GPO und Drucker
Allen Vorhersagen zum Trotz arbeiten wir noch immer nicht in einem "papierlosen" Büro und da "Ausdrucken" oft immer noch sehr wichtig ist. Über Windows Gruppenrichtlinien können Sie zumindest Domain-Mitgliedern
Kurzfassung
Es wäre hilfreich, wenn Sie vorab die umfangreiche Seite zum Thema Gruppenrichtlinien gelesen hätten. Aber wenn Sie es eilig haben, dann reichen folgende Kernaussagen:
- Gruppenrichtlinien dienen der erzwungenen Konfiguration von
Clients anhand zentraler Vorgaben
Diese erstellt ein Gruppenrichtlinien-Administrator pro Windows Domäne und weist sie Benutzern und Computern zu. - Der Computer-Teil einer Gruppenrichtlinie wird auf Computer
zugewiesen.
Dazu ermittelt jeder Computer beim Start und ca. alle 45 Minuten seine OU des Computerobjekts im Active Directory und liest die direkt oder über Vererbung zugewiesenen Gruppenrichtlinien-Objekte. Die Einstellungen liest er dann aus den passenden Konfigurationsdateien aus dem SYSVOL-Share. Wenn Sie eine Richtlinie nur auf Computer anwenden, dann sind Einstellungen im Benutzerzweig wirkungslos (Ausnahme Loopback ist aktiviert) - Der Benutzer-Teil wird anhand des angemeldeten Benutzers
ermittelt.
Hier zählt die OU des Benutzer-Objekts als Kriterium, welche Richtlinien auf den Benutzer aus dem Benutzerzweig angewendet werden. Einstellungen aus "Computer Konfiguration" der Richtlinie kommen nicht zur Anwendung (Ausnahme Loopback) - ACL und WMI-Filterung
Zusätzlich kann ein Administrator über Berechtigungen steuern, dass z.B. nur Mitglieder eine Gruppe eine Richtlinie erhalten. Auch WMI-Anfragen, z.B. auf CPU, RAM, Betriebssystem etc. sind möglich aber werden eher selten genutzt, da sie langsam sind und die Abfragesprache fehleranfällig ist. - Loopback überstimmt Benutzereinstellungen des Benutzers
durch Einstellungen am Computer
Zuletzt gibt es eine Option, die z.B. für "Shared Computer" oder Terminal Server genutzt wird, damit die Einstellungen aus "User Konfiguration" aus der dem Computer zugewiesenen Richtlinie auf den Benutzer an diesem Computer gilt. Die "Lookback-Funktion" ist aber global für den Computer und nicht pro Gruppenrichtlinie wirksam.
Mit dem Grundwissen um Gruppenrichtlinien können wir nun die verschiedenen Einstellmöglichkeiten betrachten.
Hinweis: Diese Beschreibung ist nicht zutreffend, wenn sie Lösungen wie "FollowMePrint" o.ä. einsetzen, bei denen Sie auf einen generischen Drucker ausdrucken und dann an jedem beliebigen Drucker sich den Ausdruck ausgeben lassen können.
Deployed Printer
Wir starten die Group Policy Management Console und legen entweder eine neue GPO an oder bearbeiten eine vorhandene GPO.
Tipp: Lassen sie die "Default Domain Policy" und die "Default Domain Controller Policy" bitte in Ruhe und nutzen sie besser eine eigene GPO, die sie auf eine Test-OU binden, in der es dann einen Testclient und Testuser zur Überprüfung gibt.
Wenn Sie den Baum öffnen, dann sehen Sie an zwei Stellen den Eintrag "Deployed Printers". Sie können hier einfach Drucker eintragen, die im Netzwerk über einen Druckserver erreichbar sind.
In einer Richtlinie können sie auch mehrere Drucker angeben. Es müssen aber "Netzwerkdrucker" sein, die z.B. über einen Windows Printserver angesprochen werden können, Sie können hier keine Drucker verteilen, die ein Client selbst direkt per LPR (515/TCP) oder Port 9100/TCP anspricht oder lokal z.B. per USB oder vielleicht noch parallele Schnittstellen ansteuert.
Die Filterung nach Benutzer, Abteilungen, Büroräumen ist hier allerdings nur möglich, wenn Sie für jede Kombination eine eigene Gruppenrichtlinie anlegen. Das kann im Extremfall dazu führen, dass sie für jeden Netzwerkdrucker eine eigene Gruppenrichtlinie anlegen und auf die verschiedenen OUs an die Geräte oder die Benutzer zuweisen. Das geht aber ist nicht besonders hübsch.
Vergessen Sie dabei nicht, dass es nicht damit getan ist, die Richtline dem PC oder Anwender zuzuweisen, Auf dem Druckerserver muss der Anwender dann natürlich auch die Berechtigungen zu Drucken haben. Ich gehe mal davon aus, dass Sie bei der Einrichtung des Druckers auf dem Server und der Freigabe nicht "EVERYONE:PRINT" eingetragen haben. Das Risiko ist dann doch sehr hoch, dass ein Anwender vertrauliche Daten aus versehen auf einem fremden Drucker ausgibt und die Informationen nicht nur nicht mehr auffindbar sind, sondern in fremde Hände fallen können. Zu oft habe ich gesehen, dass Ausdrucke neben den Drucker gelegt werden in der Hoffnung, dass der eigentliche Anwender diese noch abholt.
