使用组策略设置控制 Active Directory 中的打印机

  • 项目

本文介绍特定于管理打印机的策略,以及如何使用组策略设置管理 Active Directory 中的打印机。

适用于: Windows Server 2012 R2
原始 KB 编号: 234270

摘要

可以使用组策略设置启用或禁用与 Active Directory 打印机相关的设置。 所有组策略设置都包含在与 Active Directory 容器(站点、组织单位和域)关联的组策略对象中。 此结构可最大化和扩展 Active Directory。

本文介绍特定于管理打印机的策略,以及如何使用本地组策略编辑器启用或禁用打印机管理。

可在组策略设置中为打印机设置两种类型的配置:

  • 计算机配置
  • 用户配置

为计算机配置特定于打印机的设置

  1. 选择“开始”,依次指向“程序”、“管理工具”,然后选择“Active Directory 用户和计算机”

  2. 选择要管理的域(组织单位或域)的 Active Directory 容器。 右键单击该容器,然后选择“属性”

  3. 选择“组策略”选项卡,然后选择“新建”以新建组策略设置。

  4. 在本地组策略编辑器中,展开以下文件夹:

    • 计算机配置
    • 管理模板
    • Printers

可在“计算机配置”下启用以下设置:

  • 允许发布打印机:在目录中启用或禁用打印机的发布。

  • 允许打印后台处理程序接受客户端连接:控制打印后台处理程序是否接受客户端连接。 如果未配置策略,则在用户共享本地打印机或在打印机连接上打开打印队列之前,后台处理程序不会接受客户端连接。 此时,后台处理程序将开始自动接受客户端连接。

  • 允许修剪已发布的打印机:确定域控制器是否可以修剪(从 Active Directory 中删除)此计算机发布的打印机。 默认情况下,如果发布它们的计算机不响应联系人请求,域控制器上的修剪服务会从 Active Directory 修剪打印机对象。 当发布打印机的计算机重启时,它会重新发布任何已删除的打印机对象。

  • 在 Active Directory 中自动发布新打印机:默认情况下,此设置处于打开状态。 可以将其关闭,以便仅将选定的共享打印机放入目录中。

  • 检查已发布的状态:用于验证已发布的打印机是否已在 Active Directory 中发布。 默认情况下,已发布的状态未经过验证。

  • “打印机”文件夹左窗格中的“自定义支持 URL”: 此策略位专为管理员设计,用于为服务器添加自定义支持 URL。 如果未选择此位,“打印机”文件夹的导航窗格将显示所选打印机的 URL 以及供应商支持 URL(如果可用)。 如果已选择此位并提供了自定义的支持 URL,则前面提到的两个支持 URL 将替换为自定义 URL。 未选择默认值,这意味着没有自定义的支持 URL。

  • 计算机位置:指定搜索打印机时使用的默认位置条件。 此设置是 Windows 打印机位置跟踪功能的一个组件。 要使用此设置,请启用“预填充打印机搜索位置文本”设置来启用位置跟踪。 启用位置跟踪后,当用户搜索打印机时,系统会使用指定的位置作为条件。 在此处键入的值将替代正在执行搜索的计算机的实际位置。

    键入用户计算机的位置。 当用户搜索打印机时,系统使用指定的位置(和其他搜索条件)来查找附近的打印机。 还可以使用此设置将用户定向到希望他们使用的特定打印机或打印机组。

  • 目录修剪间隔:修剪间隔确定修剪器在检查已弃用PrintQueue对象之间休眠的时间段。 修剪器每小时读取修剪间隔值。

  • 目录修剪重试:设置修剪器在删除已弃用PrintQueue的对象之前尝试与打印服务器联系的次数PrintQueue

  • 目录删除优先级:设置删除线程的线程优先级。 删除线程仅在域控制器上运行,并负责从目录中删除过时的打印机。 有效值为 -2、-1、0、1 和 2,对应于从 THREAD_PRIORITY_LOWEST 到 THREAD_PRIORITY_HIGHEST。 默认值为 0。

