In diesem Beitrag zeigen wir, welche Möglichkeiten Gruppenrichtlinien in Windows Server 2019/2022 und Windows 10/11 bieten, um Drucker automatisiert zu verteilen und Einstellungen zu steuern. Dabei ein Hinweis gleich vorweg: Die automatisierte Druckerzuordnung über Gruppenrichtlinien verzögert die Anmeldung von Benutzern unter Umständen, denn hierbei wird nicht nur die Registry angepasst, wie es bei den meisten Richtlinieneinstellungen der Fall ist. Bei der Zuweisung per GPO muss der Client den Druckserver kontaktieren, Drucker filtern und verbinden, teilweise Treiber extrahieren und Windows-Einstellungen anpassen. Sollte die Kommunikation mit dem Drucker sehr lange dauern, kann der Benutzer nicht mit Windows arbeiten, bis das Gerät erfolgreich angebunden ist. Daher sollten Sie hier sorgfältig voarb testen. Und auch nicht immer ist es sinnvoll, Drucker über GPOs anzubinden. Wir beleuchten in diesem Artikel daher auch die Grenzen dieser Methode und deren Nachteile.

Die Druckerzuordnung per GPO funktioniert nur bei Windows-Rechnern. Sobald die Drucker angeschlossen sind, ist es für Admins nicht mehr nachvollziehbar, auf welchen Clients welcher Drucker installiert ist. Die GPO hat lediglich die Aufgabe, Drucker anzubinden. Sie kümmert sich nicht um die Dokumentation. Bei Problemen und Fehlern ist daher oft mühsame Recherche und Handarbeit notwendig – vor allem, wenn Druckertreiber Probleme machen. Daher steht vor der Bereitstellung von Druckern über GPOs zunächst eine ausführliche Planung an. Dazu kommen Tests und eine gute Dokumentation. Generell ist es durchaus sinnvoll, dass Sie nicht alle Drucker per GPO verteilen, sondern einige Drucker manuell angebunden werden oder bestimmte Benutzer sich ihre Drucker selbst suchen. In diesem Fall sind natürlich passende Namenskonventionen wichtig. Ein Mischbetrieb der Konfiguration macht die Sache flexibler, aber auch fehleranfälliger und komplexer.

Unabhängig davon, ob Drucker per GPO, Skript oder manuell im Netzwerk verteilt werden, sind eine gute Dokumentation, eine schlüssige Namensvergabe, schnelle Verbindungen und logische Strukturen bei der Verteilung notwendig. Daher ist es durchaus ein gangbarer Weg, dass die Benutzer ihre Drucker manuell anschließen. Dies ist nur einmal notwendig, sorgt aber dafür, dass die Anmeldungen schneller ablaufen und es keine Probleme mit der Druckerverbindung gibt. Dieser Weg ist zumindest parallel sinnvoll. Die automatisierte Anbindung per GPO sollte nur dann erfolgen, wenn die Drucker schnell erreichbar sind und die Verteilung gut dokumentiert ist. Testen Sie zuvor die Bereitstellung ausführlich.

Für das Einbinden von Druckern sind keine Administratorrechte erforderlich. Benutzer können daher auch selbst auf die Freigaben auf dem Druckserver klicken und sich mit dem richtigen Drucker verbinden. Voraussetzung ist allerdings, dass die Drucker nach den entsprechenden Konventionen benannt sind und Benutzer diese erkennen. Das ist auch bei der Verteilung per GPO wichtig. Richtige Namenskonventionen sind bei Druckerfreigaben mindestens genauso wichtig wie bei Ordnerfreigaben.

Hier sollten Sie darauf achten, dass die Drucker Bezeichnungen erhalten, anhand derer die Benutzer sie unkompliziert erkennen. Generell sind Eigennamen durchaus denkbar, sofern sie für die Benutzer nachvollziehbar sind. In jedem Fall ist es sinnvoll, den Drucker mit einem Aufkleber zu kennzeichnen, unabhängig davon, ob die Verteilung manuell oder per GPO erfolgt. So wissen die Benutzer genau, um welchen Drucker es sich handelt, und können diesen manuell verbinden oder die Zuordnung per GPO anfordern.

Um Sicherheitsproblemen wie der PrintNightmare-Schwachstelle vorzubeugen, sollten Sie einige Einstellungen per Gruppenrichtlinie vornehmen. Über die verschiedenen Lücken können Angreifer sonst Remote-Code auf Windows-Servern und Workstations ausführen, die komplette Kontrolle über die Geräte übernehmen und auch über den Druckerspooler Schaden anrichten.

