (на пользователя). Нажимаем «Добавить» — «Применить«. 

4. Появится сообщение, что операция развертывания или удаления принтера выполнена успешно. Для закрытия сообщения нажимаем «ОК«, затем «ОК«.

5. Для того, чтобы связать созданную групповую политику с другими подразделениями в домене, открываем оснастку консоли «Управление групповой политикой«. Выбираем нужное подразделение, правой клавишей мыши — «Связать существующий объект групповой политики…«.

6. Выбираем созданную групповую политику, нажимаем «ОК«. Применяем групповую политику к нужным подразделениям, или можем сразу выбрать весь домен.

7. Для немедленного применения групповой политики открываем командную строку, набираем gpupdate /force.

Проверка установки принтера в домене с помощью групповой политики

 1. Для проверки установки принтера (МФУ) в домене, заходим на компьютере пользователя под учетной записью. В строке поиска пишем «Принтеры«, нажимаем на появившееся «Принтеры и сканеры«.

2. В новом окне проверяем, что появилось устройство печати.

Посмотреть, как установить и настроить службу печати и документов, а также развернуть принтер в домене с помощью групповой политикой можно здесь:

Читайте также:

Windows server 2019 — установка и настройка WSUS, создание и настройка GPO

Windows server 2019 — добавление и удаление компьютера в домене

Windows server 2019 — переименование администратора домена, изменение формата выводимого имени пользователя

Windows server 2019 — установка и настройка Active Directory, DNS, DHCP 

Windows server 2019 — создание и удаление пользователя, группы, подразделения в домене

Windows server 2019 — GPO изменение экранной заставки, отключение монитора, изменение политики паролей

В данной заметке поговорим о внедрении и последующем обслуживании сервера печати (по др. принт-сервера) полезной серверной роли в Windows Server 20xx, обеспечивающей эффективный, централизованный контроль за работой всех принтеров в организации.

Внедрение сервера печати, по сравнению с обычной клиентской установкой принтера, сулит следующие преимущества:

• Возможность централизованного управления всеми принтерами в организации, очередью печати, драйверами.
• Обеспечение общего доступа к принтерам через публикацию в Active Directory;
• Возможность разворачивать принтеры при помощи групповой политики;
• Создавать пулы, что позволяет объединить несколько физических принтеров в один логический.

Исходные условия у нас таковы, что имеется определенный парк сетевых принтеров HP и Kyocera и нам необходимо настроить к ним доступ таким образом, что бы пользователь мог самостоятельно выбирать ближайший к себе принтер и устанавливать себе в систему. Для этого нам как администраторам, необходимо сначала развернуть сервер печати, добавить на него все наши принтеры, опубликовать в Active Directory, обучить пользователей простым шагам по установке\добавлению принтера или устанавливать их в автоматическом режиме при помощи групповой политики. В процессе работы, выполнять простые шаги по администрированию системы и устранять возникающие неполадки с печатью, о чем речь пойдет ниже.

1) Установка роли Print and Document Services (Служба печати и документов);

Итак, у нас имеется машина с установленным Windows Server 2012R2, хотя это может быть и 2008 и последняя на текущий момент Windows Server 2016, т.к. процесс установки службы от версии к версии отличается не сильно и сводится буквально к нескольким кликам по кнопке Далее. Запускаем Server Manager, выбираем Add Role and Features Wizard (Добавить роль и мастер компонентов).

Затем соглашаемся с первым пунктом Role-based or feature-based installation (Базовая установка ролей и компонентов) жмем Далее.

На следующем экране Select Destination server (Выбор сервера назначения) выбираем сервер из пула или расположенный на VHD-диске. Поскольку у нас, пока только один локальный сервер, то жмем Next.

Выбираем роль для установки — Print and Document Services, соглашаемся с установкой дополнительных фичей — Print and Document Services Tools. Жмем Next.

На следующем экране Features, опционально выбираем компоненты для установки если нужно. Жмем Next.