  • 不允许使用内核模式驱动程序安装打印机:确定是否可以在本地计算机上安装使用内核模式驱动程序的打印机。 内核模式驱动程序有权访问系统范围的内存。 因此,写入不良的内核模式驱动程序可能会导致停止错误。

  • 日志目录删除重试事件:指定在域控制器上的删除服务尝试在删除计算机的打印机之前与计算机联系时是否记录事件。

    删除服务定期联系已发布打印机的计算机,以验证打印机是否仍可供使用。

    如果计算机未响应联系尝试,则会按指定的时间间隔重试尝试指定的次数。 目录删除重试设置确定重试尝试的次数。 默认值为两次重试。 目录删除间隔设置确定重试之间的时间间隔。 默认值为八小时。 如果计算机未响应最后一次联系尝试,则会从目录中删除打印机

  • 预先配置打印机搜索位置文本:启用 Windows 打印机的物理位置跟踪设置。

    使用位置跟踪为企业设计位置方案,并将计算机和打印机分配到方案中的位置。 位置跟踪替代用于查找和关联计算机和打印机的标准方法。 标准方法使用打印机的 IP 地址和子网掩码来估计其物理位置和与计算机的邻近性。 如果启用此设置,用户可以在不知道打印机位置或位置命名方案的情况下按位置浏览打印机。

    启用位置跟踪会在以下位置添加“浏览”按钮:

    • 添加打印机向导的打印机名称和共享位置屏幕
    • “打印机属性”对话框中的“常规”选项卡

    默认情况下,如果启用“组策略计算机位置”设置,则输入的默认位置将显示在“位置”字段中。

  • 打印机浏览:如果启用此设置,打印子系统将报出用于打印机浏览的共享打印机。 如果不希望打印子系统将共享打印机添加到浏览列表,请禁用此设置。 如果未配置此设置,则共享打印机不会添加到浏览列表(如果目录服务可用)。 如果目录服务不可用,则会添加。

  • 删除未自动重新发布的打印机:此设置确定是否可以从目录中删除打印机。 最好不配置此设置。 但是,如果发现打印机正在被删除,而发布打印机的计算机正在运行并且已连接网络, 则可以启用此策略防止在网络中断或仅间歇使用拨号链接的情况下删除已发布的打印机。 若要防止从 Active Directory 中删除打印机,请启用此策略,并保留在删除不再重新发布的打印机列表中的默认选择“从不”

  • 基于 Web 的打印: 此策略旨在让管理员完全禁用 Internet 打印。 选择此策略后,服务器上的共享打印机不会发布到 Web。 共享打印机都无法使用 HTTP 接受来自其他客户端的传入作业。 未选择默认。

Windows Server 2008 R2 中新的其他组策略对象

  1. 在域控制器上,选择“开始”,选择“管理工具”,然后选择“组策略管理”。 或者,选择“开始”,选择“运行”,键入GPMC.MSC,然后按“确定”
  2. 展开林,然后展开域。
  3. 在域下,选择要在其中创建此策略的 OU。
  4. 右键单击 OU,然后选择“在这个域中创建 GPO 并链接到此处”
  5. 命名 GPO,然后选择“确定”。 右键单击新创建的组策略对象,然后选择“编辑”打开组策略管理编辑器。
  6. 在组策略管理编辑器中,展开以下文件夹:
    • 计算机配置
    • 策略
    • 管理模板
    • 控制面板
    • Printers

可在“计算机配置”下启用以下额外设置:

  • 添加打印机向导 - 网络扫描页(托管网络):此策略设置当计算机可以访问域控制器时,添加打印机向导将在托管网络上的计算机上显示的每种类型的打印机的最大数目。 例如,企业网络上已加入域的笔记本电脑。

  • 添加打印机向导 - 网络扫描页(非托管网络):此策略设置当计算机无法访问域控制器时,添加打印机向导将在非托管网络上的计算机上显示的每种类型的打印机的最大数目。 例如,家庭网络上已加入域的笔记本电脑。

