Active Directory 域环境中组策略最重要的功能之一是只需单击几下即可将共享网络打印机自动连接到一组计算机/用户。因此，当用户登录 Windows 时，分配的网络打印机将自动出现在可用打印设备列表中。

本文将向您展示如何在 Windows Server 上安装和配置打印服务器，并通过 GPO 在用户计算机上部署其打印机。

因此，这次我们将了解如何使用组策略从特定 Active Directory OU 向用户部署共享网络打印机连接。在本例中，我们将使用运行 Windows Server 2019 的专用主机作为网络打印服务器。

提示：要使用组策略部署打印机连接，Active Directory 域服务 (AD DS) 架构版本必须至少为 Windows Server 2008（检查是否需要更新 Active Directory 架构）。

打开服务器管理器控制台并选择安装打印和文档服务角色（如果尚未安装）。

从角色服务列表中选择安装打印服务器服务。

提示：此外，您还可以使用以下 PowerShell 命令通过管理工具安装打印服务器角色：

add-WindowsFeature Print-Server, RSAT-Print-Services

角色安装完成后，从顶部菜单“服务器管理器”>“工具”打开“打印管理”控制台。或者只需运行命令：

printmanagement.msc

现在您需要将打印机添加到打印服务器。让我们从安装打印驱动程序开始。

在打印管理控制台中，转到驱动程序部分并运行添加驱动程序向导。选择驱动程序架构类型（x64 或 x86），然后单击“下一步”。

在打印机驱动程序选择屏幕上，选择适合您的打印机的驱动程序。如果未列出您需要的驱动程序，请单击从磁盘安装并浏览。指定打印机 inf 文件的路径，然后单击“确定”。

同样，安装要连接到打印服务器的所有打印机的驱动程序。

选择之前下载的驱动程序。在我们的示例中，它是通用 HP 驱动程序，单击“下一步”，然后单击“完成”。对其他设备重复该操作。现在，已安装的驱动程序列表显示在打印管理控制台中。

现在您可以在打印服务器上安装新打印机。转至打印机部分并从上下文菜单中选择添加打印机。网络打印机安装向导为您提供了 4 种在打印管理控制台中安装打印机的方法：

搜索网络中的打印机；

通过 IP 地址或主机名添加 TCP/IP 或 Web 服务打印机；

使用现有端口添加新打印机；

创建新端口并添加新打印机。

我们选择了第二个选项（通过 IP 地址安装打印机）。在下一个窗口中，您需要指定设备类型（TCP/IP 设备）以及网络打印机设备的 IP 地址（或 DNS 名称）（默认情况下可以保留端口名称）。选中自动检测要使用的打印机驱动程序框。

然后，从下拉列表中选择要为此设备安装的打印机驱动程序（在本例中为 HP Universal Printing PCL6）。

然后输入打印机名称、网络名称和说明。以相同的方式安装所有必需的共享网络打印机。

展开打印服务器 > 服务器名称（本地）> 打印机，选择要部署的打印机（在本例中为 HP LaserJet M2727），右键单击它，然后从菜单中选择“管理共享”。

选中共享此打印机和在目录中列出选项，然后单击应用。

在“打印管理”管理单元中右键单击您的打印机，然后选择“使用组策略部署”。

现在按浏览。

使用域浏览器，您需要找到要部署打印机的 OU（组织单位），然后单击“创建新组策略对象”按钮。

输入策略名称并单击“确定”。您可以将创建的策略分配给域用户、计算机或两者。

每个用户 — 此设置假定用户桌面上连接了特定打印机，无论登录哪台计算机。如果您有 VDI，或者每个用户可以使用不同的工作站（例如，在呼叫中心），这非常有用。如果用户分布在不同的建筑物或办公室分支机构，则不应使用此策略。否则，用户将不得不步行去从打印机取回他的文档；

每台计算机 — 无论哪个用户在计算机上工作，它始终会在特定打印机上进行打印（计算机的所有用户都可以访问该打印机）。此打印机连接策略通常用于大型分布式企业网络。

由于我们已将策略链接到仅包含用户对象的名为 Managers 的 OU，因此我们需要选择此 GPO 应用到的用户（每个用户）。按“添加”按钮将共享打印机添加到 GPO。

现在配置已完成，只需按“应用”即可。

现在打开组策略管理控制台 (GPMC.msc)，并找到您之前从打印管理控制台（在本例中为 ManagersPrinter）创建的策略。

转至“设置”选项卡检查当前策略设置。您可以在“用户配置”>“策略”>“Windows 设置”>“打印机连接”部分中查看共享打印机的 UNC 路径。该路径应包含打印服务器的名称。例如，lon-prnt01 HP Laser Jet M2727。