Das ist natürlich kein vollständiger Schutz, bietet aber eine unverzichtbare Basis. Dies gilt nicht nur, wenn Drucker über Gruppenrichtlinien verteilt werden, sondern auch, wenn Benutzer ihre Drucker selbst anschließen. Wichtige Einstellungen finden sich unter dem Pfad "Computerkonfiguration / Administrative Vorlagen / Drucker". Hier sollten Sie die Einstellung "Point-and-Print-Einschränkungen" aktivieren und die Druckserver mit ihren FQDNs eintragen, von denen aus Benutzer Drucker verbinden dürfen. Außerdem sollten Sie unter "Sicherheitshinweise" die Einstellung "Warnungen und Eingabeaufforderungen nicht anzeigen" wählen. Tragen Sie unter "Point and Print für Pakete / Genehmigte Server" ebenfalls den FQDN der Druckserver ein. Setzen Sie die Einstellung "Beschränkt die Installation von Druckertreibern auf Administratoren" auf "Deaktiviert" in Verbindung mit den beiden anderen Einstellungen. Diese Einstellung ist erst ab den ADMX-Dateien für Windows 11 Version 22H2 und neuer enthalten.

Ohne diese Einstellung kann ein Benutzer Drucker nur installieren, wenn er Administratorrechte auf dem PC hat. Dies ergibt jedoch wenig Sinn, außer in Umgebungen, in denen alle Drucker bereits installiert sind und Benutzer keine weiteren Drucker installieren sollen. Mit den Richtlinieneinstellungen legen Sie fest, dass Benutzer ohne erweiterte Rechte Drucker und deren Treiber installieren dürfen, aber nur von Druckservern, die vertrauenswürdige Drucker anbieten.

Wenn Sie die Bereitstellung der Drucker über eine GPO vornehmen, sollten Sie zunächst für jeden Drucker, den Sie verteilen, eine Sicherheitsgruppe anlegen. Benutzer, die Mitglied der Gruppe sind, erhalten den Drucker, andere nicht. Hier ist es sinnvoll, die Bezeichnungen der Gruppen so zu wählen, dass auch der Freigabenamen des Druckers ersichtlich ist. Das erhöht die Übersicht und hilft bei der Fehlerbehebung. Die Sicherheitsgruppen können einzelne Benutzer umfassen oder andere Gruppen, die Sie zum Beispiel für weitere Zwecke nutzen. Das erleichtert das Verwalten, weil zum Beispiel durch Mitgliedschaft in der Gruppe "Buchhaltung", die wiederum Mitglied der Gruppe "Drucker-Buha-Raum-454" ist, den Benutzern entsprechende Freigaben verbunden werden und automatisch auch gleich der richtige Drucker, zum Beispiel "Drucker-Buha" auf dem Server "print01.joos.print".

Im Anschluss erstellen Sie eine neue GPO, zum Beispiel "Drucker verbinden". Hier navigieren Sie zu "Benutzerkonfiguration / Einstellungen / Systemsteuerungseinstellungen". Durch einen Rechtsklick auf "Drucker" und die Auswahl von "Neu / Freigegebener Drucker" können Sie an dieser Stelle neue Drucker definieren, die durch diese Richtlinie automatisch auf den Computern der Anwender installiert werden. Auf der Seite "Neue Eigenschaften für freigegebene Drucker" wählen Sie entweder "Aktualisieren" oder "Ersetzen" und bei "Freigabepfad" wählen Sie die Freigabe des Druckers aus.

Auf der Registerkarte "Gemeinsame Optionen" legen Sie mit "Element entfernen, wenn es nicht mehr angewendet wird" fest, dass Windows den Drucker entfernt, wenn der Benutzer nicht mehr Mitglied der entsprechenden Sicherheitsgruppe ist. Danach aktivieren Sie "Zielgruppenadressierung auf Elementebene" und klicken auf "Zielgruppenadressierung". Jetzt können Sie über "Neues Element / Sicherheitsgruppe" konfigurieren, dass Windows den Drucker nur dann verbindet, wenn ein Benutzer Mitglied einer bestimmten Sicherheitsgruppe ist. Diese wählen Sie an dieser Stelle aus, etwa die bereits erwähnte Gruppe "Drucker-Buha-Raum-454". In dieser ist in diesem Beispiel auch die Gruppe "Buchhaltung" Mitglied.