Sie könnten die Berechtigung z.B. über Windows Sicherheitsgruppen vergeben, die sie dann auch bei der Gruppenrichtlinie als Berechtigung hinterlegen. Ich würde dennoch nicht zu viele GPOs auf die Domain legen und dann nur über die Gruppenmitgliedschaft filtern. Das kann den Start durchaus verlängern.
Preferences
Mit dem Zukauf einer Drittsoftware hat Microsoft aber mittlerweile eine zweite Stelle, über die sie Drucker an Clients verteilen können:
Diese Funktion ist deutlich leistungsfähiger, da ich nicht nur Netzwerkdrucker über einen UNC-Pfad bereitstellen sondern auch lokale Drucker z.B. per LPR direkt bereitstellen kann. Auch hier kann ich mehrere Drucker über eine Gruppenrichtlinie zusammenfassen. Über die Funktion "Item-level targeting" kann ich aber zusätzlich pro Drucker noch weitere Filter anwenden und die sind sehr umfangreich.
Natürlich fällt mir hier zuerst wieder "Organization Unit" ein. Viele Firmen haben eine "OU=Mitarbeiter" unter der es dann weiter OUs für die verschiedenen Fachabteilungen gibt. Dann bietet es sich an die Gruppenrichtlinie auf die "OU=Mitarbeiter" zu binden und die verschiedenen Drucker über die individuelle OU der Fachabteilungen zuzuweisen.
Wenn ich im Zweig "User Configuration" bin und einen Drucker auswähle, dann kann ich bei "Organization Unit" zwischen "Computer" und "User" wählen. So kann ich anhand des Computers die naheliegenden Drucker zuweisen. Das funktioniert natürlich nur mit ortsfesten Computern. Wenn ich den Drucker allerdings direkt über die "Computer Configuration" zuweise, dann ist die Auswahl der User-OU nicht möglich. Zu dem Zeitpunkt der Ausführung ja noch nicht klar ist, welcher Anwender sich danach anmeldet.
Interessant kann aber auch ein Targeting anhand des Subnetz sein. Wenn z:B. jede Abteilung oder jedes Stockwerk ein eigenes VLAN mit Subnetz hat, dann ist dies eine effektive Option einen lokalen Drucker zu konfigurieren ohne gleich viele AD-Sites anzulegen.
- Preference Item-Level Targeting Using the GPMC
https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/dn789189(v=ws.11) - GPO Item Level Targeting Secrets That Will Blow Your Mind
https://www.policypak.com/resources/pp-blog/gpo-item-level-targeting/
AD veröffentliche Drucker
Schon länger gibt es den Weg, einen Netzwerkdrucker auch im Active Directory als Objekt zu veröffentlichen. Das hat aber nichts mit Gruppenrichtlinien zu tun, sondern erlaubt es den Anwendern nach Druckern zu "suchen" und diese alleine zu installieren, Windows macht zwar einen recht guten Job im Netzwerk nach Druckern zu suchen, aber das funktioniert nur im gleichen Subnetz aber nicht über Router hinaus. Oft ist es auch gar nicht gewünscht, dass Anwender quasi in "Plug and Play"-Manier sich eigene Drucker suchen.
AzureAD Joined/Intune
Wenn ihr Computer nicht Mitglied in einem Active Directory ist, dann gibt es natürlich keine Gruppenrichtlinien. Aber alles, was eine Gruppenrichtlinie umsetzt, können Sie natürlich auch über andere Wege erreichen. Einige Einstellungen, wie z.B. Netzwerk-Drucker, kann der Anwender selbst vornehmen. Lokale Drucker kann er meist sowieso per PNP selbst einrichten.
Ansonsten müssen Sie etwas "skripten"
- How to install printers with PowerShell
https://www.pdq.com/blog/using-powershell-to-install-printers/ - Guide: Intune Printer Deployment
https://www.edugeek.net/forums/cloud-services/234023-intune-printer-deployment-guide.html - Install-Printer.ps1
https://github.com/MSEndpointMgr/Intune/blob/master/Windows%2010/Install-Printer.ps1 - Remove-Printer
https://github.com/MSEndpointMgr/Intune/blob/master/Windows%2010/Remove-Printer.ps1 - Microsoft Universal Print
https://www.microsoft.com/en-us/microsoft-365/windows/universal-print
Weitere Links
- Gruppenrichtlinien
- Use Group Policy settings to control printers in Active
Directory
https://learn.microsoft.com/en-us/troubleshoot/windows-server/printing/use-group-policy-to-control-ad-printer - Preference Item-Level Targeting Using the GPMC
https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/dn789189(v=ws.11) - Gruppenrichlinien.de
Drucker verteilen und bereitstellen https://www.gruppenrichtlinien.de/artikel/drucker-verteilen-und-bereitstellen
Drucker verteilen - Besser wird es nicht https://www.gruppenrichtlinien.de/artikel/drucker-verteilen-besser-wird-es-nicht
Bereitgestellte Drucker - Drucker Veröffentlichung https://www.gruppenrichtlinien.de/artikel/bereitgestellte-drucker-drucker-veroeffentlichung
Anmelde Skript: Druckerzuweisung per Computername https://www.gruppenrichtlinien.de/artikel/anmelde-skript-druckerzuweisung-per-computername - GPO Item Level Targeting Secrets That Will Blow Your Mind
https://www.policypak.com/resources/pp-blog/gpo-item-level-targeting/