Hãy xem cách tự động cài đặt và kết nối máy in với người dùng, máy tính và nhóm cụ thể trong miền Active Directory bằng Chính sách Nhóm (GPO). Rất tiện lợi khi các máy in có sẵn (được gán) được tự động cài đặt và kết nối khi người dùng đăng nhập lần đầu vào máy tính miền.
Hãy xem xét cấu hình sau:có 3 phòng ban trong tổ chức. Người dùng của từng bộ phận phải in tài liệu trên máy in mạng dùng chung màu riêng. Với tư cách là quản trị viên, bạn phải định cấu hình việc triển khai tự động máy in mạng cho người dùng tùy thuộc vào bộ phận của họ.
Hướng dẫn này giả định việc sử dụng Tùy chọn Chính sách Nhóm - một phần mở rộng của GPO đã được giới thiệu trong Windows Server 2008. Hướng dẫn này sẽ áp dụng cho môi trường AD với cấp miền của ít nhất là Windows Server 2008 và máy khách ít nhất là Windows XP SP3 trở lên .
Triển khai Máy in cho Người dùng qua Chính sách Nhóm
Tạo ba nhóm bảo mật mới trong AD ( SharedPrinter_Sales , SharedPrinter_IT , SharedPrinter _Managers ) và thêm người dùng bộ phận vào họ (bạn có thể tự động thêm người dùng vào nhóm miền bằng cách làm theo bài viết “Tạo nhóm động trong Active Directory”). Bạn có thể tạo nhóm trong bảng điều khiển Máy tính &Người dùng Active Directory hoặc sử dụng lệnh ghép ngắn New-ADGroup:
New-ADGroup "SharedPrinter_Sales" -path 'OU=Groups,OU=Paris,DC=woshub,DC=com' -GroupScope Global –PassThru
- Chạy trình chỉnh sửa Chính sách Nhóm miền (
GPMC.msc), tạo chính sách mới print_AutoConnect và liên kết nó với OU với người dùng.
Nếu bạn có một số lượng nhỏ máy in mạng dùng chung trong miền của mình (tối đa 30-50), bạn có thể cấu hình chúng bằng cách sử dụng GPO duy nhất. Nếu bạn có cấu trúc miền phức tạp và bạn đang ủy quyền một số nhiệm vụ quản trị AD cho quản trị viên chi nhánh, tốt hơn là tạo một số chính sách triển khai máy in. Ví dụ:một chính sách cho mỗi trang AD hoặc đơn vị tổ chức. - Đi tới chế độ chỉnh sửa chính sách và mở rộng Cấu hình người dùng -> Tùy chọn -> Cài đặt bảng điều khiển -> Máy in . Tạo một mục chính sách mới bằng cách chọn Mới -> Máy in dùng chung ; Nếu bạn muốn kết nối máy in bằng địa chỉ IP (trực tiếp, không cần máy chủ in), hãy chọn Máy in TCP / IP .
- Chỉ định Cập nhật như một hành động. Trong Đường dẫn được chia sẻ , hãy nhập địa chỉ UNC của máy in của bạn, ví dụ:
\\srv-par-print\hpsales(trong trường hợp của tôi, tất cả các máy in được kết nối với máy chủ in tập trung\\srv-par-print). Tại đây bạn có thể chỉ định có sử dụng máy in này làm máy in mặc định hay không;
- Đi tới Chung và chỉ định rằng máy in phải được kết nối trong ngữ cảnh người dùng hiện tại ( Chạy trong ngữ cảnh bảo mật của người dùng đã đăng nhập ). Ngoài ra, hãy kiểm tra Nhắm mục tiêu cấp mục và nhấp vào Nhắm mục tiêu .
- Sử dụng nhắm mục tiêu GPP, bạn phải chỉ định rằng chính sách này chỉ được áp dụng cho các thành viên nhóm SharedPrinter_Sales. Để thực hiện, hãy chuyển đến Mục mới -> Nhóm bảo mật và nhập SharedPrinter_Sales dưới dạng tên nhóm.
Xin lưu ý rằng hạn chế này không ngăn người dùng miền kết nối máy in này theo cách thủ công bằng Windows File Explorer. Để hạn chế quyền truy cập vào máy in, bạn sẽ phải thay đổi quyền bảo mật máy in trên máy chủ in và chỉ cho phép in đối với các nhóm cụ thể. - Theo cách tương tự, hãy tạo các chính sách kết nối máy in cho các nhóm người dùng khác;
Khi sử dụng Chính sách Nhóm triển khai máy in này, các máy in mới sẽ chỉ được kết nối trên máy tính của người dùng nếu trình điều khiển máy in tương ứng được cài đặt. Tuy nhiên, vấn đề là người dùng không phải quản trị viên không có quyền cài đặt trình điều khiển in. Trong trường hợp này, bạn cần định cấu hình chính sách Hạn chế Điểm và In.
Định cấu hình Chính sách Hạn chế In và Điểm để Cài đặt Máy in
Để kết nối chính xác máy in cho bất kỳ người dùng nào, bạn sẽ phải định cấu hình chính sách Hạn chế Điểm và In, cũng như địa chỉ của máy chủ in mà từ đó người dùng được phép cài đặt trình điều khiển và máy in.
Tôi sẽ nhắc bạn rằng vì lý do bảo mật, Microsoft đã hạn chế cài đặt trình điều khiển máy in v3 không nhận dạng gói từ năm 2016. Xem bài viết Không thể cài đặt trình điều khiển in không nhận dạng gói.Nếu bạn kết nối máy in của mình bằng Chính sách cấu hình người dùng, hãy đi tới Cấu hình người dùng -> Chính sách -> Mẫu quản trị -> Bảng điều khiển -> Máy in -> Máy in -> Hạn chế điểm và in . Bật chính sách và định cấu hình nó như sau:
- Người dùng chỉ có thể trỏ và in tới các máy chủ này - chỉ định danh sách máy chủ in mà người dùng có thể cài đặt trình điều khiển (tên FQDN được chỉ định bằng dấu chấm phẩy làm dấu phân tách);
- Khi cài đặt trình điều khiển cho kết nối mới -> Không hiển thị cảnh báo hoặc nhắc nhở về độ cao;
- Khi cài đặt trình điều khiển cho kết nối hiện có -> Không hiển thị cảnh báo hoặc nhắc nhở độ cao.
Ngoài ra, hãy bật Điểm đóng gói và in - Máy chủ được phê duyệt trong phần GPO Cấu hình người dùng -> Chính sách -> Mẫu quản trị -> Bảng điều khiển -> Máy in và đặt danh sách các máy chủ in đáng tin cậy.
Sau khi bạn khởi động lại máy tính, máy in mạng chia sẻ được chỉ định sẽ tự động được cài đặt và kết nối khi đăng nhập người dùng.
Trước đây, để cài đặt và kết nối máy in của người dùng, tôi phải sử dụng tập lệnh .bat và PowerShell. Các tập lệnh này cần được chạy dưới dạng tập lệnh Startup GPO và có thể sử dụng tính năng Lọc Chính sách Nhóm để nhắm mục tiêu cài đặt máy in. Tuy nhiên, theo ý kiến của tôi, việc sử dụng GPP để triển khai máy in sẽ dễ dàng hơn nhiều.