Далее нам предлагают ознакомится с полезной информацией по службе печати Print and Document Services. Ознакамливаемся и жмем Next

Затем выбираем конкретные сервисы для установки. По мимо Print Server (Сервер печати) можно выбрать еще Distributed Scan Server (Распределенный сервер сканирования), Intetnet Printing (Поддержка печати через Интернет) и LPD Service (Служба печати UNIX). В рамках данной заметки нас интересует только cервер печати, поэтому выбираем его и жмем Next.

На завершающем экране, соглашаемся с установкой выбираемых компонентов нажатием кнопки Install.

Закрываем мастер при помощи close.

Те же действия, но в Powershell, можно выполнить буквально в несколько команд:

Fipmo ServerManager
add-WindowsFeature Print-Server

После установки службы, перезагружать сервер не требуется. Но, перед тем как начать добавление принтеров на сервер, добавим его в домен, что позволит в последствии публиковать принтеры сразу в Active Directory.

Используем классический gui-вариант добавления, либо при помощи несложной команды в PS:

Add-Computer -DomainName test.ru

Перезапускаем сервер командой:

2) Консоль управления Print Managment. Добавление драйверов и принтеров на сервер;

Запускаем консоль управления Print Managment. Для этого переходим в Пуск\Administrative tools\Print management. Либо запускаем в командной строке: printmanagement.msc

Здесь, самый верхний узел Print Managment позволяет добавлять/удалять локальные и другие серверы печати для администрирования, а так же выполнять миграцию принтеров.

Custom Filters фильтрует принтеры по категориям: Все принтеры (All Printers), Все драйверы (All Drivers), Принтеры в состоянии «не готов» (Printers Not Ready) и принтеры с активными заданиями печати (Printers With Jobs). Так же, по правой кнопке, можно задать свой фильтр, если вам не хватает текущих.

Print Servers отображает текущие принт-серверы. В данном случае видно что у нас только один (локальный) сервер печати, где Drivers (Драйверы) показывает все драйверы на текущем сервере печати, Forms (Формы) — все поддерживаемые форматы бумаги, Ports — локальные и сетевые порты на текущем сервере печати, Printers — все установленные принтеры на текущем сервере печати.

Deployed Printers — принтеры, которые были развернуты с использованием групповой политики.

Что бы добавить новый принтер на сервер, переходим к узлу Print Servers, выбираем наш локальный сервер prints (local) в разделе Printers. Щелкаемся правой кнопкой и выбираем Add Printers (Добавить принтер). Запустится мастер добавления принтера Network Printer Installation Wizard, где доступно четыре метода установки. Первый и самый быстрый способ обнаружить сетевые принтеры это выполнить поиск в автоматическом режиме — Search the network for printers, вторым пунктом идет возможность добавить TCP/IP принтер или веб принтер по его IP-адресу или имени узла — Add a TCP/IP or Web Services Printer by IP address or hostname, далее идет возможность добавить новый принтер используя существующий порт — Add a new printer using an existing port, и последний пункт, это создание своего порта с последующим добавлением нового принтера — Create a new port and add a new printer.

Если выбрать первый пункт и позволить мастеру добавить принтер в автоматическом режиме то возникнет ситуация когда драйвер для принтера может быть так же добавлен в автоматическом режиме из дистрибутива операционной системы, что не желательно, поскольку, во-первых драйвер будет далеко не свежим, во-вторых он будет конкретно под данную модель принтера. Если принтеров не много, то в этом нет трагедии — все будет работать, но поскольку у нас принт-сервер, где как правило может быть n-ое количество устройств печати, то имеет смысл использовать самую актуальную версию драйвера с сайта производителя. Лучше использовать универсальный драйвер сразу для нескольких моделей, что позволит избежать в будущем разного рода конфликтов связанных с работой нескольких разношерстных устройств на одном сервере и позволит снизить временные затраты при будущем обновлении. Почитать еще о преимуществах универсального драйвера можно по следующей ссылке.

