使用组策略设置控制 Active Directory 中的打印机
09/08/2020
本文内容
本文介绍特定于管理打印机的策略,以及如何使用组策略设置来管理 Active Directory 中的打印机。
适用于: Windows Server 2012R2
原始 KB 编号: 234270
摘要
可以使用组策略设置启用或禁用 Active Directory 打印机相关设置。 所有组策略设置都包含在组策略对象中,这些对象与 Active Directory 容器 (站点、组织单位和域中) 。 此结构可最大化并扩展 Active Directory。
本文介绍特定于管理打印机的策略,以及如何使用本地组策略编辑器启用或禁用打印机管理。
可以在组策略设置中为打印机设置两种类型的配置:
计算机配置
用户配置
为计算机配置打印机特定设置
选择 "开始",指向 "程序",指向"管理工具",然后选择 "Active Directory 用户和计算机"。
选择要在组织单位或域域中管理 (Active Directory) 。 右键单击该容器,然后选择"属性 "。
选择" 组策略" 选项卡,然后选择" 新建 "以创建新的组策略设置。
在本地组策略编辑器中,展开以下文件夹:
计算机配置
管理模板
Printers
可以在"计算机配置"下启用 以下设置:
允许发布打印机: 启用或禁用目录中的打印机发布。
允许打印后台处理程序接受客户端连接: 控制打印后台处理程序是否接受客户端连接。 未配置策略时,后台处理程序将不接受客户端连接,除非用户共享本地打印机或在打印机连接上打开打印队列。 此时,后台处理程序将自动开始接受客户端连接。
允许打印已发布的打印机: 确定域控制器是否可以从 active Directory (由) 发布的打印机中删除。 默认情况下,如果发布打印机对象的计算机未响应联系人请求,域控制器上的打印服务会从 Active Directory 中收缩打印机对象。 当发布打印机的计算机重新启动时,它将重新发布任何已删除的打印机对象。
在 Active Directory 中自动发布新打印机: 默认情况下,此设置为打开状态。 可以将其关闭,以便仅将选定的共享打印机放入目录中。
检查已发布状态: 用于验证已发布的打印机是否发布在 Active Directory 中。 默认情况下,不验证已发布的状态。
打印机文件夹左窗格中的自定义支持 URL: 此策略位专为管理员设计,用于添加服务器的自定义支持 URL。 如果未选择此位,则"打印机"文件夹的导航窗格将显示所选打印机的 URL 以及供应商支持 URL(如果可用)。 如果选择此位并提供了自定义支持 URL,则上述两个支持 URL 将替换为自定义 URL。 未选择默认值,这意味着没有自定义的支持 URL。
计算机位置: 指定搜索打印机时所使用的默认位置条件。 此设置是打印机的位置跟踪功能Windows组件。 若要使用此设置,请通过启用预填充打印机搜索位置文本设置 来启用位置 跟踪。 启用位置跟踪时,系统会在用户搜索打印机时将指定位置用作条件。 您在此处键入的值将覆盖执行搜索的计算机的实际位置。
键入用户计算机的位置。 当用户搜索打印机时,系统将使用指定的位置 (和其他搜索条件) 附近查找打印机。 您还可以使用此设置将用户引导到希望用户使用的特定打印机或打印机组。
目录的修剪间隔: 修剪间隔确定执行者在检查放弃的对象之间睡眠 PrintQueue 的时间段。 修剪程序每小时读取一次修剪间隔值。
目录修剪重试: 设置在删除放弃的对象之前,打印程序尝试与打印服务器联系 PrintQueue PrintQueue 次数。
目录修剪优先级: 设置线程的线程优先级。 该线程仅在域控制器上运行,负责从目录中删除过时的打印机。 有效值为 -2、-1、0、1 和 2,对应于 THREAD_PRIORITY_LOWEST THREAD_PRIORITY_HIGHEST。 默认值为 0。
禁止使用内核模式驱动程序安装打印机: 确定是否可以在本地计算机上安装使用内核模式驱动程序的打印机。 内核模式驱动程序有权访问系统范围内的内存。 因此,编写不佳的内核模式驱动程序可能会导致停止错误。
日志目录修剪重试事件: 指定在域控制器上的修剪服务在打印计算机的打印机之前尝试与计算机联系时是否记录事件。
pruning Service 会定期联系已发布打印机的计算机,以验证这些打印机是否仍可供使用。
如果计算机没有响应联系人尝试,则尝试将重试指定的次数(以指定间隔)。 "目录修剪重试次数"设置确定重试尝试次数。 默认值为两次重试。 " 目录运行间隔 "设置确定重试之间的时间间隔。 默认值为 8 小时。 如果计算机未通过上一次联系人尝试进行响应,则从目录中修剪其打印机
预填充打印机搜索位置文本: 为打印机启用物理位置跟踪Windows设置。
使用位置跟踪为企业设计位置方案,并将计算机和打印机分配给方案中的位置。 位置跟踪会覆盖用于定位和关联计算机和打印机的标准方法。 标准方法使用打印机的 IP 地址和子网掩码估计其物理位置和与计算机的邻近度。 如果启用此设置,则用户可以按位置浏览打印机,而无需知道打印机的位置或位置命名方案。
