Impressoras de Grupo Implantadas Não Criando Impressoras

1

Atualmente, executamos um ambiente Citrix XenApp com perfis de roaming para nossos usuários e um Windows Print Server para fornecer impressoras de rede implantadas para todos os usuários, dependendo de qual localidade (UO) eles estão atribuídos.

Tudo parecia estar funcionando muito bem até esta semana, quando começamos a ter alguns problemas aleatórios com os usuários ligando para a geração de relatórios informando que não estavam vendo suas impressoras de rede. Inicialmente, conseguimos solucionar a situação excluindo o perfil de roaming do compartilhamento de rede e as cópias locais do perfil de roaming em cada servidor Citrix ao qual eles se conectariam. No entanto, isso provou ser uma solução tediosa e não confiável, pois nem sempre funciona.

Hoje, comecei a investigar ainda mais a questão e consegui determinar que o problema não está relacionado à Citrix, já que posso replicar os mesmos problemas (as impressoras de rede não criam) com uma conta de teste usando um controle remoto. Conexão de desktop ao servidor. Eu tenho procurado por uma possível solução para o problema, mas tudo o que eu encontrei até agora provou não ser de nenhuma ajuda.

Uma ressalva estranha é que os problemas não parecem estar afetando todos os usuários. Embora pareça estar piorando a cada dia, receio que essa afirmação possa mudar em breve.

Um pouco sobre o nosso ambiente:

  • Servidor de impressão (também contém o compartilhamento de rede para nossos perfis móveis) - Windows Server 2008R2. Os drivers de impressora são carregados e, em seguida, implantados usando a diretiva de grupo do módulo Gerenciamento de Impressão. As impressoras são implantadas com base em qual OU o membro faz parte, usando a opção "Por usuário".
  • Controladores de domínio - Windows Server 2008 (não R2) - Cada UO no domínio tem uma política de impressora dedicada para publicar as impressoras necessárias para esse local. A filtragem de segurança em cada política é definida para que os grupos que contêm os usuários sejam incluídos.
  • Servidores Citrix / Terminal - Windows Server 2008R2

Passos da solução de problemas até agora:

  • Diferentes contas de usuário foram testadas, usando direitos administrativos e contas regulares de "Usuário do domínio" com resultados semelhantes.
  • Assegure-se de que a guia "Delegação" da política de grupo contenha as contas de usuário corretas e que elas tenham acesso de "Leitura" à política de grupo.
  • Tentei desligar todos os controladores de domínio e deixar um de cada vez para garantir que não houvesse um problema com um único controlador de domínio.
  • Criamos um novo objeto de política de grupo no domínio com um único usuário para teste. Implantei uma única impressora para esse usuário e não consegui implantar nenhuma impressora na minha sessão.
  • Assegurei que eu pudesse conectar-me manualmente à impressora no compartilhamento quando eu estivesse conectado à área de trabalho do servidor (para verificar se há permissão para isso)
  • Espero que não seja necessário incluí-lo, mas todos os sistemas (controladores de domínio, servidor de impressão e servidores Citrix / Terminal) foram reiniciados várias vezes desde o início do problema

Qualquer ideia / assistência seria apreciada, pois estou no fim da minha tentativa tentando descobrir isso.

Obrigado antecipadamente!

    
por Wayne M 05.08.2016 / 21:05

1 resposta

1

Isso parece estar relacionado a uma atualização recente da Microsoft:

MS16-072: Atualização de segurança para a Diretiva de Grupo: 14 de junho de 2016

Esta atualização muda fundamentalmente como os GPOs são aplicados. A causa é bem resumida neste snippet do Entrada de blog da equipe de serviços de diretório da Microsoft :

When a user group policy is retrieved using the computer’s security context, the computer account will now need “read” access to retrieve the group policy objects (GPOs) needed to apply to the user.

Eu me atreveria a adivinhar que os usuários afetados têm essa atualização instalada em sua estação de trabalho ou no pool de VMs.

Se você tiver clientes com essa atualização, eles não poderão aplicar as configurações do usuário se a estação de trabalho não tiver a permissão Leitura (não necessariamente Aplicar ) à sua atribuição de impressora GPO. As configurações de segurança padrão incluem isso, mas se você personalizou a segurança e removeu Usuários autenticados da segurança, você terá problemas. Eu já vi essa prática recomendada em alguns livros mais antigos como uma medida para otimizar o GPO, mas é hora de extrair essa página agora.

A coisa mais simples a fazer é conceder permissão de leitura aos Usuários Autenticados ao GPO. Se você tiver muitos deles para corrigir, a Microsoft tem um script do PowerShell que pode ajudá-lo a atualizar eles. Como de costume, pesar esta informação com suas necessidades particulares. Se você não se sentir confortável em adicionar essa permissão a todos os Usuários autenticados , precisará encontrar ou fazer algum outro grupo para atribuir permissões de leitura às estações de trabalho.

    
por 06.08.2016 / 00:25