Drukarki wdrażane przez zasady grupy nie są tworzone


Obecnie używamy środowiska Citrix XenApp z profilami mobilnymi dla naszych użytkowników i Windows Print Server, aby zapewnić wdrożone drukarki sieciowe wszystkim użytkownikom na podstawie przypisanej im lokalizacji (OU).
Wydawało się, że wszystko działa dobrze do tego tygodnia, kiedy zaczęliśmy od czasu do czasu mieć problemy z połączeniami od użytkowników zgłaszających, że nie widzą swoich drukarek sieciowych. Początkowo mogliśmy zaradzić tej sytuacji, usuwając zarówno ich profil mobilny z udziału sieciowego, jak i lokalne kopie profilu mobilnego na każdym serwerze Citrix, z którym się łączyli. Okazało się to jednak zarówno żmudnym, jak i zawodnym rozwiązaniem, ponieważ nie zawsze działa.
Dzisiaj zacząłem jeszcze bardziej zagłębiać się w problem i udało mi się ustalić, że problem nie był związany z Citrixem, ponieważ mogę replikować te same problemy (drukarki sieciowe nie są tworzone) z kontem testowym przy użyciu połączenia zdalnego pulpitu z serwerem . Szukałem możliwego rozwiązania problemu, ale wszystko, co do tej pory znalazłem, okazało się bezużyteczne.
Dziwnym zastrzeżeniem jest to, że problemy nie dotyczą wszystkich użytkowników. Choć wydaje się, że z każdym dniem jest coraz gorzej, obawiam się, że to stwierdzenie może się wkrótce zmienić.
Trochę o naszym środowisku:
  • Serwer druku (zawiera również udział sieciowy dla naszych profili mobilnych) to Windows Server 2008R2. Sterowniki drukarek są pobierane, a następnie wdrażane przy użyciu zasad grupy z modułu sterowania drukowaniem. Drukarki są wdrażane w zależności od jednostki organizacyjnej, do której należy członek, przy użyciu opcji Na użytkownika.
  • Kontrolery domeny - Windows Server 2008 (nie R2) - każda jednostka organizacyjna w domenie ma własne zasady dotyczące drukarek, które umożliwiają publikowanie drukarek wymaganych w tej lokalizacji. Filtrowanie zabezpieczeń dla każdej polityki jest skonfigurowane tak, aby obejmowało grupy zawierające użytkowników.
  • Serwery Citrix/Terminal - Windows Server 2008R2

Dotychczasowe kroki rozwiązywania problemów:
  • Wypróbowano różne konta użytkowników, zarówno z uprawnieniami administratora, jak i ze zwykłymi kontami „użytkowników domeny”, z podobnymi wynikami.
  • Upewnij się, że karta Delegowanie zasad grupy zawiera poprawne konta użytkowników i mają oni dostęp do odczytu do zasad grupy.
  • Podjęto próbę zamknięcia wszystkich kontrolerów domeny i pozostawienia włączonych po jednym, aby upewnić się, że nie ma problemu z jednym kontrolerem domeny.
  • Utworzono nowy obiekt zasad grupy w domenie pojedynczego użytkownika do testowania. Wdrożyłem jedną drukarkę dla tego użytkownika i nie mogłem wdrożyć drukarek w mojej sesji.
  • Gwarantowane, że mogę ręcznie połączyć się z drukarką w udostępnionym folderze po połączeniu się z pulpitem serwera (aby sprawdzić uprawnienia do tego)
  • Mam nadzieję, że nie muszę go włączać, ale wszystkie systemy (kontrolery domeny, serwer druku i serwery Citrix/Terminal) były wielokrotnie restartowane od czasu wystąpienia problemu.

Wszelkie pomysły/pomoc będą mile widziane, ponieważ jestem na krawędzi mojej liny, próbując to rozgryźć.
Z góry dziękuję!
Zaproszony:
Anonimowy użytkownik

Anonimowy użytkownik

Potwierdzenie od:

Wygląda na to, że może to mieć coś wspólnego z ostatnią aktualizacją firmy Microsoft:
MS16-072: Aktualizacja zabezpieczeń zasad grupy: 14 czerwca 2016 r
https://support.microsoft.com/en-us/kb/3163622
Ta aktualizacja zasadniczo zmieni sposób stosowania obiektów zasad grupy. Powód jest dobrze opisany w tym fragmencie z

Wpis w blogu zespołu usług katalogowych Microsoft
https://blogs.technet.microsof ... 3622/
:

Gdy zasady grupy użytkownika są pobierane przy użyciu kontekstu zabezpieczeń komputera, konto komputera będzie teraz potrzebowało dostępu do odczytu, aby uzyskać obiekty zasad grupy (GPO), które należy zastosować do użytkownika.

Zaryzykowałbym zasugerowanie, że dotknięci użytkownicy zainstalowali tę aktualizację na swoich stacjach roboczych lub puli maszyn wirtualnych.
Jeśli masz klientów z tą aktualizacją, nie będą mogli zastosować ustawień niestandardowych, jeśli ich stacja robocza ich nie posiada

Czytać

(niekoniecznie

Zastosować
) uprawnienia do przypisania drukarki do GPO. Domyślne ustawienia zabezpieczeń włączają tę opcję, ale jeśli zostały skonfigurowane i usunięte

Użytkownicy uwierzytelnieni

od strony bezpieczeństwa będziesz miał problemy. Właściwie widziałem tę praktykę zalecaną w niektórych starych książkach jako środek do optymalizacji GPO, ale teraz jest czas, aby wyrwać tę stronę.
Najprościej jest to zapewnić

Użytkownicy uwierzytelnieni

czytaj pozwolenie dla GPO. Jeśli chcesz naprawić wiele z nich, Microsoft ma

Skrypt PowerShell
https://gallery.technet.micros ... 81476
które pomogą Ci je zaktualizować. Jak zwykle dopasuj te informacje do swoich potrzeb. Jeśli nie czujesz się komfortowo, dodaj to uprawnienie do wszystkich

Użytkownicy uwierzytelnieni

wtedy będziesz musiał znaleźć lub utworzyć inną grupę, aby przypisać uprawnienia do odczytu do stacji roboczych.

Aby odpowiedzieć na pytania, Zaloguj się lub Zarejestruj się