启用位置跟踪将" 浏览 "按钮添加到以下位置:
" 添加打印机 "向导的 "打印机名称和共享位置" 屏幕
" 打印机 属性"对话框中的" 常规" 选项卡
默认情况下,如果启用组策略计算机位置设置,则输入的默认位置将显示在"位置 " 字段中。
打印机浏览: 如果启用此设置,打印子系统将宣布共享打印机用于打印机浏览。 如果不希望打印子系统将共享打印机添加到浏览列表中,请禁用此设置。 如果未配置此设置,则共享打印机不会添加到浏览列表中(如果目录服务可用)。 如果目录服务不可用,则添加它们。
不会自动重新发布的 Prune 打印机: 此设置确定是否可以从目录中修剪打印机。 最好保持此设置未配置状态。 但是,如果您发现即使发布打印机的计算机在运行并且位于网络上,您仍发现正在对打印机进行修剪,则您可以启用此策略,以防止在网络中断或仅在间歇性使用拨号链接的情况下删除发布的打印机。 若要防止从 Active Directory 中删除打印机,请启用此策略,并保留 "Prune 非重新发布打印机"列表中"从不"的默认选择。
基于 Web 的打印: 此策略位专为管理员设计,可完全禁用 Internet 打印。 选择此策略位后,不会将服务器上任何共享打印机发布到 Web。 而且,任何共享打印机均无法通过使用 HTTP 接受来自其他客户端的传入作业。 未选择默认值。
Windows Server 2008 R2 中新增的组策略对象
在域控制器上,选择"开始", 选择 "管理工具", 然后选择"组策略管理"。 或者,选择 **"开始",**选择"运行",键入 GPMC.MSC ,然后按 Enter。
展开林,然后展开域。
在域下,选择要创建此策略的 OU。
右键单击该 OU,然后选择" 在此域中创建 GPO",并在此处链接它。
为 GPO 命名,然后选择"确定 "。 右键单击新创建的组策略对象, 然后选择"编辑 "打开组策略管理编辑器。
在组策略管理编辑器中,展开以下文件夹:
计算机配置
策略
管理模板
控制面板
Printers
可以在"计算机配置"下启用以下 额外设置:
添加 打印机 向导 - 网络扫描页面 (托管网络) :此策略设置当计算机到达域控制器时,"添加打印机"向导将在托管网络的计算机上显示的每种类型的打印机的最大数量。 例如,企业网络上加入域的笔记本电脑。
添加打印机向导 - 网络扫描页面 (非托管网络 ) : 此策略设置当计算机无法到达域控制器时,"添加打印机"向导将在非托管网络的计算机上显示的每种类型的打印机的最大数量。 例如,家庭网络上加入域的笔记本电脑。
始终在服务器上呈现 打印作业:通过打印服务器打印时,确定客户端上的打印后台处理程序是处理打印作业本身,还是将其传递到服务器以执行该工作。 此策略设置仅影响打印Windows打印。
在隔离进程中执行 打印驱动程序:此策略设置确定打印后台处理程序是否在隔离或单独的进程中执行打印驱动程序。 在隔离进程或隔离进程中加载打印驱动程序时,打印驱动程序故障不会导致打印后台处理程序服务失败。
扩展点和打印连接以Windows更新:此策略设置允许你管理客户端计算机搜索点和打印驱动程序的什么位置。 如果启用此策略设置,客户端计算机将在无法从本地驱动程序存储和服务器驱动程序缓存中查找兼容的驱动程序后,继续搜索 Windows Update 中的兼容 Point 和 Print 驱动程序。
仅使用程序包点和打印:此策略限制客户端计算机使用程序包点并仅打印。 如果启用此设置,用户将只能指向和打印使用程序包感知驱动程序的打印机。 使用包点和打印时,客户端计算机将检查从打印服务器下载的所有驱动程序的驱动程序签名。
替代打印驱动程序报告的 打印驱动程序执行兼容性设置:此策略设置确定打印后台处理程序是否将覆盖打印驱动程序报告的驱动程序隔离兼容性。 即使驱动程序不报告兼容性,它也支持在隔离进程中执行打印驱动程序。
如果启用此策略设置,打印后台处理程序将忽略打印驱动程序报告的驱动程序隔离兼容性标志值。
包点和打印 - 批准的服务器:将包点和打印限制到批准的服务器。 此策略设置限制到已批准服务器的程序包点和打印连接。 此设置仅适用于"打包点"和"打印"连接,并且独立于控制非包点和打印连接的行为的"点"和"打印限制"策略。
运行 Vista Windows更高版本的 Windows 的客户端将尝试在包点和打印连接失败时建立非包点和打印连接。 这包括此策略阻止的尝试。 管理员可能必须设置这两个策略来阻止与特定打印服务器的所有打印连接。
如果启用此设置,则用户只能将点和打印到网络管理员批准的打印服务器。 使用包点和打印时,客户端计算机将检查从打印服务器下载的所有驱动程序的驱动程序签名。
点和打印限制:此策略设置控制客户端 Point 和 Print 行为,包括 Vista 计算机Windows提示。 策略设置仅适用于非打印管理员客户端,并且仅适用于作为域成员的计算机。
启用策略设置后,将获取以下条件:
WindowsXP 和更高版本的客户端将仅从显式命名的服务器列表中下载打印驱动程序组件。 如果兼容打印驱动程序在客户端上可用,将建立打印机连接。 如果兼容打印驱动程序在客户端上不可用,将不会建立连接。
