Print Management и раздача принтеров через GPO в корпоративной сети
Семёнов Евгений, директор АйТи Фреш. Уже 15+ лет поднимаю и обслуживаю печатную инфраструктуру в офисах от 20 до 400 рабочих мест. Сегодня расскажу, как за полдня собрать централизованный принт-сервер на Windows Server и раздать принтеры через GPO так, чтобы сотрудник при входе в любой компьютер получал свой набор устройств автоматически — без визитов в ИТ и звонков с формулировкой «у меня ничего не печатает».
Зачем вообще принт-сервер
Я всегда задаю клиенту три вопроса: сколько принтеров, сколько юзеров, сколько разных моделей. Если устройств больше пяти, юзеров больше двадцати, а моделей хотя бы три — принт-сервер окупается за первый месяц. Он даёт:
- Один набор драйверов и пакетов, протестированных один раз.
- Единую очередь с возможностью отмены задания с любого места.
- Логи с именами пользователей, датами и количеством страниц — основа биллинга и аудита.
- Автоматическую раздачу через GPO Preferences по группам AD.
- Простую смену оборудования — при замене принтера меняем IP в одном месте, а не на 80 ПК.
Установка роли Print and Document Services
Роль ставится на любой Windows Server Standard (2016/2019/2022/2025). Я предпочитаю отдельную виртуалку: 2 vCPU, 4 ГБ RAM, 80 ГБ диск. Иногда совмещаю с файл-сервером — для малого офиса вполне нормально.
Install-WindowsFeature Print-Server, RSAT-Print-Services -IncludeManagementTools
# Альтернатива — через Server Manager → Add Roles → Print and Document ServicesПосле установки открываем printmanagement.msc. Сразу переходим в Print Servers → имя сервера → Forms и проверяем список форм (A4, Letter, конверты). Дальше — Drivers и Printers.
Правильная работа с драйверами
Это самая частая боль. Я всегда проверяю три вещи: архитектуру (x64 почти везде, но для старых терминалов ещё живёт x86), тип драйвера (Type 3 или Type 4) и наличие универсальных пакетов (Kyocera KX, HP UPD, Ricoh PCL6 UniDriver). Универсальные драйверы — спасение: один пакет на всю линейку производителя.
# Добавление драйвера из inf
Add-PrinterDriver -Name "HP Universal Printing PCL 6 (v6.8.0)" `
-InfPath "C:\Drivers\HP-UPD\hpcu265u.inf"
# Установка порта TCP/IP
Add-PrinterPort -Name "IP_10.10.1.51" -PrinterHostAddress "10.10.1.51"
# Добавление принтера
Add-Printer -Name "Reception-HP-M479" `
-DriverName "HP Universal Printing PCL 6 (v6.8.0)" `
-PortName "IP_10.10.1.51" `
-PublishedПубликация принтеров в Active Directory
Галка -Published или вручную в свойствах принтера «List in the directory» — обязательна. Это позволяет пользователю через Active Directory найти принтер по расположению (Location) и комментарию. Я всегда прописываю Location в формате «корпус/этаж/кабинет», например «БЦ/3/312». В таком виде поиск через «Найти принтер» работает идеально.
Print Management для наведения порядка
Print Management — штатная консоль на Windows Server и пакете RSAT для Windows 10/11. Я регулярно использую её фильтры, чтобы находить проблемные принтеры.
| Фильтр | Что показывает |
|---|---|
| Printers Not Ready | Все устройства с ошибкой или отключённые |
| Printers With Jobs | Текущие очереди с заданиями |
| Custom Filter | Например, все МФУ с количеством заданий больше 50 |
Раздача через GPO Preferences
Старая схема через скрипты входа \\server\printer /c работает, но устарела. Современный способ — GPO Preferences → Control Panel Settings → Printers → Shared Printer.
- Создайте GPO «Print-Deployment» и привяжите к OU с пользователями или компьютерами.
- В User Configuration → Preferences → Control Panel Settings → Printers → New → Shared Printer.
- Укажите Share Path (
\\prntsrv01\Reception-HP-M479), Action = Update. - В Common включите Item-level targeting и выберите группу Security Group = CORP\Reception-Staff.
- Дополнительно галка Set this printer as the default printer — если нужен дефолт.