И всего вышесказанного следует, что для корректной работы системы нам сначала  необходимо установить на сервер правильный драйвер, а затем уже добавлять сами принтеры. Поэтому скачиваем универсальный драйвер с сайта производителя, например для HP  здесь, а для Kyocera тут. Что касаемо типа драйвера, PCL5 или PCL6 то тут решайте сами. Кто то говорит что PCL5 стабильнее, но лично я не заметил особой разницы. По идее PCL версии 6 это просто более новая реализация PCL драйвера от HP, поэтому имеет смысл использовать ее.

Для добавления драйверов, в консоле Print Managment переходим на наш локальный сервер в раздел Drivers и по правой кнопке запускаем мастер добавления драйверов — Add Driver. На следующем экране выбираем тип архитектуры процессора. Если необходима поддержка 32-разрядных клиентских операционных систем то так же отмечаем чекбокс x86. Жмем Далее.

На экране Printer Driver Selection выбираем драйвер для принтера. Жмем Have Disk и Browse для обзора и добавления драйверов.

Выбираем ранее скаченный драйвер. В нашем примере это универсальный драйвер Kyocera, жмем Next и Finish. Повторяем операцию для других ваших устройств.

Лично у меня на сервере, в ходу принтеры только HP и Kyocera, соответственно и драйверы используются только этих производителей. Правда, надо отметить, что при использовании универсального драйвера от HP, далеко не все принтеры поддерживаются или не все функции поддерживаются корректно, хотя большая часть принтеров корпоративного класса работает без проблем. Посмотреть список поддерживаемых устройств можно по ссылке. После добавления драйверов, получим примерно следующую картинку.

Обратим внимание на вкладку Driver Isolation (Изоляция драйвера), где у нас, драйверы по умолчанию помечены флагом «shared» т.е. находятся в неком изолированном режиме с общим доступом. Технология изоляции драйвера или Printer Driver Isolation (PDI), позволяет выводить работу принтеров в отдельный процесс PrintIsolationHost.exe, отдельно от диспетчера печати spoolsv.exe, и других драйверов на сервере, т.е. если возникает проблема в драйвере, то она затрагивает только процесс, который подгрузил этот драйвер, но не саму службу печати spoolsv.exe, которая при этом, остается работоспособной.

И в случае режима shared (общий доступ) все драйверы принтера настроены на работу с одним, общим экземпляром процесса PrintIsolationHost.exe, но отдельно от диспетчера печати. Данный режим является рекомендуемым Microsoft. В случае, возникновения проблем с драйверами, несовместимостью и частым падением принтеров, особенно в терминальном режиме, можно попробовать использовать режим isolated (изолированный), где уже каждый драйвер принтера, настроен на использование своего собственного экземпляра процесса PrintIsolationHost.exe и так же отдельно от диспетчера печати (spooler).

При установленном флаге «none», драйверы принтеров загружаются как обычно, при помощи диспетчера печати (spooler), т.е. если падает процесс spoolsv.exe, то это затрагивает работу сразу всех принтеров на сервере.

Теперь, после добавления корректных драйверов можно  приступать к установке принтеров. Для этого снова запускаем уже знакомый нам мастер добавления принтеров, выбираем добавить TCP/IP принтер или веб принтер по его IP-адресу. Затем выбираем тип устройства: Auto detect — автоматическое определение параметров или TCP/IP Device, в поле «host name or IP address» вводим IP-адрес сетевого принтера. Галочку Auto detect the printer driver to use (Автоматический поиск драйвера принтера) оставляем по умолчанию активной или снимаем. В данном случае она не препятствует процессу добавления «правильного» драйвера.  Жмем Next.

На следующем экране, выбираем ранее установленный универсальный драйвер HP или Kyocera из списка или добавляем новый. Жмем Next.

Затем, задаем имя принтеру и добавляем его в общий доступ, указав имя расшаренного ресурса, физическое расположение и комментарий. По этой информации пользователи смогут идентифицировать нужный им принтер в службе каталогов и добавить его к себе в систему. Жмем Next.

Соглашаемся с предложением установить принтер. Жмем Next и дожидаемся окончания процесса установки.

Затем, что бы принтер был доступен в Active Directory для выбора, необходимо его опубликовать. Для этого переходим в свойства принтера на вкладку Sharing и отмечаем галочку List in Directory (Внести в Active Directory) и жмем Apply (Применить).

