Назад | Перейти на главную страницу

Массовое обновление групповой политики, возможно со скриптами

Приносим извинения за длинную преамбулу и заранее благодарим того, кто смог все это прочитать.

У меня около 60 сетевых принтеров. Кто-то находится в штаб-квартире, кто-то в удаленных местах (от 1 до 300 км от штаб-квартиры). В некоторых местах есть принт-серверы, в некоторых нет. Места без PS обслуживаются сервером печати HQ. Принтеры назначаются через GPO / пользователь / настройки / панель управления. Их невозможно развернуть через GPO, потому что наш «главный штаб» (ИТ-отдел верхнего уровня) запретил администраторам сайтов создавать свои собственные GPO, мы можем использовать только ограниченное количество GPO и написать множество подобных правил GPO для подключения принтеров и общих ресурсов. конкретным группам пользователей.

Например, у бухгалтерии есть внутренний номер 008. Тогда все члены группы dept_008 должны иметь полный доступ к общему ресурсу «docs_008» и к двум принтерам (MFU), например prn015 и prn027: бухгалтерия занимает две большие комнаты. (prn015 находится в комнате № 310, а prn027 находится в № 312) и есть один MFU на комнату. Названия отделений и устройств не имеют отношения к номерам комнат

Я создал 4 (четыре!) Группы для управления этими принтерами:

  1. Группа dept_008 является членом групп use_prn015 и use_prn027, чтобы подключить оба принтера ко всем работникам 008: в случае отказа одного MFU они могут продолжить печать и сканирование на MFU в соседней комнате.
  2. У рабочих в комнате №310 будет принтер prn015 по умолчанию, а в комнате №312 - prn027 по умолчанию. Тогда некоторые из рабочих dept_008 являются членами use_prn015def, а некоторые другие находятся в use_prn027def, где def означает «принтер по умолчанию».

Наши руководители думают, что конечный пользователь слишком занят, чтобы заставить его / ее учиться «как выбрать принтер по умолчанию» - они думают, что это, должно быть, головная боль ИТ-отдела. Затем правила GPO обрабатывают ситуацию: «если пользователь находится в use_XXXdef, тогда подключите prnXXX и сделайте его принтером по умолчанию, в противном случае, если пользователь находится в use_XXX, тогда подключите prnXXX и не делайте его по умолчанию, иначе не подключайте prnXXX вообще».

И у меня около 120 правил, потому что GPO недостаточно гибок, чтобы разрешить условное соединение по умолчанию / не по умолчанию: я могу (в одном правиле) подключить принтер по умолчанию или как нестандартное.

Спасибо, что дочитали до этого места. Это конец преамбулы.

Теперь мы купили prn030 взамен устаревшего prn015. Prn015 все еще находится в хорошем состоянии, и он заменит устаревший prn001 в отдаленных местах. Имя принтера является постоянным: принтер будет иметь это имя на протяжении всего срока службы - 3 цифры в имени позволяют нам создавать достаточно уникальных имен :-) Но теперь этот принтер должен управляться другим принт-сервером (например, ps002), который находится в этом далеком месте. И я должен изменить правила GPO, чтобы подключить ps002 \ prn015 вместо ps002 \ prn001 и psHQ \ prn015.

Это нормально, когда один принтер перемещается за месяц-два. Но иногда требуется переместить гораздо больше принтеров на другой сервер печати, и это настоящая головная боль - переписать все эти правила и переназначить принтеры на серверах печати.

Хорошо, я могу управлять каждым принтером с каждым сервером печати, отключая принтеры, которые не находятся в том же месте, что и сервер печати. (например, удаленный ps002 имеет предварительно определенный общий принтер prn030, но не будет его обслуживать) Но правила повторной записи ... OMG!

Я не смог найти полезного ответа о том, как переписать эти правила GPO без тысяч щелчков мышью в редакторе управления GP: я понятия не имею, как написать сценарий этого процесса, например, предоставив список из двух столбцов какой-то программе, которая сделает модификации, необходимые для замены всех "psHQ" на "psHQ1", "psHQ \ prn015" на "ps002 \ prn015" во ВСЕХ правилах во ВСЕХ применимых объектах групповой политики и т. д. Возможно ли - изменить правила GPO без графического интерфейса пользователя?

Более того, мой босс мечтает об автоматическом выборе PS относительно места входа пользователя. Например, если пользователь из location002 вошел в систему (домен AD) на компьютере locationHQ, он должен получить свой «новый» prn015, но он должен получить psHQ \ prn015 вместо ps002 \ prn015 - кто-то убедил его непоколебимо, что такое соединение (локальный ПК - локальный PS - удаленный принтер) будет работать быстрее, чем (локальный ПК - удаленный PS - удаленный принтер). Я могу сделать это с помощью дополнительных сложных правил GPO, но я врежусь головой о стену, если представлю, какое количество правил я должен написать ...

Итак, у меня есть только два варианта:

  1. написать скрипт входа на много миль, который будет обрабатывать все и всевозможные конфигурации
  2. создать достаточно правил GPO для того же

Я предпочитаю правила GPO. Есть предложения по автоматическому созданию / изменению этих правил?

Спасибо!

Для массового редактирования UNC общих принтеров:
В GPMC резервное копирование GPO. В каталоге резервных копий будет файл с именем «printers.xml». Используйте блокнот для поиска / замены «\\ serverX \ printer1» на «\\ serverY \ printer1». Вернувшись в GPMC, восстановите этот GPO. Он прочитает измененный XML, и ваши изменения будут внесены.

Подключения принтера в зависимости от места входа в систему:
У вас есть разные сайты AD для представления этих местоположений? Политики могут быть связаны с объектами сайта AD. Вы можете дополнить и / или заменить объекты групповой политики принтера на основе подразделения на объекты групповой политики, связанные с объектами сайта AD. В консоли управления групповыми политиками щелкните правой кнопкой мыши узел сайтов, выберите Показать сайты, выберите несколько сайтов, щелкните сайт правой кнопкой мыши и выберите Связать существующий объект групповой политики. Другой вариант - использовать «нацеливание на уровень элемента» в принтерах GPPref. ILT может использовать сайты AD (если они у вас есть) или диапазоны подсетей рабочих столов (если у вас нет сайтов). Если ваши права ограничены, ИТ-поддержка следующего уровня, вероятно, должна обрабатывать подключения принтеров на месте.