Настроил принт-сервер, добавил все принтера\драйверы, добавил все эти принтера в групповую политику и с помощью нацеливания раскидал какой принтер какой группе пользователей подключается.
Всё вроде хорошо работает, но не у всех. На некоторые (ну примерно каждый пятый юзер) компьютеры принтера не подключаются автоматически.
Если подключать вручную (\\printserver, пкм на принтере - подключить) - виндовс выплевывает окно об отсутствии драйвера на компьютере и кнопкой "установить драйвер" - которая в свою очередь требует админских прав, которых у пользователей, разумеется, нет - ну и после всё успешно подключается. Если принтеры удалить и применить политику заново (gpupdate /force) - принтеры снова подключаются как и нужно.
Т.е. дело в том что у пользователя нет прав на установку драйверов.

Вопрос в том как их дать? Автоматически и всем. Не локальными админами же их делать.



Решение: пост1 (http://forum.oszone.net/post-2832105-2.html), пост2 (http://forum.oszone.net/post-2833913-12.html), пост3 (http://forum.oszone.net/post-2834989-13.html)

http://winitpro.ru/index.php/2013/05/24/kak-razreshit-polzovatelyam-domena-ustanavlivat-printery/

uel, Сделал:
https://i.imgur.com/zM0c77W.png

Выполнил gpupdate /force на клиентском компьютере, перезагрузился как указано в статье - всё равно требует админских прав.

На всякий случай - политика применяется на весь домен. Пользовательские учетки раскиданы по OU, компьютеры - все скопом в стандартном контейнере Computers. В принципе т.к. политика применяется на "контейнер" уровнем выше (весь домен) - по идее должна корректно отрабатывать и компьютерная и пользовательская части ГП, но на всякий случай уточнил вдруг есть нюансы.

Создайте отдельное OU. На него навесить политику, закинуть одну машину для теста. gpupdate /force, перезагрузка, если не применилась смотрим журналы на предмет сбоя обработки групповой политики.
В статье в комментах есть ссылки:
http://winitpro.ru/index.php/2011/11/08/kak-otklyuchit-proverku-cifrovoj-podpisi-drajvera-v-windows-7/
http://winitpro.ru/index.php/2011/10/17/problemy-s-ustanovkoj-setevyx-printerov-v-windows-7/
Пробуйте.

Проверил с помощью gpresult /h c:\report.html /scope computer что все 3 параметра в политиках успешно применяются к компьютеру.
На всякий случай убедился что компьютерная часть политики в принципе применяется - добавил в эту же политику создание папки testfolder в корне диска С. Папка создается, значит компьютерная часть политики успешно применяется.
Но всё равно требуются админские права:
1. пользовательская часть по добавлению принтеров не отрабатывает
2. если вручную зайти на \\printserver, выбрать принтер и попытаться подключить - всё тот же запрос на повышение прав.

При всём при этом, как внезапно выяснилось, на нескольких компьютерах подключается нормально, на большинстве - нет. Система везде одна и та же (Win 10 LTSB x64), раскатана из одного и того же образа. Разница в компьютерах возможна в железе (на более старых компах b250 а поновее - b360 чипсет), возможно в наборе и очередности установленных обновлений.
С обновлениями маловероятно т.к. я только что смотрел на комп который обновлен последний раз буквально сегодня и точно такой же комп который тоже обновлен сегодня (в обоих случаях проверка наличия обновлений говорит что всё установлено) - на одном работает на другом нет.
С железом тоже не понятно - в принципе в процессе "гугления" я натыкался на проблемы с гигабитными сетевыми картами и сопутствующую этой проблеме ошибку в ивентлоге (https://i.imgur.com/OVcOKuV.png) (такая ошибка на проблемных компах действительно есть) - но во-первых установка последних дров не помогает избавится от этой ошибки, а во-вторых в принципе люди пишут об этой проблеме когда компьютерная часть политик вообще не применяется никакая - а у меня применяется, но видимо чего-то не хватает.

1. пользовательская часть по добавлению принтеров не отрабатывает »
Что в логах по этому поводу?

Что в логах по этому поводу? »
В журнале событий?
В журнале приложений две таких ошибки (по одной на принтер, т.к. данному пользователю должны подключаться 2 разных принтера)
https://i.imgur.com/QdhGRLh.png
В журнале система три таких ошибки (цифрами указал очередность):
https://i.imgur.com/dx8qRi4.png
В журнале Microsoft\Windows\GroupPolicy\Operational ничего нет.

Да и потом, я даже заморочился и проставил все эти политики в локальном редакторе гп (gpedit.msc на компьютере прям). Всё равно требует админских прав. Значит проблема где-то в другом месте, ещё чего-то где-то не хватает...