Проделываем ту же операцию для всех принтеров в организации. Можно выделить все принтеры сразу и по правой кнопке сказать: List in Directory. В итоге, можно получить примерно следующий список.

Теперь, на клиентском компьютере в домене, пользователь сможет увидеть нужный ему принтер в списке и установить его.

Но это в теории, или по крайней мере так было раньше! На практике, при добавлении сетевого принтера под доменной учетной записью, нередко можно получить следующую ошибку:

Подключение к принтеру. Установленная на данном компьютере политика не позволяет подключение к данной очереди печати. Обратитесь к системному администратору.

Или английский вариант:

Connect to Printer. A policy is in effect on your computer which prevents you from connecting to this print queue. Please contact your system administrator.

Связано это с тем, что 12 июля 2016 года Microsoft выпустила обновление безопасности KB3170455, устраняющее критическую уязвимость в системе печати, что повлекло за собой новые требования к безопасности драйверов принтера, а именно:

1. Драйвер принтера должен быть доверенным и подписан цифровой подписью. Процесс установки проверяет наличия хешированных файлов в пакете драйвера, и если обнаруживает не хешированные (без цифровой подписи), то выводит сообщение об ограничениях существующей политики. В случае универсального драйвера от HP проверка на цифровую подпись файлов в пакете проходит успешно и принтер ставится без проблем, а вот при попытке установить на клиенте принтер от Kyocera, где в качестве драйвера используется Kyocera Universal Classic Driver, который, кстати говоря на сайте числится как ‘signed’ вылезает ошибка выше.

2. Драйвер принтера должен быть упакованным, спецификация (package-aware v3). При попытке установить не упакованный драйвер (non-package-aware v3) получим сообщение о недоверии к принтеру и запрос на повышении прав позволяющий установить драйвер с административной учетной записью.

Проверить упакован драйвер принтера или нет, можно в консоли управления принтерами (Printer Managment) в разделе Drivers, колонка Packages. Как видим, драйвер Konica Minolta  находится в состоянии false.

Решить проблему с установкой не доверенных драйверов принтеров на клиентских компьютерах, нам поможет включение групповой политики: Point and Print Restriction (Ограничения указания и печати), которая находится по адресу:

Computer Configuration\Policies\Administrative Templates\Printers (Конфигурация компьютера\Политики\Административные шаблоны\Принтеры).

Отмечаем галочки напротив Users can only point and print to these server (Функцию указания и печати можно использовать только на этих серверах) и через точку с запятой, указываем полные доменные имена серверов печати (FQDN). В нашем примере это: prints.test.ru В поле Security Promts (Запросы безопасности), параметрам «Then installing drivers for a new connection» и «Then updating drivers for a exsiting connection» (При установке/обновлении драйверов для нового подключения) выставляем: Don’t show warning or elevation promt (Не показывать предупреждение или запрос на повышении прав).

Не лишним будет так же включение политики: Package Point and Print — Approved servers (Функция указания и печати для пакетов — Разрешенные серверы) которая находится там же по адресу: Computer Configuration\Policies\Administrative Templates\Printers. Данная политика полностью независима от Point and Print Restriction и распространяется только на пакетные драйверы, что в итоге помогло снять ошибку возникающую во время установки универсального драйвера от Kyocera.

В поле Enter fully qualified server names (Введите полные доменные имена серверов) задаем имя сервера печати. Жмем применить. На принт-сервере и на клиентских ПК запускаем принудительное обновление политик при помощи gpupdate /force. После чего установка принтеров должна происходить без вопросов.

3) Консоль управления Print Managment. Добавление принтеров в пул (Print Pooling);

Print Pooling — это технология позволяющая объединять несколько принтеров в один логический, что может оказаться полезным в организациях с большим объемом печати и большим количеством печатающих устройств. Например, в ситуации когда есть 5-ть одинаковых принтеров и не понятно, какой из них загружен печатью, а какой свободен, один логический принтер установленный в системе позволяет автоматически определять свободный принтер в пуле, что в итоге экономит время между решением отправить задание на печать и фактически самой печатью.

