Cómo configurar directivas GPO y Servidor de Impresión en dominio Active Directory, para despliegue e instalación de impresoras de forma automática en equipos de usuarios. Cómo instalar el rol de Servicios de impresión y documentos y las directivas GPO necesarias para la instalación y despliegue de impresoras de forma automática.
- Requisitos para instalación de impresoras automática con dominio Active Directory.
- Crear directivas de seguridad GPO en el controlador de dominio para despliegue de impresoras.
- Instalar característica Herramientas de Servicios de impresión y documentos en controlador de dominio.
- Crear o modificar directiva existente para aplicar a todos los equipos del dominio para permitir la impresión desde servidor.
- Instalar rol de Servidor de Impresión en servidor con Windows Server 2022.
- Instalar impresoras en servidor de impresión.
- Asignar directivas GPO a impresoras en el servidor de impresión.
- Revisar directivas actualizadas en controlador de dominio con conexión de impresoras.
- Cambios de impresoras y equipos a posteriori.
Requisitos para instalación de impresoras automática con dominio Active Directory
Necesitaremos disponer de un dominio Active Directory (AD DS) de Microsoft con, al menos, un controlador de dominio. En el siguiente enlace explicamos cómo montar un dominio Active Directory:
Los equipos de los usuarios deberán estar agregados a dicho dominio, para que se les apliquen las directivas de seguridad (GPO Group Policy Object) pertinentes. En el siguiente enlace explicamos cómo agregar un equipo a un dominio:
Aunque se explica para un equipo Windows Server 2019, el proceso es el mismo para equipos con Windows 7, Windows Vista, Windows 10 y Windows 11.
El proceso requiere de un servidor con el rol de Servidor de Impresión. Este rol podría instalarse en el propio controlador de dominio, pero no es lo recomendable. Por ello, dispondremos de un servidor Windows Server 2022 en el que instalaremos el rol de Servidor de Impresión (como indicaremos en el siguiente punto). Dicho servidor debe ser miembro del dominio.
Crear directivas de seguridad GPO en el controlador de dominio para despliegue de impresoras
Antes de montar el servidor de impresión y poder distribuir las impresoras, deberemos crear las directivas GPO necesarias. Existen muchas opciones para establecer el modelo de distribución de impresoras. Si la organización dispone de varios edificios y plantas, una opción es agrupar los equipos por edificio y planta. Otra opción, si la organización solo tiene un edificio, es agrupar los equipos por departamento.
En nuestro caso, usaremos el modo de distribución por edificio y planta. Las directivas para distribuir las impresoras se realizarán para los Equipos, por ello, para establecer este modelo, previamente crearemos la siguiente estructura de unidades organizativas en el dominio:
Dominio — Equipos
— Edificio 1 – Planta 1
— Edificio 1 – Planta 2
— Edificio 2 – Planta 0
— Edificio 3 – Planta 1
— Edificio 3 – Planta 2
— Servidores
— Usuarios
Crearemos esta estructura de unidades organizativas (o la que consideremos más apropiada) desde el controlador de dominio o bien desde un equipo con la consola de gestión de «Usuarios y equipos de Active Directory», abriremos dicha consola (dsa.msc):
Moveremos los equipos de la organización a su unidad organizativa correspondiente. Podríamos, incluso, crear unidades organizativas dentro de cada planta para los distintos departamentos, suponiendo que la organización tendría uno o varios departamentos en una misma planta, quedando algo así como:
Tras crear la estructura de unidades organizativas y equipos en cada unidad, crearemos una directiva de grupo GPO por cada planta de cada edificio. Será esta directiva la que se asigne a las impresoras que queramos que se desplieguen en todos los equipos de dicho edificio y planta. Para ello, desde el controlador de dominio (o equipo habilitado para la edición del dominio), abriremos la «Administración de directivas de grupo» (gpmc.msc). Pulsaremos con el botón derecho del ratón sobre «Objetos de directiva de grupo» y elegiremos «Nuevo» en el menú emergente:
Introduciremos el nombre para la directiva, como hemos indicando anteriormente, en nuestro caso desplegaremos las impresoras por edificio y planta. Por ejemplo, si la organización tiene el Edifico Severo Ochoa, con dos plantas, y queremos asignar todas las impresoras de la planta 1 a todos los equipos de la planta 1, crearemos la directiva «Impresoras_Edificio_Severo_Ochoa_Planta_1»:
Crearemos tantas directivas (vacías) como edificios y plantas tengamos, siguiendo la misma nomenclatura.