У меня на практике самый удобный паттерн — одна GPO с 10-20 принтерами, каждый с item-level targeting по группе. Поменять состав группы проще, чем двигать принтер между GPO.
PrintNightmare и Point and Print
После уязвимости CVE-2021-34527 Microsoft закрутил гайки на установку драйверов. Без настройки Point and Print Restrictions клиенты не смогут тихо забрать драйвер с сервера. Я всегда включаю две политики:
- Computer Configuration → Administrative Templates → Printers → Point and Print Restrictions = Enabled, «Users can only point and print to these servers» с перечислением ваших принт-серверов.
- Там же → Package Point and print - Approved servers = список тех же серверов.
И обязательно — патч-менеджмент. Без последних обновлений Windows политика Point and Print не закрывает уязвимость.
Мини-кейс: переход с анархии на централизацию
Март 2026, риэлторская компания, 70 юзеров, 14 принтеров шести моделей. Каждый принтер был привязан по IP к нескольким ПК, драйверы ставили хелпдеск и сами пользователи, логов не было, «не печатает» — топ-1 обращение в саппорт.
За один рабочий день я развернул Print Server на существующем Windows Server 2022, поставил HP UPD и Kyocera KX-универсалы, добавил 14 TCP/IP-портов и 14 принтеров с публикацией в AD. Создал пять групп доступа в AD (по этажам), собрал GPO с item-level targeting и отключил локальные инсталляции принтеров на ПК через Point and Print. За неделю поток заявок по печати упал на 80%, а при переезде отдела маркетинга на другой этаж переназначение заняло 10 минут — поменяли членство в группе.
Мониторинг и логи
Базовый лог — Event Viewer → Applications and Services Logs → Microsoft → Windows → PrintService. Включаем Operational journal. Для биллинга и аудита — Windows Performance Monitor + Print Queue Statistics или сторонние Papercut/Printoscope. В маленьких офисах я обычно обхожусь встроенным логом и PowerShell-отчётом раз в месяц:
Get-WmiObject -Class Win32_PrintJob |
Select-Object Owner, Document, Name, TotalPages, TimeSubmitted |
Export-Csv C:\Reports\print-jobs-$(Get-Date -Format yyyyMM).csv -NoTypeInformationТиповые ошибки
- Один GPO на весь домен с 30 принтерами — GPO становится медленной и логиниться пользователь будет по 2 минуты.
- Драйверы ставят руками на каждый ПК, потом удивляются «у меня шрифты поплыли». Лечится переездом на Print Server.
- Смешивают Type 3 и Type 4 без необходимости. На клиентах Windows 10/11 достаточно V4, V3 оставьте для XP/Win7 (если они ещё у вас живы).
- Не прописан Location — AD-поиск не работает, пользователи не находят принтеры.
- Нет резервного сервера. Когда Print Server ложится, в офисе встаёт весь документооборот. Минимум — снапшот виртуалки раз в ночь.
Наладим печать в офисе за один рабочий день
Подниму Print Server, подключу все принтеры, раздам через GPO, настрою Point and Print и логирование. Срок — 1 рабочий день до 20 устройств, 2–3 дня до 50. Работаю лично, опыт 15+ лет, оборудование в дата-центре МТС.
Телефон: +7 903 729-62-41
Telegram: @ITfresh_Boss
Семёнов Евгений Сергеевич, директор АйТи Фреш
FAQ — частые вопросы
- Зачем нужен Print Server в домене?
- Централизованное управление драйверами, очередями, правами, публикация в AD, отказоустойчивость.
- Чем отличается Per-Machine от Per-User раздачи принтеров?
- Per-Machine — к ПК, Per-User — к пользователю. Чаще используют Per-User через GPO Preferences.
- Что такое Point and Print Restrictions?
- Политика контроля установки драйверов принтеров, закрывает уязвимость PrintNightmare.
- Можно ли обойтись без Print Server?
- Можно до 30 ПК. Дальше экономия времени админа перевешивает стоимость виртуалки.
- Какие драйверы ставить — Type 3 или Type 4?
- V4 современнее и безопаснее, но V3 нужны для части МФУ Kyocera и Ricoh. Смешанный режим работает нормально.