Для того что бы объединить несколько принтеров в пул, переходим в раздел Printers нашего принт-сервера и добавляем как обычно новый принтер в систему либо выбираем существующий. Затем переходим на вкладку Ports (порты) и добавляем новый TCP/IP-порт соответствующий IP-адресу другого принтера в будущем пуле.

Выбираем Standart TCP/IP Port и жмем New Port… Затем прописываем IP-адрес принтера, жмем Next и Finish. Добавляем столько портов сколько нам нужно в пуле.

Теперь переходим в свойства будущего логического принтера, на вкладку Ports (Порты) и отмечаем чекбокс Enable print pooling (Разрешить группировку принтеров в пул), затем дополнительно выбираем ранее созданный порт 192.168.0.210 и жмем Apply (Применить);

Таким образом мы добавили два физических принтера в пул, и получили на выходе один логический.

4) Консоль управления Print Managment. Установка принтеров при помощи групповой политики;

Что если в нашей организации 50-100 и более компьютеров, а пользователи, как это не редко бывает сами не хотят / не умеют или не знают какой из принтеров в каталоге им необходимо установить? В данном сценарии нам поможет инструмент установки принтера при помощи групповой политики. Например, если известно, что у определенного пользователя или группы должен быть установлен определенный принтер, то можно заранее в автоматическом режиме развернуть нужные принтеры, незаметно для пользователя и без прямого вмешательства системного администратора. Для этого необходимо авторизоваться на сервере-печати под доменной учетной записью с правами Print Operators или выше, затем перейти в консоль Print Managment, отметить нужный принтер и по правой кнопке выбрать пункт Deploy with Group Policy (Развернуть с помощью групповой политики). В качестве примера, проделаем данную операцию для принтера «Операторы». В поле GPO name выберем объект групповой политики на который будет распространяться политика автоматической установки принтера. Я выберу заранее созданный объект Operator, который в свою очередь привязан к подразделению Operators, внутри которого находятся объекты пользователей для которых и производится установка принтера.

Отмечаем галочкой на кого будет распространяться политика подключения принтера, на пользователей или компьютеры. Жмем добавить, применить, ОК.

Перезапускаем клиентский компьютер и видим что принтер «Операторы» успешно добавлен в сиcтему.

5) Перенос конфигурации с одного сервера печати на другой;

В случае, замены сервера печати или аварийной ситуации может потребоваться быстро восстановить существующую конфигурацию на другой сервер. И дабы сократить время восстановления, желательно уже иметь в запасе резервную машину с установленной службой печати и заранее экспортированным файлом резервной копии в специальном формате .printerExport. Данный файл содержит полную копию всех установленных принтеров, портов и драйверов позволяющих развернуть аналогичную конфигурацию на другом сервере. Для того что бы получить такой файл, необходимо перейти в корень локального сервера утилиты Print Managment, в нашем случае ‘prints (local)’, щелкнуться правой кнопкой и выбрать Export printers to a file… (Экспортировать принтеры в файл). Следовать указаниям мастера и получить на выходе файл резервной копии.

В рамках данной статьи, текущий (исходный) сервер у нас имеет сетевое имя: prints, новый, конечный, куда переносится конфигурация: prints-new, таким образом шаги по переносу данных с одного принт-сервера на другой будут следующими:

• На резервном (новом) сервере, поднимаем роль службы печати и документов, если она не была добавлена ранее.
• На старом сервере отменяем публикацию в Active Directory, снятием галочки List in Directory в свойствах каждого установленного принтера либо выделяем все принтеры сразу и по правой кнопке выбираем: Remove from Directory;
• Выводим, если это возможно старый сервер из домена, меняем сетевое имя на prints-old, перегружаемся. Если данная возможность не доступна, например в случае физического выхода из строя сервера, то удаляем компьютер/сервер на контроллере, например из оснастки «Active Directory Users and Computers» в контейнере Computers. На предложение удалить все вложенные объекты (Confirm Subtree Deletion) отвечаем утвердительно.
• На новом сервере, куда переносим конфигурацию меняем сетевое имя на prints, добавляем в домен.
• Восстанавливаем экспортированный ранее файл .printerExport на новом сервере. (Import printers from a file…). В процессе импорта есть возможность сразу опубликовать принтеры для общего доступа в службе каталогов (List in directory). После чего, проверяем работу принтеров на новом сервере.

