В настоящее время мы запускаем среду Citrix XenApp с перемещаемыми профилями для наших пользователей и сервером печати Windows, чтобы предоставить развернутые сетевые принтеры всем пользователям в зависимости от того, какое местоположение (OU) им назначено.
Казалось, что все работает отлично до этой недели, когда у нас начались случайные проблемы с звонками пользователей, которые сообщали, что не видят свои сетевые принтеры. Первоначально мы смогли исправить ситуацию, удалив как их перемещаемый профиль из общего сетевого ресурса, так и локальные копии перемещаемого профиля на каждом сервере Citrix, к которому они подключались. Однако это оказалось одновременно утомительным и ненадежным решением, поскольку оно не всегда работает.
Сегодня я начал вникать в проблему еще больше и смог определить, что проблема не связана с Citrix, так как я могу реплицировать те же проблемы (сетевые принтеры не создаются) с помощью тестовой учетной записи, используя подключение к удаленному рабочему столу для сервер. Я искал возможное решение проблемы, но все, что я нашел до сих пор, оказалось бесполезным.
Одна странная оговорка заключается в том, что проблемы не затрагивают всех пользователей. Хотя кажется, что с каждым днем становится все хуже, поэтому я боюсь, что это утверждение может скоро измениться.
Немного о нашем окружении:
Шаги по устранению неполадок на данный момент:
Любые идеи / помощь будут оценены, так как я нахожусь на краю моей веревки, пытаясь понять это.
Заранее спасибо!
Похоже, это может быть связано с недавним обновлением Microsoft:
MS16-072: Обновление безопасности для групповой политики: 14 июня 2016 г.
Это обновление коренным образом меняет способ применения объектов групповой политики. Причина хорошо описана в этом фрагменте из Запись в блоге группы Microsoft Directory Services:
Когда групповая политика пользователя извлекается с использованием контекста безопасности компьютера, учетной записи компьютера теперь потребуется доступ на «чтение», чтобы получить объекты групповой политики (GPO), необходимые для применения к пользователю.
Рискну предположить, что затронутые пользователи установили это обновление на своих рабочих станциях или в пуле виртуальных машин.
Если у вас есть клиенты с этим обновлением, они не смогут применить пользовательские настройки, если на их рабочей станции нет Читать (не обязательно Подать заявление) разрешение на назначение вашего принтера GPO. Настройки безопасности по умолчанию включают это, но если вы настроили безопасность и удалили Прошедшие проверку пользователи со стороны безопасности у вас возникнут проблемы. Я действительно видел, что эта практика рекомендована в некоторых старых книгах как мера по оптимизации GPO, но теперь пора вырвать эту страницу.
Самое простое - предоставить Прошедшие проверку пользователи разрешение на чтение для GPO. Если вам нужно исправить много из них, у Microsoft есть Сценарий PowerShell что может помочь вам обновить их. Как обычно, сопоставьте эту информацию со своими потребностями. Если вам неудобно добавлять это разрешение ко всем Прошедшие проверку пользователи, тогда вам нужно будет найти или создать другую группу, чтобы назначить разрешения на чтение рабочим станциям.