我们当前运行一个 Citrix XenApp 环境,其中包含供用户使用的漫游配置文件以及一个 Windows 打印服务器,以根据分配到的位置 (OU) 为所有用户提供部署的网络打印机。
一切似乎都运行良好,直到本周我们开始遇到一些随机问题,用户打电话报告说他们看不到他们的网络打印机。最初,我们能够通过从网络共享中删除他们的漫游配置文件以及他们将连接到的每个 Citrix 服务器上的漫游配置文件的本地副本来补救这种情况。然而,事实证明这是一个既繁琐又不可靠的解决方案,因为它并不总是有效。
今天,我开始进一步深入研究该问题,并且能够确定该问题与 Citrix 无关,因为我可以使用远程桌面连接到服务器的测试帐户复制相同的问题(网络打印机未创建)。我一直在寻找该问题的可能解决方案,但迄今为止我找到的所有方法都被证明毫无帮助。
一个奇怪的警告是,这些问题似乎并没有影响到所有用户。尽管情况似乎每天都在恶化,所以我担心这种说法可能很快就会改变。
关于我们的环境的一些信息:
- 打印服务器(还包含我们的漫游配置文件的网络共享)- Windows Server 2008R2。加载打印机驱动程序,然后使用打印管理模块中的组策略进行部署。使用“每个用户”选项,根据成员所属的 OU 来部署打印机。
- 域控制器 - Windows Server 2008(非 R2)- 域内的每个 OU 都有专用的打印机策略,用于发布该位置所需的打印机。每个策略上的安全过滤都设置为包括包含用户的组。
- Citrix/终端服务器 - Windows Server 2008R2
迄今为止的故障排除步骤:
- 尝试了不同的用户帐户,既使用管理权限,也使用常规的“域用户”帐户,结果都类似。
- 确保组策略的“委派”选项卡包含正确的用户帐户,并且他们对组策略具有“读取”访问权限。
- 尝试关闭所有域控制器并一次保留一个,以确保单个域控制器没有问题。
- 在域中为单个用户创建了一个全新的组策略对象以进行测试。为该用户部署了一台打印机,但无法在我的会话中部署任何打印机。
- 确保一旦我连接到服务器的桌面,我就可以手动连接到共享上的打印机(以检查是否有权限这样做)
- 希望我不需要将其包括在内,但自问题出现以来,所有系统(域控制器、打印服务器和 Citrix/终端服务器)都已多次重新启动
任何想法/帮助都将不胜感激,因为我已经竭尽全力想要解决这个问题。
提前致谢!
答案1
这听起来可能与最近的 Microsoft 更新有关:
MS16-072:组策略安全更新:2016 年 6 月 14 日
此更新从根本上改变了 GPO 的应用方式。此代码片段很好地总结了原因,摘自Microsoft 目录服务团队博客文章:
当使用计算机的安全上下文检索用户组策略时,计算机帐户现在需要“读取”访问权限来检索需要应用于用户的组策略对象 (GPO)。
我大胆猜测受影响的用户已经在他们的工作站或 VM 池中安装了此更新。
如果您的客户端安装了此更新,则如果他们的工作站没有读(不必要申请) 权限到您的打印机分配 GPO。默认安全设置包括此权限,但如果您自定义了安全性并删除了已认证用户从安全性上讲,你会遇到问题。我实际上看到一些旧书推荐这种做法作为优化 GPO 的措施,但现在是时候把那一页撕掉了。
最简单的做法就是授予已认证用户对 GPO 的读取权限。如果您有很多问题需要解决,Microsoft 有一个PowerShell 脚本这些信息可以帮助您更新它们。像往常一样,请根据您的特定需求权衡这些信息。如果您不方便将此权限添加到所有已认证用户,那么您将需要找到或创建其他组来为工作站分配读取权限。