6) Устранение неполадок в работе службы печати;

Что касаемо, неполадок возникающих в процессе работы службы печати и их устранении, то здесь писать особо нечего, т.к. все сводится буквально к нескольким шагам, по остановке службы печати, зачистке очередей печати в %windir%\System32\spool\PRINTERS и последующем старте службы, что известно практически каждому админу и не только. Для полноты обзора, и для совсем  «зеленых» товарищей приведу всем известную последовательность команд

Запускаем командную строку — cmd.exe;

Останавливаем службу печати:

Чистим очередь печати, удаляя *.SHD, *.SPL, *.TMP файлы внутри директории,  командой:

del /q /f %windir%\System32\spool\PRINTERS\*.*

Запускаем службу печати:

Либо делаем профилактический рестарт службы, без зачистки очереди:

net stop spooler & net start spooler

Можно сделать батник для запуска а автоматическом режиме. Сохраняем файл например под именем spool.cmd.

setlocal
net stop spooler
del /q /f %windir%\System32\spool\PRINTERS\*.*
net start spooler

Перезапустить службу можно и при помощи gui интерфейса, в оснастке «службы» — services.msc, а почистить папку \PRINTERS в проводнике, но как по мне в консоле или батником быстрее.

Вы можете использовать групповые политики (GPO) для установки принтеров на компьютеры пользователей домена Active Directory. В этой статье мы покажем, как автоматически установить принтер пользователю домена при его входе на компьютер.

Рассмотрим следующую конфигурацию: в организации имеется 3 отдела, каждый отдел должен печатать документы на собственном цветном сетевом принтере. Ваша задача настроить автоматическое подключение сетевых принтеров пользователям в зависимости от отдела.

Подключение принтеров доменным пользователям через GPO

Создайте три новые группы безопасности в AD (prn_HPColorSales, prn_HPColorIT, prn_HPColorManagers) и добавьте в нее пользователей отделов (наполнение групп пользователей можно автоматизировать по статье “Динамические группы в AD”). Вы можете создать группы в консоли ADUC, или с помощью командлета New-ADGroup:

New-ADGroup "prnHPColorSales" -path 'OU=Groups,OU=Moscow,DC=corp,dc=winitpro,DC=ru' -GroupScope Global –PassThru

1. Запустите консоль редактора доменных политик (GPMC.msc), создайте новую политику prnt_AutoConnect и прилинкуйте ее к Organizational Unit (OU), в котором находятся целевые пользователи;

   Если у вас в домене используется небольшое количество сетевых принтеров (до 30-50), вы можете использовать одну GPO для установки всех принтеров. Если у вас сложная структура домена, есть сайты AD, используется делегирование прав администраторам филиалов, лучше создать несколько политик подключения принтеров. Например, по одной GPO для каждого сайта или OU.

2. Перейдите в режим редактирования политики и разверните секцию User Configuration -> Preferences -> Control Panel Setting -> Printers. Создайте новый элемент политики с именем Shared Printer;

   Если вы хотите подключать принтер по IP адресу (не через принт-сервер, а напрямую), выберите пункт TCP/IP Printer.

   

3. Действие – Update. В поле Shared Path укажите UNC адрес принтера, например,
   \\msk-prnt\hpcolorsales
   (в моем примере все принтеры подключены к принт-серверу
   \\msk-prnt
   ). Здесь же вы можете указать, нужно ли использовать этот принтер в качестве принтера по-умолчанию

   Вы можете опубликовать ваши принтеры в Active Directory. Для этого нужно включить опцию List in the Directory в настройках общего сетевого принтера на вкладке Sharing. В этом случае вы можете не указывать имя принетра вручную, а найти его поиском в AD. Просто нажмите кнопку с тремя точками при выборе принтера, нажмите кнопку Find now и выберите имя сетевого принтера из списка.