您可以配置 Windows Vista 客户端,以便当用户点和打印时,或者需要更新打印机连接驱动程序时,不会出现安全警告和提升的命令提示。
未配置策略设置时,将获取以下条件:
WindowsVista 客户端计算机可以指向任何服务器并打印。
Windows当用户使用 Point 和 Print 创建到任何服务器的打印机连接时,Vista 计算机将显示一条警告和一个提升的命令提示符。
Windows当需要更新现有打印机连接驱动程序时,Vista 计算机将显示警告和提升的命令提示符。
Windows服务器 2003 和 Windows XP 客户端计算机可以使用 Point 和 Print 创建到林中任何服务器的打印机连接。
禁用策略设置后,将获取以下条件:
WindowsVista 客户端计算机可以使用 Point 和 Print 创建到任何服务器的打印机连接。
Windows当用户使用 Point 和 Print 创建到任何服务器的打印机连接时,Vista 计算机不会显示警告或提升的命令提示符。
Windows当必须更新现有打印机连接驱动程序时,Vista 计算机不会显示警告或提升的命令提示符。
Windows服务器 2003 和 Windows XP 客户端计算机可以使用 Point 和 Print 创建到任何服务器的打印机连接。
"用户只能 指向和打印林中的计算机"设置仅适用于 Windows Server 2003 和 Windows XP SP1 (及更高版本 service pack) 。
有关 Point 和 Print 详细信息,请参阅以下文章:
为用户配置打印机特定的设置
选择 "开始",指向 "程序",指向"管理工具",然后选择 "Active Directory 用户和计算机"。
选择要在组织单位或域中管理 (Active Directory) 。 右键单击该容器,然后选择"属性 "。
选择 "新建 "以创建新的组策略。
在组策略编辑器中,展开以下文件夹:
用户配置
管理模板
控制面板
Printers
可以在"用户配置"下配置 以下设置:
禁止删除打印机:防止用户删除本地和网络打印机。 如果用户尝试删除打印机(例如,通过使用"控制面板"中"打印机"工具中的"删除"命令Windows将显示一条消息,说明策略阻止该操作。 但是,此策略不会阻止用户运行程序来删除打印机。
禁止添加打印机:阻止用户使用熟悉的方法添加本地和网络打印机。 此策略从"开始"菜单和"控制面板"中的 "打印机"文件夹中删除"添加打印机"向导。 此外,用户无法通过将打印机图标拖动到"打印机"文件夹来 添加 打印机。 如果用户尝试使用此方法,则会出现一条消息,说明策略已禁用该操作。
此策略不会阻止用户使用"添加/删除硬件"向导添加打印机。 它也不会阻止用户运行程序来添加打印机。 此策略不会删除用户已添加的打印机。 但是,如果用户在应用此策略时尚未添加打印机,则他们无法打印。
备注
可以使用打印机权限来限制打印机的使用,而无需设置策略。 在" 打印机" 文件夹中,右键单击打印机,单击" 属性",然后单击"安全 " 选项卡。
在"添加打印机" 向导中显示下层页面:允许用户在"添加打印机"向导中浏览共享打印机的网络。 如果启用此策略,当用户单击"添加网络打印机"但不输入特定打印机的名称时,"添加打印机"向导将显示网络上所有共享打印机的列表,并提示用户选择打印机。 如果禁用此策略,用户将无法浏览网络。 相反,它们必须输入打印机名称。
此策略仅影响"添加打印机"向导。 它不会阻止用户使用其他工具浏览共享打印机或连接到网络打印机。
搜索打印机时的默认 Active Directory 路径:指定开始搜索打印机的 Active Directory 位置。
通过"添加打印机"向导,用户可以选择在 Active Directory 中搜索共享打印机。 如果启用此策略,这些搜索将从"默认 Active Directory 路径"框中指定的位置开始。 否则,搜索将从 Active Directory 的根目录开始。
此策略为 Active Directory 搜索打印机提供了一个起点。 它不限制用户通过 Active Directory 进行搜索。
允许浏览 Internet 打印机:将 Internet 或 Intranet 网页的路径添加到"添加打印机"向导。
可以使用此策略将用户引导到可以安装打印机的网页。
如果启用此策略,在文本框中输入 Internet 或 Intranet 地址,Windows"添加打印机"向导中的"定位打印机"页添加"浏览"按钮。 The Browse button appears beside the 连接 to a printer on the Internet or your Company's Intranet option. 当用户单击"浏览"Windows将打开 Internet 浏览器并导航到指定地址以显示可用的打印机。
通过此策略,用户可以轻松找到希望其添加的打印机。
参考
有关这些策略设置详细信息,请单击每个策略设置的 "说明 "选项卡。