提示：要在 Windows Server 上的 GPO 编辑器中查看打印机连接节点，您需要安装 RSAT 功能打印和文档服务工具。

更新客户端上的策略设置 (gpupdate /force)。接下来，您需要验证新的共享打印机 HP LaserJet M2727 是否出现在已连接打印机列表中。

提示：要提高处理速度和组策略的应用，请禁用“详细信息”选项卡上的计算机设置（禁用“计算机配置”设置）。如果您将打印机策略分配给计算机 OU，则需要禁用用户配置 GPO 部分。您还可能面临“组策略处理失败”错误。

您的策略将自动将 HP Laser Jet M2727 打印机分配给所选 OU 中的所有用户。

在 Windows Server 2008 (Windows 7) 及更高版本上，您可以使用组策略首选项 (GPP) 安装打印机。

打开组策略管理控制台（gpmc.msc），找到要部署共享打印机的OU；

右键单击 OU，然后选择在此域中创建 GPO 并将其链接到此处。

指定 GPO 名称。例如，DeployPrinterCAUsers；

单击新的 GPO 并选择“编辑”。

打印机部署设置位于 GPO 编辑器的以下部分下：

计算机配置 > 首选项 > 控制面板设置 > 打印机；

用户配置 > 首选项 > 控制面板设置 > 打印机。

要安装打印机，请选择新建并在下拉菜单中选择一种模式：

共享打印机；

TCP/IP 打印机；

本地打印机。

此策略允许用户不仅可以从打印服务器连接打印机，还可以配置将用户的文档直接打印到网络打印机。在这种情况下，策略设置指定打印机的 IP 地址或设备名称，以及计算机可以从中安装驱动程序的打印服务器。

要通过 FQDN 连接打印机，请启用使用 DNS 名称选项。

在打印机路径中指定客户端可从中获取并安装该打印机驱动程序的 UNC 名称。

安装打印机时，GPP 中有四个可用的操作：

创建 — 如果之前未安装过打印机，则创建打印机（打印机仅创建一次，则忽略此 GPP 参数）；

替换 — 每次更新计算机上的 GPO 设置时删除打印机并重新创建它；

更新 — 在此模式下，如果先前未创建打印机，则会创建打印机。此外，此模式还会更新自上次 GPO 更新以来发生更改的任何打印机信息；

删除 — 删除打印机（如果之前已安装）。

您可以立即将此打印机指定为用户的主要打印设备。为此，请启用“将此打印机设置为默认打印机”选项。

要解决此问题，您可以使用允许非管理员通过 GPO 安装打印机驱动程序一文中描述的解决方法，也可以使用以下命令在用户计算机上预安装必要的打印驱动程序：

pnputil /add-driver "\Path to print drivers*.inf" /subdirs

现在更新用户会话中的 GPO 设置，新的默认打印机将出现在用户会话中（控制面板硬件设备和打印机）。

检查您是否连接了新的共享网络打印机：

点击打印机，选择打印属性；

转到端口选项卡；

确保打印机通过标准 TCP/IP 端口连接并指向共享网络打印机的 IP 地址或 DNS 名称。

您还可以使用 PowerShell 命令列出已安装的打印机：

Get-Printer

您可以使用 AD 组更准确地将打印机定位到用户。在 AD 中创建一个新组（例如 mun-managers-hp2727），并将要分配此打印机的所有用户添加到该组。

在 GPMC 中，切换到 ManagersPrinter 策略编辑模式，然后转至用户配置 > 首选项 > 控制面板设置 > 打印机部分；

找到您的打印机并打开其属性；

启用选项“在登录用户的安全上下文中运行（用户策略选项）”；

启用“项目级定位”选项并单击按钮；

选择新建项 > 安全组，指定组名domainmun-managers-hp2727；

保存更改。现在，此策略将自动将 hp2727 打印机仅连接到指定 AD 组中的用户。

您已经配置了添加打印机的策略，但如果您从指定的安全组中删除用户，则共享打印机不会自动删除。

通过组策略首选项配置打印机连接时，您需要同时创建两个单独的策略：一个用于根据指定条件连接打印机，第二个用于在不满足该条件时断开打印机与用户的连接。在此示例中，您需要在 GPMC 中复制策略并切换到编辑模式。

在策略中将“删除”指定为“操作”，同时选中“删除所有 IP 打印机连接”选项；

转至 GPP 项目级别定位设置。选择将打印机分配到域安全组的条件，然后单击项目选项 > 不是。

保存您的更改。现在，您对此打印机有两个组策略首选项条目：如果用户是组成员，则一个会安装打印机；如果用户未添加到 AD 安全组，另一个会删除打印机。

您可以使用单个 GPO 添加数十台甚至数百台打印机。使用 GPP 中的项目级别目标将打印机部署到特定用户安全组。