4. Перейдите на вкладку Common и укажите, что принтер нужно подключать в контексте пользователя (опция Run in logged-on user’s security context). Затем выберите опцию Item-level targeting и нажмите на кнопку Targeting;
5. С помощью нацеливания GPP вам нужно указать, что данная политика подключения принтера применялась только для членов группы prn_HPColorSales. Для этого нажмите New Item -> Security Group -> в качестве имени группы укажите prn_HPColorSales;

   Обратите внимание, что данное ограничение не запрещает любому пользователю домена подключить это принтер вручную в проводнике Windows. Чтобы ограничить доступ к принтеру, нужно изменить права доступа к нему на принт-сервере, ограничив возможность печати определенными группам.

6. Аналогичным образом создайте политики установки сетевых принтеров для других групп пользователей.

Есть еще старый раздел политик для настройки принтеров — Computer Configuration -> Policies -> Windows Settings -> Deployed Printers, однако этот метод установки принтеров пользователям не такой гибкий, как рассмотренный нами способ с помощью GPP.

При использовании такой групповой политики, новые принтера будут устанавливаться у пользователей, только если на их компьютерах уже установлен соответствующий принтеру драйвер печати (драйвера нужно предварительно установить вручную или интегрировать напрямую в образ Windows).

Если для данного принтера не установлен драйвер, то назначенный через GPO принтер не будет добавлен пользователю. При этом в журнале Event Log -> Application появится событие с Event ID 4096:

Source: Group Policy Printers
The user 'HPLaserJet4101' preference item in the 'prnt_AutoConnect {0D83EA70-0077-46A3-882A-C4FEED3DA489}' Group Policy Object did not apply because it failed with error code '0x800702e4 The requested operation requires elevation.' This error was suppressed.

Дело в том, что теперь пользователи Windows без прав администратора не могут установить принтера даже не смотря на настройки политики Point and Print Restriction.

Разрешить установку принтеров через GPO без прав администратора

В 2021 году в сервисе Print Spooler была обнаружена серьезная уязвимость (PrintNightmare CVE-2021-34527), для исправления которой Microsoft изменила поведение Windows при установке драйверов печати. Теперь пользователи без прав администратора не могут установить драйвера для принтера (KB5005033), в том числе с помощью параметра GPO Point and Print. Установку драйверов (подписанных и неподписанных) должны выполнять только пользователи с правами администратора.

Однако есть обходное решение, которое позволит обычным пользователям установить драйвера. Для этого нужно изменить вашу GPO установки принтеров.

1. Перейдите в раздел Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options и измените значение параметра Devices: Prevent users from installing printer drivers на Enabled;
2. Теперь перейдите в Computer Configuration -> Policies -> Administrative Templates -> System -> Driver Installation в параметре Allow non-administrators to install drivers for these device setup classes добавьте классы для устройства типа принтеры
   {4658ee7e-f050-11d1-b6bd-00c04fa372a7}
   и
   {4d36e979-e325-11ce-bfc1-08002be10318}
   . Это разрешит установку только драйверов печати;
3. Перейдите в раздел Computer Configuration -> Policies -> Administrative Templates -> Printers и включите политику Point and Print Restrictions. Здесь нужно указать список ваших принт-серверов (Users can only point and print to these servers), с которых разрешено устанавливать драйверы печати. В двух оставшихся параметрах выберите Don’t show warning or elevation prompt;
4. Добавьте список ваших доверенных прнит-серверов в параметр Package Point and print — Approved servers;
5. (Теперь самый важный пункт!!). Чтобы разрешить установку драйвера печати без прав админа нужно временно изменить значение параметра реестра RestrictDriverInstallationToAdministrators на 0.

