让我们看看如何使用组策略(GPO)自动安装打印机并将其连接到Active Directory域中的特定用户、计算机和组。当用户第一次登录到域计算机时，自动安装并连接可用的(分配的)打印机是非常方便的。

考虑以下配置：组织中有3个部门。各部门用户必须在自己的彩色共享网络打印机上打印文件。作为管理员，我们必须根据用户所在部门配置网络打印机的自动部署。

本指南假定使用组策略首选项-WindowsServer2008中引入的GPO的扩展。本指令适用于域级别至少为Windows Server 2008的AD环境，以及至少为Windows XP SP3及更高版本的客户端。

通过组策略向用户部署打印机

在AD(SharedPrinter_Sales，SharedPrinter_IT，SharedPrinter\u Managers)中创建三个新的安全组，并将部门用户添加到其中(我们可以按照“在Active Directory中创建动态组”一文自动将用户添加到域组中)。我们可以在Active Directory用户和计算机控制台中或者使用New-ADGroup cmdlet创建组：

New-ADGroup "SharedPrinter_Sales" -path 'OU=Groups,OU=Paris,DC=theitroad,DC=com' -GroupScope Global –PassThru

运行域组策略编辑器(

GPMC.msc

)，创建一个新策略 打印自动连接并与用户链接到OU。如果域中有少量共享网络打印机(最多30-50台)，则可以使用单个GPO配置它们。如果我们有一个复杂的域结构，并且我们要将一些AD管理任务委派给分支管理员，则最好创建多个打印机部署策略。例如，每个AD站点或者OU都有一个策略。

进入策略编辑模式，展开 用户配置->首选项->控制面板设置->打印机。通过选择 新建->共享打印机新建一个策略项；如果要通过IP地址连接打印机(直接连接，不需要打印服务器)，请选择 TCP/IP打印机。

指定 更新为动作。在 共享路径字段中，输入打印机的UNC地址，例如，

\srv-par-print\hpsales

(在我的情况下，所有打印机都连接到集中式打印服务器

\srv-par-print

). 在这里我们可以指定是否使用此打印机作为默认打印机；

进入 常用页签，指定打印机必须在当前用户上下文中连接( 运行登录用户的安全上下文。同时勾选 项目级别目标选项，点击 目标设定。

使用GPP目标，必须指定仅对SharedPrinter\u销售组成员应用策略。要执行此操作，请进入 新项目->安全组并输入SharedPrinter_Sales作为组名。请注意，此限制不会阻止域用户使用Windows文件资源管理器手动连接此打印机。要限制对打印机的访问，我们必须更改打印服务器上的打印机安全权限，并只允许特定组进行打印。

以同样的方式为其他用户组创建打印机连接策略；

还有一个旧的GPO部分来配置打印机：计算机配置->策略->Windows设置->部署的打印机，但是这种方法不如上面描述的使用GPP的方法灵活。

使用此打印机部署组策略时，只有安装了相应的打印机驱动程序，新打印机才会连接到用户计算机上。但是，问题是非管理员用户没有安装打印驱动程序的权限。此时需要配置 点打印限制策略

配置点和打印限制策略以安装打印机

要为任何用户正确连接打印机，我们必须配置点和打印限制策略，以及允许用户从中安装驱动程序和打印机的打印服务器的地址。

我会提醒你，出于安全原因，自2015年以来，微软一直限制安装无软件包意识的v3打印机驱动程序。请参阅文章“无法安装不支持软件包的打印驱动程序”。

如果使用用户配置策略连接打印机，请转到 用户配置->策略->管理模板->控制面板->打印机->打印机->点和打印限制。启用策略并按如下方式配置它：

用户只能指向并打印到这些服务器–指定用户可以从中安装驱动程序的打印服务器列表(FQDN名称以分号作为分隔符指定)；

安装新连接驱动器时->不显示警告或者上升提示；

安装现有连接驱动器时->不显示警告或者提升提示。

同时，在GPO部分 用户配置->策略->管理模板->控制面板->打印机中启用 包点和打印-批准的服务器策略，并设置受信任的打印服务器列表。

重新启动计算机后，分配的共享网络打印机将在用户登录时自动安装和连接。

以前，要安装和连接用户的打印机，我必须使用.bat和PowerShell脚本。这些脚本需要作为启动GPO脚本运行，组策略筛选可用于针对打印机安装。然而，在我看来，使用GPP部署打印机要容易得多。