Una vez creadas todas las directivas vacías de impresoras, las asignaremos a cada planta de cada edificio. Para ello, desde la «Administración de directivas de grupo», pulsaremos con el botón derecho del ratón sobre la unidad organizativa de la planta del edificio correspondiente, en el menú emergente pulsaremos en «Vincular una GPO existente…»:
Seleccionaremos la directiva vacía creada para este edificio y planta y pulsaremos «Aceptar»:
En el ejemplo anterior, las impresoras que asignemos a la directiva «Impresoras_Edificio_Severo_Ochoa_Planta_1», se instalarán a todos los equipos que haya dentro de la unidad organizativa que tenga asignada dicha directiva.
Repetiremos el proceso de asignación de directivas a unidades organizativas para el resto de plantas y edificios.
Instalar característica Herramientas de Servicios de impresión y documentos en controlador de dominio
Para gestionar la directiva de instalación de impresoras, en el controlador de dominio (o bien en el equipo que designemos para modificar estas directivas), deberemos instalar la característica «Herramientas de Servicios de impresión y documentos». Dicha característica se encuentra dentro de «Herramientas de administración remota del servidor» y, a su vez, dentro de «Herramientas de administración de roles»:
Si no disponemos de esta característica instalada, en la edición de las directivas de impresoras no veremos esta rama «Impresoras implementadas»:
Crear o modificar directiva existente para aplicar a todos los equipos del dominio para permitir la impresión desde servidor
Microsoft realizó, como medida de seguridad, la aplicación de una directiva de seguridad a partir de una actualización. Con dicha actualización de seguridad, algunas impresoras dejaron de funcionar. Por ello, para resolver este problema, aplicaremos una directiva a todos los equipos de la organización que vayan a tener impresoras instaladas, con el siguiente contenido:
Detallando el contenido de la directiva anterior, por cada apartado:
- «Configuración del equipo» – «Directivas» – «Configuración de Windows» – «Configuración de seguridad» – «Directivas locales» – «Opciones de seguridad». En este apartado, deshabilitaremos la directiva «Dispositivos: impedir que los usuarios instalen controladores de impresora»:
- «Configuración del equipo» – «Plantillas administrativas» – «Impresoras» – «Limita la instalación de controladores de impresión a los administradores» → Deshabilitado.
- «Configuración del equipo» – «Plantillas administrativas» – «Impresoras» – «Restricciones de apuntar e imprimir» → Habilitado, con la siguiente configuración (muy importante definir, separados por punto y coma, todos los servidores de impresión que tengamos en la organización, en nuestro caso, únicamente el servidor «svprinter»):
- «Configuración del equipo» – «Plantillas administrativas» – «Sistema» – «Instalación de controladores» – «Permitir que los usuarios que no sean administradores instalen controladores para estas clases de instalación de dispositivos» → Habilitado, en esta directiva, pulsaremos en «Mostrar…»:
Y añadiremos los siguientes valores:
- {4658ee7e-f050-11d1-b6bd-00c04fa372a7}
- {4d36e979-e325-11ce-bfc1-08002be10318}
Instalar rol de Servidor de Impresión en servidor con Windows Server 2022
En el equipo servidor Windows Server 2022, perteneciente al dominio de la organización, instalaremos el rol de Servidor de Impresión. Para ello accederemos al Administrador del servidor. En el menú «Administrar», pulsaremos en «Agregar roles y características»:
Desde «Roles de servidor» [1], marcaremos el rol «Servicios de impresión y documentos» [2]. Nos mostrará una ventana indicando las características necesarias para el rol de Servicios de impresión y documentos», pulsaremos en «Agregar características [3]:
Nos mostrará la ventana de las características elegidas, pulsaremos «Siguiente»:
El asistente para agregar roles y características de Windows Server 2022 nos indicará las cosas a tener en cuenta para la activación de los servicios de impresión y documentación. Que son las siguientes:
- Windows Server 2022 admite colas de impresión mediante controladores de impresora de tipo 3 o tipo 4.
