Hikedaya
В Dash'e под Chronostasis'ом.

Относительно недавно на работе была открыта новая площадка. Назовем ее Loc-05 (Location-05), где 05 - ее индекс, пятая по счету. Все шло хорошо, туда даже сотрудники уже заехали, оборудование поставили, принтеров много-много завезли. Об этих-то принтерах речь и пойдет.

Схема их подключения такова. Все это - МФУ, сетевые устройства. Они все заведены на принтсервер, им включен общий доступ, и они опубликованы в AD. Конечным пользователям все эти принтеры подключаются через групповую политику, раздел Group Policy Extensions - Control Panel, Printers.

На каждый из принтеров развешана своя группа доступа, печатать на принтере могут только те сотрудники, кто перечислен в привязанной к принтеру группе. Групповая политика эти группы безопасности использует и для того, чтобы опознать, какому сотруднику какой принтер подключать. Группы называются так же, как и принтеры.

Принтеры были заведены с именами Loc-05-.....

И теперь встала проблема. Оказывается, индекс 05 уйдет другой площадке. Стало быть, необходимо все эти принтеры переименовать и заново подключить сотрудникам. Учитывая, что принтеров там больше сотни, руками это делать - упаришься.

Начинаем разбираться.

Что нужно сделать с каждым из этих принтеров?
1. Снять публикацию принтера в AD, убить общий доступ.
2. Переименовать принтер на принт-сервере.
3. Включить общий доступ под новым именем, опубликовать заново принтер в AD.

Хорошо, идем дальше. В схеме работы участвуют еще группы и политика. Разбираемся с группой.

Тут все просто - переименовываем ее, и дело с концом. Попутно меняем атрибут SAMAccountName, чтобы он совпадал с новым именем группы. При переименовании через GUI система автоматом предлагает это сделать, но имеем это в виду.

Последний участник этого балета - политика. Вот тут сложнее всего. Править ее ручками в редакторе политик на все 100+ принтеров - это ж можно упариться. Но политика - это обычный текстовый файл, который можно обрабатывать как текст в любом редакторе. Учтем и это.

Приступаем к реализации плана.

1. Переименование принтеров на принтсервере. Примем во внимание, что принтсервер у нас основан на Win2012 - вся мощь Powershell в наших руках, так что прямо на этом принтсервере выполняем следующее:

Код выберет на принтсервере все объекты принтеров, имя которых содержит в себе Loc-05, после чего сделает все ранее описанные действия, в том числе и переименование самого принтера. Новым именем будет Loc-06.

2. Переименование групп. Тоже ничего сложного. Разве что нужно убедиться, что на компьютере, где будет запускаться код, установлен модуль ActiveDirectory для Powershell. Единственное, что нужно будет сделать, это поменять OU, где скрипт будет искать нужные нам группы.


3. Действия с политикой. Получить текстовый файл можно двумя путями. Либо мы лезем в каталог sysvol и блуждаем там в дебрях каталогов, либо мы просто выполняем бекап этой политики к себе в папочку. Второй метод проще.

Примечание. \\PS - это имя моего "ручного" принтсервера. EXAMPLE\ - имя такого же "ручного" домена. В рабочей среде эти имена будут другими.

Получив к себе в распоряжение текстовик, начинаем в нем копаться. Нас интересуют строки вот такого вида:

Именно они и определяют принтеры. Что и где нам придется поменять?
name="Loc-05-PDF24" - это очевидно - имя принтера. В нашем случае меняется на name="Loc-06-PDF24"
status="Loc-05-PDF24" - в ту же степь, что и имя принтера. Меняется на status="Loc-06-PDF24"
path="\\PS\Loc-05-PDF24" - здесь показано имя общего устройства, меняем на нужное. Меняем на path="\\PS\Loc-06-PDF24"
name="EXAMPLE\Loc-05-PDF24" - имя той самой группы безопасности, членам которой этот принтер будет подключаться. Меняем на name="EXAMPLE\Loc-06-PDF24"

Очевидно, что все эти изменения можно сделать одной операцией в Блокноте:
Ctrl+H, Loc-05 -> Loc-06

Но это еще не все. Остался последний этап, нужно заставить эту же самую политику отключить на компьютерах пользователей сетевой принтер с уже недействительным именем Loc-05*
Для этого берем строку, определяющую принтер, копируем ее в буфер обмена и вставляем прямо под исходной. А теперь меняем ее так, чтобы она удаляла старый принтер. Ниже я приведу список тех атрибутов, которые нужно поменять.

name="Loc-05-PDF24" - оставляем старое имя принтера
status="Loc-05-PDF24" - см. выше.
path="\\PS\Loc-05-PDF24" - см. выше.
name="EXAMPLE\Loc-05-PDF24" - поскольку мы теперь применяем это действие к членам уже переименованной группы, ставим новое имя - name="EXAMPLE\Loc-06-PDF24"
changed="2016-05-20 12:45:45" - очень интересный параметр, показывает, когда был изменен этот элемент политики. В новой строке меняем его так, чтобы показанная в нем дата была больше, чем в исходной строке. Не знаю, может быть это совпадение, может быть еще что-то, но до тех пор, пока я не изменил этот атрибут, старые принтеры у меня не отключались. Предполагаю, что имел место некий конфликт между записью о подключении принтера и записью о его удалении. Поставим туда текущую дату, которая будет заведомо больше, чем дата подключения: changed="2016-05-21 12:45:45"
image="2" - это картинка, которая высвечивается в редакторе политик. Значение 2 покажет желтый треугольник, значок действия Update. Значение 3 покажет красный крест, значок действия Delete. Ставим 3.
action="U" - само действие. U - Update, нам же нужно D - Delete.

Если суммировать все, для означенного выше принтера в политике теперь будут два определения - первое подключает новый принтер, второе - удаляет старый:

И вот так - для каждого принтера.
В конце концов мы сохраняем полученный текстовик, восстанавливаем политику AD из этого текстовика. После этого, в тот момент, когда пользователь, перечисленный в группе EXAMPLE\Loc-06-PDF24, войдет на свой компьютер, ему тут же подключится новый принтер, а старый - будет удален.

Problem solved.

UPD. Вторичная и последующие проверки показала, что параметр changed="..." можно не трогать, все работает из без его изменения.

@музыка: Need for Speed - Most Wanted, RAP Sheet

@настроение: побольше бы таких задач...

@темы: PowerShell, Scripting