  • 始终在服务器上呈现打印作业:通过打印服务器打印时,确定客户端上的打印后台处理程序是自行处理打印作业,还是将其传递给服务器来执行此工作。 此策略设置仅影响到 Windows 打印服务器的打印。

  • 在独立进程中执行打印驱动程序:此策略设置确定打印后台处理程序是在独立进程中还是在单独的进程中执行打印驱动程序。 在一个或多个独立进程中加载打印驱动程序时,打印驱动程序故障不会导致打印后台处理程序服务失败。

  • 拓展“指向并打印”连接以搜索 Windows 更新:此策略设置允许你管理客户端计算机在何处搜索“指向并打印”驱动程序。 如果启用此策略设置,客户端计算机在无法从本地驱动程序存储和服务器驱动程序缓存中找到兼容的驱动程序后,将继续从 Windows 更新搜索兼容的“指向并打印”驱动程序。

  • 仅使用包指向并打印:此策略将客户端计算机限制为仅使用包指向并打印。 如果启用此设置,则用户只能指向并打印到使用包感知驱动程序的打印机。 使用包指向并打印时,客户端计算机将检查从打印服务器下载的所有驱动程序的驱动程序签名。

  • 替代打印驱动程序报告的打印驱动程序执行兼容性设置:此策略设置确定打印后台处理程序是否会替代打印驱动程序报告的驱动程序隔离兼容性。 这使得打印驱动程序在独立进程中执行,即使驱动程序不报告兼容性。

如果启用此策略设置,打印后台处理程序将忽略打印驱动程序报告的驱动程序隔离兼容性标志值。

  • 包指向并打印 - 核准服务器:将包指向并打印限制为仅使用核准服务器。 此策略设置将包指向并打印连接限制为仅使用核准服务器。 此设置仅适用于包指向并打印连接,独立于控制非包指向并打印连接行为的指向并打印限制策略。

    运行 Windows Vista 或更高版本 Windows 的客户端将在包指向并打印连接失败时尝试创建非包指向并打印连接。 这包括此策略阻止的尝试。 管理员可能必须同时设置这两个策略来阻止与特定打印服务器的所有打印连接。

    如果启用此设置,则用户只能包指向并打印到网络管理员核准的打印服务器。 使用包指向并打印时,客户端计算机将检查从打印服务器下载的所有驱动程序的驱动程序签名。

  • 指向并打印限制:此策略设置控制客户端的“指向并打印”行为,包括 Windows Vista 计算机的安全提示。 此策略设置仅适用于非打印管理员客户端,且仅适用于属于域的计算机。

    启用此策略设置后,以下条件适用:

    • Windows XP 和更高版本的客户端将仅从显式命名服务器列表中下载打印驱动程序组件。 如果客户端上有兼容的打印驱动程序,则会建立打印机连接。 如果客户端上没有兼容的打印驱动程序,则不会建立连接。

    • 可以配置 Windows Vista 客户端,以便在用户使用“指向并打印”时,或者打印机连接驱动程序需要更新时,不显示安全警告和提升的命令提示符。

      如果未配置策略设置,则以下条件适用:

    • Windows Vista 客户端计算机可以指向并打印到任何服务器。

    • 当用户使用“指向并打印”创建指向任何服务器的打印机连接时,Windows Vista 计算机将显示警告和提升的命令提示符。

    • 当需要更新现有打印机连接驱动程序时,Windows Vista 计算机将显示警告和提升的命令提示符。

    • Windows Server 2003 和 Windows XP 客户端计算机可以使用“指向并打印”创建指向林中任何服务器的打印机连接。

      禁用此策略设置时,以下条件适用:

    • Windows Vista 客户端计算机可以使用“指向并打印”创建指向任何服务器的打印机连接。

    • 当用户使用“指向并打印”创建指向任何服务器的打印机连接时,Windows Vista 计算机不会显示警告或提升的命令提示符。

    • 当必须更新现有打印机连接驱动程序时,Windows Vista 计算机不会显示警告或提升的命令提示符。

    • Windows Server 2003 和 Windows XP 客户端计算机可以使用“指向并打印”创建指向任何服务器的打印机连接。

    • 用户只能指向并打印到林中的计算机设置仅适用于 Windows Server 2003 和 Windows XP SP1(及更高版本的服务包)。

      关于“指向并打印”的更多信息,请参见以下文章:

      Windows 硬件开发人员中心存档

为用户配置特定于打印机的设置

  1. 选择“开始”,依次指向“程序”、“管理工具”,然后选择“Active Directory 用户和计算机”

  2. 选择要管理的域的 Active Directory 容器(组织单位或域)。 右键单击该容器,然后选择“属性”

  3. 选择“新建”以新建组策略。

  4. 在组策略编辑器中,展开以下文件夹:

    • 用户配置
    • 管理模板
    • 控制面板
    • Printers

可以在“用户配置”下配置以下设置:

  • 禁用打印机删除:阻止用户删除本地和网络打印机。 如果用户尝试删除打印机,例如在控制面板的打印机工具中使用“删除”命令,则 Windows 会显示一条消息,说明策略阻止了该操作。 但是,此策略不会阻止用户运行程序来删除打印机。

  • 禁用打印机添加:防止用户使用常见的方法添加本地和网络打印机。 此策略从“开始”菜单和控制面板中的“打印机”文件夹中删除“添加打印机”向导。 此外,用户无法通过将打印机图标拖动到“打印机”文件夹来添加打印机。 如果他们尝试使用此方法,则会显示一条消息,说明策略禁用了该操作。

    此策略不会阻止用户使用“添加/删除硬件”向导添加打印机。 也不会阻止用户运行程序来添加打印机。 此策略不会删除用户已添加的打印机。 但是,如果应用此策略时用户未添加打印机,则无法打印。

    注意

    可以使用打印机权限来限制打印机的使用,而无需设置策略。 在“打印机”文件夹中右键单击一个打印机,单击“属性”,然后单击“安全”选项卡。

  • 在“添加打印机”向导中显示下层页面:允许用户在“添加打印机”向导中浏览共享打印机的网络。 如果启用此策略,则当用户单击“添加网络打印机”但未输入特定打印机的名称时,“添加打印机”向导将显示网络上所有共享打印机的列表,并提示用户选择打印机。 如果禁用此策略,则用户无法浏览网络。 相反,他们必须输入打印机名称。

    此策略仅影响“添加打印机”向导。 它不会阻止用户使用其他工具浏览共享打印机或连接到网络的打印机。

  • 搜索打印机时的默认 Active Directory 路径:指定开始搜索打印机的 Active Directory 位置。

    “添加打印机”向导为用户提供了搜索共享打印机 Active Directory 的选项。 如果启用此策略,将从“默认 Active Directory 路径”框中指定的位置开始搜索。 否则,搜索从 Active Directory 的根目录开始。

    此策略为 Active Directory 搜索打印机提供开始位置。 它不会限制用户通过 Active Directory 进行搜索。

  • 为 Internet 打印机启用浏览:将 Internet 或 Intranet 网页的路径添加到“添加打印机”向导。

    可以使用此策略将用户定向到可从中安装打印机的网页。

    如果启用此策略并在文本框中输入 Internet 或 Intranet 地址,Windows 会将“浏览”按钮添加到“添加打印机”向导中的“查找打印机”页。 “浏览”按钮显示在“连接到 Internet 或公司 Intranet 上的打印机”选项旁边。 当用户单击“浏览”时,Windows 将打开 Internet 浏览器并导航到指定的地址以显示可用的打印机。

    通过此策略,用户可以轻松找到要添加的打印机。

参考

有关这些策略设置的详细信息,请单击每个策略设置中的“说明”选项卡。