Принтеры все разные? Не устанавливаются драйвера только на какой-то конкретный (-ые) принтер (-ы)?

PS. У МС есть возможность настроить место хранения драйверов и указать в политиках, откуда рабочим станциям их скачивать.

Принтеры все разные? Не устанавливаются драйвера только на какой-то конкретный (-ые) принтер (-ы)? »
На все принтеры драйвера не качаются.
Сейчас поковырялся ещё - выяснилось что не все. Только на те, к которым на сервере прикреплен драйвер, у которого в графе "упакован" стоит false. Это всё UFR II драйвера, а принтеры на PCL6 драйверах упакованы (стоит true) и соответственно раздают драйвера.

Поковырял еще групповую политику - обнаружилась странность (или так должно быть?)
Если открыть на компьютере в домене редактор локальной групповой политики (gpedit.msc) - там напротив некоторых параметров есть такой значок, который насколько я понимаю означает что данные параметры розданы с помощью GPO (ну собственно действительно все эти параметры розданы через АД:
https://i.imgur.com/Vussv4U.png

А вот несколько других параметров, которые я так же раздаю с помощью GPO в локальном редакторе не заданы ну и значка естессно нет. Т.е. насколько я понимаю - они не применились?
https://i.imgur.com/1hCAH2u.png

Charg, запусти rsop.msc на проблемном ПК, она тебе сразу покажет, какие параметры и какой ГП установлены.
Ещё стоит выяснить, связана ли проблема с группой пользователей и компьютерами. То есть, устанавливаются ли проблемные принтеры у пользователей в других группах там, где другие драйвера ставятся нормально.

В общем частично решил проблему заменив, где это можно было, драйвера на упакованные PCL.
Но полностью проблему это не решило потому что есть в моем зоопарке пара таких принтеров как OKI C831 (https://www.oki.com/ru/printing/support/drivers-and-utilities/colour/44705904/?os=ab2&lang=ac17). Так вот все драйвера которые доступны на сайте - НЕ упакованы.
И тут два нюанса:
1. если пользователю такой принтер не подключен - политикой он не раздается (драйвера то нет). Если попытаться вручную подключить этот принтер с сервера - появится окошко "доверяете ли вы этому драйверу?" с выбором "да, установить" и "нет". И кнопка с согласием имеет значок UAC, но тем не менее ввода пароля админа не требует, видимо это результат действия политики. Ну и таким способом всё успешно подключается.
Теоретически можно было бы проинструктировать пользователей как вручную подключить, но эти принтеры стоят у людей которые процесс печати понимают примерно как "я нажимаю на кнопку печать, потом просходит какая-то технологическая магия а затем из принтера лезет бумажка с рисунком". В общем сложно это.
2. если у пользователя этот принтер уже установлен, т.е. был вручную подключен с сервера печати со скачкой драйвера с него же подтверждая доверие драйверу из пункта 1 - через некоторое время при печати у пользователя просит обновить драйвер. При чем появляется такое же окошко спрашивающее о доверии к драйверу с кнопкой "да, установить". С той лишь разницей что сколько не жми на эту кнопку - драйвер не обновляется. После подтверждения о доверии происходит скачка чего-то в %localappdata%\temp, а затем снова появляется окно с вопросом о доверии драйвера, и так бесконечно. Если нажать пкм на самом принтере - там тоже есть пункт меню "обновить" - который "работает" с такими же симптомами. Ну и решается проблема удалением принтера и ручным подключением - тогда снова таки спрашивает о доверии к драйверу и на этот раз таки всё успешно качается и устанавливается - до поры до времени.

В связи с этим возникает вопрос - есть ли возможность самому упаковать драйвер либо таки заставить клиентские компьютеры "доверять" всем драйверам принтеров? Желательно с конкретного принт-сервера ну или вообще всем, если возможности ограничить нет.

Нашел костыльное решение тут (https://community.spiceworks.com/how_to/139278-do-you-trust-this-printer-print-driver-message), которое позволяет заставить принтсервер думать что драйвер который он раздает - подписан и упакован.
А именно - нужно в реестре по пути HKLM\System\CurrentControlSet\Control\Print\Enviroments\Windowsx64\Drivers\Version-X\{имядрайвера} (где X = 3 или 4 обычно, тип драйвера, который указан тут (https://i.imgur.com/ld6nnBa.png) найти параметр PrinterDriverAttributes и к его содержимому добавить единицу, чтобы получилось нечётное число. Ну и перезапустить службу печати. После этого драйвер "становится" упакованным и успешно раздается клиентам.
Все групповые политики я оставлял и не хочу уже экспериментировать с минимальным набором настроек, позволяющим решить задачу, потому что задолбался уже возится с этими принтерами.
Вроде как хэппи энд.