Права пользователя обслуживающего принтеры
 

Подскажите, какие выдать права пользователю который занимается обслуживанием принтеров в организации? Необходима настройка свойств печати, установка новых и удаление старых драйверов.

1. Добавьте уч. запись техника в группу "Операторы печати" на сервере печати.
2. Техник на своем рабочем месте для указанных вами действий использует оснастку "Управление печатью" (printmanagement.msc)
3. Управлять печатью с консоли сервера или через удаленный рабочий стол он при этом не сможет.
4. Если полученного набора прав все же не достаточно, в вкладке "безопасность" свойств сервера печати, добавьте данному технику требуемые полномочия из списка.
5. Параметры безопасности для существующих на сервере принтеров не меняются (фишка МС)
6. Если Вы в момент установки не догадались использовать локальную или доменную группу "операторы печати" или иную другую для этих же целей, безопасность существующих принтеров нужно переустанавливать вручную, каждый принтер по отдельности.

AkP, Можнете подробней разъяснить последний пункт? В момент установки чего имеется ввиду: сервера печати или самого принтера?
Ещё такой вопрос - это все относится к сетевым принтерам на сколько я понимаю. Если есть локальные, то их нужно шарить и добавлять на сервер печати и давать права, так?

Имеется в виду, что права на управление принтерами\документами итд копируются из свойств сервера в момент создания принтера. Изменение безопасности сервера, не приводит к изменению свойств безопасности принтера (наследование не используется и нет возможности его включить).
Все новые принтеры будут создаваться с "правильными" настройками безопасности, все принтеры созданные ранее необходимо вручную корректировать.
Например: Вы добавляете доменную группу "операторы печати", даете данной группе в свойствах безопасности сервера права на управление очередью печати, но не даете права на управление свойств принтера. Создаете 50 принтеров и приходит пониманию, что такие полномочия оператору надо дать и добавляете эту функцию в свойствах сервера. 51-рвый принтер будет доступен для изменения свойств, а 50 уже созданных, нет. И потребуется 50 раз открывать свойства этих принеров и изменять их безопасность. МС официально подтверждает это. Но я не слышал, выпускали ли они "костыль" для копирования свойств сервера в свойства уже созданных принтеров (поищите).
Таким образом, планировать управление не администратором, а техником, нужно в момент запуска роли - сервер печати, добавлением группы в свойства сервера с заранее продуманным набором полномочий.
Под локальными принтерами Вы подразумеваете принтеры подключенные по усб на АРМ пользователей?
создаете локальный порт \\имяАРМ\имяпринтера на него вешаете принтер созданный на принт сервере.
Но в данном случае нужно еще настраивать и безопасность этого принтера на этом компьютере.

Постараюсь учесть все рекомендации. Можете еще сказать, может есть хороший гайд, как лучше организовать работу сервера печати? В большинстве того, что выдал гугл, пока что только сводиться к тому, чтобы поставить галку на добавлении роли на сервере.

Не думаю, роль достаточно примитивна, и все что дальше "поставить галочку на добавление роли" относится к эксплуатации, а тут у каждого свое видение, вплоть до кардинально противоположного.
Даже установка роли в кластере не отличается сложностью.

https://technet.microsoft.com/ru-ru/...(v=ws.10).aspx

Выбор нашего ИТ-отдела:
1. Разрешить пользователям устанавливать драйвера принтеров (Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Local Policies -> Security Options \ Devices: Prevent users from installing printer drivers=Disabled
(500 принтеров, со сроком службы в 5 лет, если проживут, = 100 новых принтеров в год, не считая перемещений... такое повышение безопасности сомнительно и слишком много генерирует нагрузку на ИТ.. "пройтись по всем серверам и АРМ" где драйвера вдруг нет или ловить множество заявок "нет моего принтера, не могу напечатать", а если драйвер на сервере заменен и он использовался сотней принтеров, то получается шквал заявок..... данное послаблении безопасности убрало проблемы с "нет принтера" на 99,9%, )
2. Установка драйверов пакетами для 32\64 платформ, а не по отдельности.
(Пока не переведутся задачи которые нельзя перетащить на "только 64 платформу", пользователь обязательно захочет печатать именно на ту платформу, на которую Вы поленились добавить драйвер.
Если не загрузить драйвера сразу, можно нарваться на то, что через год придется искать ему пару довольно долго (не только ту же версию, а ту же сборку) или переписывать инфы вручную, грешат производители изменением имени и сервер начинает считать драйвера разными)
3. Установка не "родных", а универсальных драйверов, если производитель принтера такие предоставляет.
(Больше лень, так как всегда проще управлять парой десятков пакетов драйверов, а не парой сотен, хотя были случаи когда большое количество разных драйверов конфликтовали, но это было давно и на 2003, 2008 изначально жила на универсальных + небольшое количество "уникальных" моделей)
4. Развертывание принтеров НЕ штатным средством развертывания через ГП , а логон скриптом с подгрузкой файла конфигурации из домашнего каталога пользователя.
(пожалуй самый спорный пункт, но имея в штате высокопрофессиональных программмистов... написали нам логон скрипт, с вэб-управлялкой, такой что пока ни одно другое средство по удобству использования и диагностики неисправностей переплюнуть не может.)
5. Старайтесь полностью избавиться от принтеров, не умеющих печатать по тсп\ип, сервер печати иногда крайне болезненно переваривает "мыльницы" подключаемые по усб к ПК пользователей (в редких случаях вплоть до переписывания драйверов (не все "индусы" пишут драйвера для усб-овых моделей, которые можно запихнуть на сервер без опасения потерять спулер через 5 сек работы (наш рекорд)) или объяснения с начальством, почему вот та свистоперделка от именитого производителя не работает, это не они ее считают устройством для домохозяйки, а Вас нужно в шею гнать за некомпетентность. оно Вам надо?)