Nehmen Sie einen Benutzer direkt in die Gruppe "Drucker-Buha-Raum-454" auf oder in die Gruppe "Buchhaltung", führt Windows die Richtlinie aus und verbindet den Drucker. Entfernen Sie den Benutzer aus diesen Gruppen, entfernt Windows den Drucker vom System. Achten Sie darauf, dass genau diese Vorgänge durchaus einige Zeit dauern können und damit die Anmeldung der Benutzer verzögern. Konfigurieren Sie auf der Seite "Allgemein" noch die Option "Drucker als Standarddrucker festlegen", ist der verbundene Drucker auch gleich der Standard.

Es kann sinnvoll sein, dass Sie mehrere GPOs anlegen. Ein GPO ist einer Gruppe zugeordnet, die den Drucker als herkömmlichen Printer nutzt. In diesem Fall können Sie eine weitere Richtlinie und eine weitere Gruppe für den gleichen Drucker anlegen, aber mit dem Unterschied, dass Sie die Option "Drucker als Standarddrucker festlegen" gesetzt haben. Das ist sinnvoll, wenn manche Anwender den Drucker lediglich nutzen sollen, während dieser bei anderen Usern zum Standard im System wird. Schlussendlich verkomplizieren zusätzliche GPOs und Gruppen die Zuordnungen.

Mit der Druckverwaltung, die auch über "printmanagement.msc" zur Verfügung steht, lassen sich alle Druckserver im Netzwerk und alle auf diesen Servern installierten Drucker verwalten und über GPOs bereitstellen. Die Druckverwaltung installieren Sie zum Beispiel über den Server-Manager bei "Druck- und Dokumentdienste". Standardmäßig zeigt die Konsole nur die Drucker des Servers an, auf dem Sie die Druckverwaltung installiert haben. Über das Kontextmenü von "Druckerserver" können Sie weitere Server hinzufügen. Bei "Benutzerdefinierte Filter / Alle Drucker" zeigt die Konsole alle freigegebenen Drucker auf allen angebundenen Druckerservern an.

Klicken Sie mit der rechten Maustaste auf einen Drucker, lassen sich über das Kontextmenü verschiedene Aufgaben durchführen. So können Sie zum Beispiel mit dem Befehl "Mit Gruppenrichtlinie bereitstellen" eine Gruppenrichtlinie auswählen, in die Sie den Drucker integrieren. An dieser Stelle legen Sie auch neue GPOs an – zumindest, wenn Sie mit einem Active-Directory-Admin angemeldet sind. Im Fenster lässt sich festlegen, dass die Verbindung des Druckers auf Basis der Benutzerkonten oder Gruppenmitgliedschaft erfolgt beziehungsweise auf Basis von Computerkonten. Die Verteilung erfolgt allerdings erst, wenn Sie in der Gruppenrichtlinienverwaltungskonsole das jeweilige GPO mit einem Container verknüpfen.

Der Drucker ist in der GPO über den Pfad "Benutzerkonfiguration / Computerkonfiguration / Richtlinien / Windows-Einstellungen / Bereitgestellte Drucker" zu finden. Benutzer oder Computer, die diese Richtlinie anwenden, erhalten den Drucker an dieser Stelle zugeteilt. Hier können Sie mehrere Printer hinzufügen, auch direkt in der Richtlinie. Dazu klicken Sie im Fenster bei "Bereitgestellte Drucker" auf die rechte Maustaste und wählen "Drucker bereitstellen". Generell ist es sinnvoll, dass Sie für jeden Drucker ein eigenes GPO verwenden. Dadurch lassen sich die Einstellungen besser steuern. Wenn natürlich bestimmte Drucker immer gemeinsam zum Einsatz kommen sollen, können Sie diese auch in einem gemeinsamen GPO verteilen lassen.

Wechseln Mitarbeiter regelmäßig ihren Standort, können Sie die Zuordnung auch über den Active-Directory-Standort vornehmen. In diesem Fall müssen Sie die Benutzer nicht immer in unterschiedlichen Gruppen aufnehmen, sondern Windows erkennt auf Basis des AD-Standorts, an dem sich der Benutzer mit seinem PC anmeldet, welcher Drucker verbunden werden soll. Das funktioniert allerdings nur, wenn das Verzeichnis entsprechend gepflegt ist.

Die Konfiguration erfolgt in diesem Fall über Gruppenrichtlinien und die Druckerverwaltungskonsole. Damit die Zuordnung funktioniert, hinterlegen Sie in AD-Standorte und -Dienste (dssite.msc) in den Eigenschaften der Subnetze für jedes Subnetz die richtige Lokation. Das sollte bei der Verwendung mehrerer Standorte und Subnetze ohnehin erfolgen. Es ist wichtig, dass die verwendeten IP-Subnetze im Netzwerk immer dem passenden AD-Standort zugewiesen sind, damit bei der Druckersuche Windows das Subnetz erkennt und aus dem AD den richtigen Standort auswählen kann.

Darüber hinaus aktivieren Sie die Option "Im Verzeichnis anzeigen", wenn Sie einen Drucker im Netzwerk freigeben. Das ist auch nachträglich möglich. Die Funktion ist allerdings nur verfügbar, wenn die Richtlinieneinstellung "Druckerveröffentlichung zulassen" nicht deaktiviert ist. Diese finden sie bei "Computerkonfiguration / Richtlinien / Administrative Vorlagen / Drucker". Sinnvoll ist das Aktivieren dieser Einstellung in Verbindung mit "Neue Drucker automatisch in Active Directory veröffentlichen". Das stellt sicher, dass Drucker stets im AD verfügbar sind und Benutzer diese bei der Suche nach neuen Druckern leichter finden.

Im Anschluss aktivieren Sie die Einstellung "Druckerstandortsuchtext im Vorhinein ausfüllen" bei "Computerkonfiguration / Richtlinien / Administrative Vorlagen / Drucker". Nachdem Sie diese Richtlinieneinstellung aktiviert haben, wendet Active Directory diese Einstellung für alle im AD veröffentlichten Drucker an.

Suchen Anwender in Windows beim Hinzufügen von neuen Druckern die vorhandenen Netzwerkdrucker am Standort, zeigt Windows die Drucker an, die dem jeweiligen Standort zugewiesen sind. Dazu steht beim Hinzufügen die Option "Einen Drucker im Verzeichnis anhand des Standorts oder der Druckerfeatures suchen" zur Verfügung. Hilfreich ist es an dieser Stelle auch, wenn die Drucker den Microsoft-Standardtreiber "Microsoft IPP Class Driver" nutzen oder einen Treiber, der die Zuordnung über verschiedene Standorte unterstützt. In Zukunft will Microsoft keine Druckertreiber mehr über Windows-Update verteilen, sondern nur noch den einheitlichen Treiber "Microsoft IPP Class Driver" zur Verfügung stellen.

Prinzipiell können Sie Drucker auch in der Cloud bereitstellen. Das bietet sich für mobile Anwender an, die zum Beispiel mit Azure Virtual Desktop oder Windows 365 arbeiten oder viel unterwegs sind und auf Drucker im Unternehmen zugreifen müssen. Mit dem Clouddienst Microsoft Universal Print [1] lagern Sie das Druckermanagement in die Cloud aus und steuern damit auch das Drucken über Azure Virtual Desktop und Windows 365 deutlich effizienter und automatisiert. Dabei kann der Dienst in Ergänzung oder als Alternative zur Bereitstellung von Druckern mit Gruppenrichtlinien zum Einsatz kommen.

Eine lokale Serverkomponente ist nur dann erforderlich, wenn die internen Drucker Universal Print nicht unterstützen. Dadurch lassen sich lokale Printserver zumindest in vielen Fällen fast vollständig einsparen. Damit der Dienst genutzt werden kann, muss auf den Clients Windows 10 oder 11 installiert sein. Außerdem müssen die Drucker diese Technologie unterstützen. Ist dies nicht der Fall, können Sie auf dem Druckserver immer noch den Agenten für Microsoft Universal Print installieren und damit zumindest einige Drucker anbinden.

Auf den Clients ist kein Treiber erforderlich, wenn Microsoft Universal Print zum Einsatz kommt – und darin liegt ist der eigentliche Vorteil des Diensts. Damit verbessert das Verfahren die Sicherheit und vereinfacht die Bereitstellung von Druckern im Netzwerk. Der Client sendet die Druckdaten an Azure, der Clouddienst sendet den Druckauftrag dann an das entsprechende Gerät im Netzwerk. Die Nutzung von Universal Print vereinfacht so auch die Bereitstellung neuer Drucker. Nutzer müssen sich lediglich bei Universal Print anmelden und können dann problemlos auf allen angeschlossenen Druckern im Unternehmen drucken. Hinsichtlich der Berechtigungsstruktur für den Zugriff auf bestimmte Drucker kann Universal Print sowohl auf das Active Directory als auch auf Entra ID zugreifen. Es ergibt jedoch keinen Sinn, nur für diesen Dienst auf Entra ID zu setzen. Doch wenn Unternehmen bereits mit hybriden Netzwerken arbeiten, ist die Integration des Diensts schnell erledigt und erleichtert die Bereitstellung von Druckern für mobile Nutzer.

Universal Print ist für alle Abonnenten von Microsoft 365 F3, E3, E5, A3 und A5 sowie für Microsoft 365 Business Premium verfügbar. Der Dienst ist ebenfalls in Windows 10/11 Enterprise E3, E5, A3 und A5 enthalten. Universal Print verfügt über einen Pool von Druckaufträgen, die allen lizenzierten Benutzern zur Verfügung stehen. Jede Lizenz beinhaltet fünf Druckaufträge pro Monat, die in einem Pool gesammelt werden. Bei einem Abonnement mit 1000 lizenzierten Benutzern stehen beispielsweise 5000 Druckaufträge pro Monat für alle Benutzer zur Verfügung. Ungenutzte Druckaufträge verfallen am Monatsende. Unternehmen können jedoch weitere Druckaufträge zuweisen.

Grundsätzlich wird ein Dokument immer als ein Druckauftrag gezählt, unabhängig von der Anzahl der Seiten oder der Anzahl der gedruckten Exemplare. Ein Auftrag gilt als abgeschlossen, wenn er erfolgreich an einen Drucker übertragen oder von einem mit Universal Print verbundenen Drittdienst übernommen wurde. Mobile Benutzer oder Benutzer im Home Office können über Universal Print Dokumente sicher im Unternehmen ausdrucken, ohne dass eine VPN-Verbindung aufgebaut werden muss. Wechselt der Benutzer den Standort, sind keine neuen Druckerverbindungen notwendig, sondern die Universal Print-Drucker stehen auch am neuen Standort zur Verfügung.

Universal Print verwendet das Internet Printing Protocol (IPP) für die Verbindung zwischen Client und Drucker. Das Protokoll erkennt auch die Funktionen des Druckers und ermöglicht es dem Benutzer, aus diesen auszuwählen, ohne dass ein Treiber auf dem Endgerät installiert werden muss. Voraussetzung für die Nutzung von Universal Print ist, dass der Drucker den Dienst unterstützt. Parallel dazu bietet Microsoft den Universal Print Connector an. Für Abonnenten von Universal Print steht der Connector kostenlos zum Download zur Verfügung [2].

Damit Drucker im Netzwerk kein Einfallstor für Hacker und Malware darstellen, bauen nur die internen Geräte eine Verbindung zu Azure auf. Aus der Cloud kommen keinerlei direkte Verbindungen zustande. In regelmäßigen Abständen fragen IPP-Drucker die Druckwarteschlangen in Universal Print auf Microsoft Azure ab und führen Druckaufträge aus. Universal Print ist daher nicht der Initiator der Verbindungen. Wenn im Netzwerk der Universal Print Connector zum Einsatz kommt, übernimmt dieser die Aufgabe des Verbindungsaufbaus und sendet danach die Druckaufträge zu den internen Druckern. Das Anpassen von internen Firewalls ist bei der Verwendung von Universal Print nicht notwendig. Die Übertragung der Daten findet verschlüsselt statt. Es ist auch möglich zu definieren, dass bestimmte Ausdrucke erst dann starten, wenn ein Anwender eine PIN auf dem Drucker eingibt. Das soll verhindern, dass unberechtigte Personen womöglich heikle Daten lesen.

Für das Einrichten des Diensts sind die AD-Rollen "Printer Administrator" oder "Global Administrator" im Azure-Abonnement notwendig. Die Alternative Ezeep [3] ist günstiger und benötigt kein Azure- oder Microsoft 365-Abonnement. Mit dem Tool ist auch das Drucken mit iOS und Android sowie aus macOS heraus über das Internet möglich.

Das Verteilen von Druckern ist über GPOs durch die Gruppenrichtlinien-Einstellungen (Group Policies Preferences) möglich und parallel über die Zuordnung von Druckern auf herkömmlichen Wegen in GPOs. Das manuelle Verbinden von Druckern ist weiterhin ebenfalls parallel möglich. Ein sinnvoller Weg, um Drucker zu verteilen, ist der Clouddienst Microsoft Universal Print beziehungsweise die Alternative Ezeep. Es gibt daher verschiedene Möglichkeiten, Drucker im Netzwerk bereitzustellen, sodass in allen Umgebungen die richtigen Einstellungen zum Ziel führen. Teilweise ist eine Mischkonfiguration der richtige Weg. In jedem Fall gibt es mit den Active Directory und Entra ID eine Vielzahl an Möglichkeiten, die das Verbinden von Druckern im Netzwerk deutlich vereinfachen.