На отдельном компьютере вы можете изменить этот параметр с помощью команды:
reg add "HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint" /v RestrictDriverInstallationToAdministrators /t REG_DWORD /d 0 /f

Чтобы изменить этот параметр реестра на компьютере через GPO, нужно создать правило GPP в разделе Computer (Configuration -> Preferences -> Windows Settings -> Registry. Создайте параметр реестра с настройками:

Action: Replace
Hive : HKEY_LOCAL_MACHINE
Key path: Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint
Value name : RestrictDriverInstallationToAdministrators
Type: REG_DWORD
Value: 0

В новых шаблонах административных ADMX файлов из Microsoft Security Baseline для этого параметра реестра добавлен отдельная опция GPO. Называется она Limits printer driver installation to Administrators (находится в разделе Computer Configuration -> Administrative Templates -> Printers).

Перейдите на вкладку Common и включите опцию Remove this item when it is no longer applied.

Теперь обновите настройки GPO на клиентах (перелогиньтесь или выполните
gpupdate /force
) и проверьте, что драйвера с принт-серверов теперь устанавливаются автоматически. В журнале Application должны появится события MsiInstaller вида:

EventID 1040
Beginning a Windows Installer transaction: C:\Windows\system32\spool\DRIVERS\x64\3\CIOUM64.MSI. Client Process Id: 7240.

Такая GPO позволит любому пользователю без прав администратора установить сетевые принтера из указанных серверов печати без запроса на повышения прав и уведомлений.

Обратите внимание, что таким образом можно установить только подписанные драйвера принтеров (Package-aware v3 print drivers). Для таких драйверов в консоли Printer Management (printmanagement.msc) в разделе Drivers должно быть указано Packaged=True. Подробнее об этом здесь https://winitpro.ru/index.php/2016/08/31/update-kb3170455-network-shared-printer-error/

Если вы попытаетесь установить через GPO принтер с неподписанным драйвером, он не будет установлен не смотря на параметр RestrictDriverInstallationToAdministrators:

The user 'BrotherDCP2540' preference item in the 'prnt_AutoConnect {GUID}' Group Policy Object did not apply because it failed with error code '0x80070bcb The specified printer driver was not found on the system and needs to be downloaded.' This error was suppressed.

Элемент предпочтения пользователь "BrotherDCP2540" в объекте групповой политики "Подключение принтеров {GUID}" не применен по причине ошибки с кодом '0x80070bcb Указанный драйвер принтера не найден в системе. Необходимо скачать драйвер.' Эта ошибка была отключена.

Раньше для установки и подключения принтеров пользователям мне приходилось использовать VBS /PowerShell скрипты, которые запускались как Startup скрипты GPO и возможности фильтрации групповых политик. Однако использовать Group Policy Preferences для установки принтеров пользователям намного проще.

Сервер Windows Server 2016 Core развернут в Hyper-V с динамической памятью 512Мб — 1536Мб. В финальном варианте виртуальная машина использует ~1200 Мб.

Напоминаю, основные настройки в Core выполняются через sconfig. Добавление роли выполняем через powershell (подробнее)

Install-WindowsFeature -name Print-Server, Print-Services -Restart

Далее запускаем консоль Управление печати и подключаемся к нашему серверу

.\printmanagement.msc /computer:srvpr1

Добавляем необходимые принтеры, драйверы для разных платформ. ВНИМАНИЕ! Крайне рекомендую использовать как можно чаще один и тот же драйвер для разных принтеров. К примеру для HP 426, HP 428 использовал HP Universal Printing PCL 6. Также следим, чтобы драйвер принтера был упакован (от этого в дальнейшем зависит возможность установить драйвер от имени пользователя)

Также вводим наши сервера печати

Раз уж зашли сюда, настроим сразу удобный поиск принтеров для пользователей.

Переходим в Конфигурация компьютера > Политики > Административные шаблоны > Принтеры > Заполнение строки поиска принтеров ВКЛЮЧЕНО

Задания уходят на печать, в журнале отметка что успешно завершено, между тем принтер не печатает.

Проверяем упакован ли драйвер. Если «false» — переходим в редактор реестра сервера печати HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Environments\Windows x64\Drivers\Version-3\ находим драйвер и увеличиваем значение ключа PrinterDriverAttributes на единицу. К примеру было «0», меняем на «1».

И перезагружаем службу «Диспетчер печати» (spooler)