- Microsoft recomienda usar controladores de impresora de tipo 4 cuando sea posible. Con ellos, los usuarios que no pertenezcan al grupo de administradores locales podrán conectarse a la impresora predeterminada, y los usuarios en clientes 32 bits podrán conectarse sin un controlador de 32 bits en el servidor de impresión.
- Para permitir que los clientes se conecten a colas de impresión compartidas mediante controladores de impresora tipo 3 en el servidor de impresión, debe usar controladores firmados y compatibles con paquetes. Si los controladores firmados o compatibles con los paquetes no están disponibles, los usuarios del cliente deben ser administradores locales o tener configurada la directiva de grupo «Equipo\Plantillas administrativas\Impresoras\Restricciones de apuntar e imprimir» para configurar los indicadores de seguridad.
- Si está usando controladores de impresora de tipo 3 y tiene clientes de 32 bits, debe instalar la versión de 32 bits del controlador de impresora que coincida en el servidor de impresión. Si no instala los controladores de 32 bits, es posible que los clientes no puedan conectarse correctamente a la impresora.
Pulsaremos «Siguiente»:
Dentro de Servicios de impresión y documentos, marcaremos «Servidor de impresión» y pulsaremos «Siguiente»:
Instalar impresoras en servidor de impresión
Una vez instalado el rol de Servidor de impresión (puede que pida reinicio del equipo), instalaremos las impresoras que necesitemos. Serán, habitualmente, impresoras de red:
Instalaremos los drivers (controladores) necesarios para estas impresoras, teniendo en cuenta que sólo los drivers «empaquetados» funcionarán para esta característica:
En caso de aparecer en la columna «Empaquetado» a valor «false», deberemos buscar el driver que tenga esta característica a valor «true». Si no se encuentra el driver «empaquetado», existe la opción de modificar una clave de registro para el driver en cuestión, para «convertirlo» a empaquetado de forma manual, la clave del registro es:
HKLM\System\CurrentControlSet\Control\Print\Enviroments\[Windowsx64 ó Windows NT x86]\Drivers\[Version-3 ó Version-4]\{nombre del driver}
Asignar directivas GPO a impresoras en el servidor de impresión
Una vez instaladas las impresoras en el servidor de impresión, accederemos al «Administrador de impresión» (printmanagement.msc). Se puede acceder desde el Administrador del servidor, en el menú «Herramientas» – «Administración de impresión»:
Desde la Administración de impresión, desplegaremos el servidor y pulsaremos en «Impresoras» [1]. Nos mostrará las impresoras instaladas en el servidor de impresión. Pulsaremos con el botón derecho del ratón sobre la impresora que queramos distribuir en los equipos cliente, por ejemplo la I1 [2]. En el menú emergente, pulsaremos «Habilitar impresión directa en sucursales» [3]:
Estableceremos los valores de impresión por defecto para la impresora, por ejemplo, impresión a doble cara y blanco y negro por defecto. Para ello, pulsaremos con el botón derecho del ratón sobre la impresora habilitada anteriormente y elegiremos «Establecer valores predeterminados de impresión…»:
Elegiremos los valores que se establecerán para la impresora en todos los equipos:
A continuación implementaremos la impresora con la directiva de grupo (GPO) creada en el punto anterior. Para ello, pulsaremos con el botón derecho del ratón sobre la impresora y elegiremos «Implementar con directiva de grupo…»:
Pulsaremos en «Examinar»:
Elegiremos la directiva que asignaremos a la impresora para que se despliegue en los equipos de la planta del edificio asociado a la directiva:
Marcaremos «Los equipos a los que se aplica este GPO (por equipo)» [1] y pulsaremos «Agregar» [2]:
Una vez seleccionada la directiva para la impresora, pulsaremos «Aceptar» para aplicar los cambios:
Si la implementación es correcta nos mostrará un mensaje indicándolo:
Revisar directivas actualizadas en controlador de dominio con conexión de impresoras
Desde el controlador de dominio, volveremos a abrir la «Administración de directivas de grupo» (gpmc.msc) para comprobar que, efectivamente, el asistente anterior a añadido la conexión de la impresora a la directiva «Impresoras_Edificio_Severo_Ochoa_Planta_1»:
En realidad, lo que ha hecho el asistente de asignación de impresora a directiva (desde el servidor de impresión), ha sido añadir una configuración a la directiva que hemos creado vacía en «Configuración del equipo» – «Directivas» – «Configuración de Windows» – «Conexiones de impresora» – «Ruta: \\svprinter\i1».
Con esto, y a partir de ahora, a todos los equipos que tengan asignada esta directiva se les instalará, de forma automática, la impresora i1.
Repetiremos el proceso de asignación de directivas a impresoras en el servidor de impresión para el resto de impresoras de la organización.
Cambios de impresoras y equipos a posteriori
Si ya hemos creado la estructura y necesitamos hacer cambios, no habrá problema. Indicamos las casuísticas a continuación:
- Si cambiamos un equipo de ubicación de una planta a otra, o a otro edificio, lo único que tendremos que hacer es cambiarlo en el controlador de dominio de unidad organizativa. Al moverlo a la nueva ubicación, de forma automática, se le instalarán las impresoras asignadas en dicha ubicación y se le desinstalarán las impresoras de la antigua ubicación.
- Si se agrega un nuevo equipo al dominio, únicamente habrá que moverlo a la unidad organizativa correspondiente de su edificio y planta. Con esto, de forma automática, se le instalarán las impresoras de dicha planta.
- Si añadimos una nueva impresora, únicamente tendremos que seguir el procedimiento del punto Asignar directivas GPO a impresoras en el servidor de impresión.
- Si la organización adquiere un nuevo local o edificio o planta, crearemos las directivas oportunas, como hemos indicado en el punto Crear directivas de seguridad GPO en el controlador de dominio para despliegue de impresoras.
- Si la organización quita un edificio o una planta, procederemos a eliminar las asignaciones de directivas en las impresoras que hubiera en dicha planta o edificio (en el servidor de impresión). También eliminaríamos sus respectivas directivas (en el controlador de dominio), para que no queden objetos inservibles en el dominio.
- Si movemos una impresora de planta o edificio, deberemos quitar la directiva «antigua», desde el servidor de impresión, en la «Administración de impresión», en «Impresoras» [1], seleccionando la impresora [2] y pulsando con el botón derecho del ratón sobre ella y eligiendo «Implementar con directivas de grupo». Seleccionaremos la impresora y pulsaremos en «Quitar» [3]:
Si quisiéramos quitar una impresora manualmente de una directiva, únicamente tendríamos que, desde el controlador de dominio, en la «Administración de directiva de grupo», pulsaremos con el botón derecho del ratón sobre la directiva en cuestión y elegiremos «Editar». Accederemos a «Configuración del equipo» – «Directivas» – «Configuración de Windows» – «Impresoras implementadas». En esta rama aparecerán todas las impresoras a las que les hemos asignado esta directiva. Pulsaremos con el botón derecho del ratón sobre la impresora que queremos eliminar de esta directiva y elegiremos «Quitar»: