Windows Server 2016 Core Installationen verbreiten sich bei einigen Admins noch recht langsam.
Ich persönlich versuche soviel wie möglich mit Core Installation zu arbeiten und entsprechend einzusetzen.
Die Vorteile liegen auf der Hand, weniger Updates und somit weniger Sicherheitslücken die ausgenutzt werden können.
Jedenfalls geht es darum, wie ein Printserver migriert wird.
Zuerst den Server nach Standard installieren, Windows 2016 Core mit der aktuellsten Build und Updates fahren.
Nun kann entsprechend die Printserver Rolle installiert werden:
Install-WindowsFeature -Name Print-Server
Nun können auf dem „alten“ Printserver entsprechend über die GUI die Drucker Exportiert und auf dem neuen Importiert werden.
Hierzu habe ich auf dem alten Printserver den neuen Hinzugefügt um den Import zu vereinfachen.
Eventuell meldet er sich das nicht alle Drucker importiert werden konnten, hier muss entsprechend Manuell nachgearbeitet werden, dies kann unterschiedliche Ursachen haben, wie inkompatible Treiber…
Sooo, das wäre es auch von der „Migration“.
Nun stellt sich doch die Frage, wie werden die Drucker bei den Usern eingefügt?
Müssen sie das manuell machen?
Könnten sie, kommt aber bei den meisten Mitarbeitern nicht gut an wenn die IT was umstellt und dann die Mitarbeiter wieder Arbeit damit haben 😉
In meinem Fall habe ich entsprechend ein Mini-Script das mir die alten Drucker entfernt und mittels GPO werden die neuen Hinzugefügt.
Der Grund wieso ich das per GPO mache ist einfach, manche User haben noch „Leichen“ drinnen und so kann ich auch die Standard-Drucker steuern bzw. ihnen und einem neuen Mitarbeiter gleich alle Drucker zur Verfügung stellen die sie benötigen.
Get-Printer -Name *\\Printserver-01* | Remove-Printer
Dieses kann nun entsprechend in einer GPO eingebunden und beim Login ausgeführt werden.
Nun haben wir aber ein kleines Problem.
Standardmässig wird dieses Script nicht ausgeführt da uns hier die Windows Script Execution Policy ein Strich durch die Rechnung macht. Diese ist Standardmässig als „Restricted“ definiert.
Diese müssen wir entsprechend auch per GPO umstellen, manche rufen jetzt sicher aus. HALT das geht doch nicht.
Je nach Richtlinie kann man dies entsprechend machen.
Wenn nur die IT Scripts nutzt, können zB nur Signierte Scripts verwendet werden dürfen?
Ich für meinen Teil habe hier „Allow local scripts and remote signed scripts“ gewählt.
Somit muss ich meine Scripts die über UNC-Pfade aufgerufen werden Signieren und trotzdem können die Benutzer die Scripts benötigen sie lokal ausführen.
Hier ist die Einstellung um Signierte Scripts über UNC Pfade auszuführen:
Zuerst Signieren wir das Script.
Hier muss von der CA entsprechend ein CodeSigning-Zertifikat ausgestellt werden, dann kann dieses entsprechend benutzt werden zum Signieren des Script:
$cert = dir Cert:\CurrentUser\My -CodeSigningCert Set-AuthenticaodeSignature .\Remove_oldPrinter.ps1 -Certificate $cert
Soweit so gut.
Die alten Drucker werden Automatisch entfernt, aber was ist mit den neuen?
Diese fügen wir wie gesagt per GPO hinzu.
Jeder Mitarbeiter muss in einer Drucker-Gruppe hinzugefügt werden, dann geschieht der Rest automatisch.
In der GPO kann dies entsprechend gemacht werden:
Wichtig hier zu beachten ist aber, das der Drucker nur über „Item-Level Targeting -> Security Group“ angewendet werden soll. Ansonsten haben alle Mitarbeiter jeden Drucker und dann kennt sich keiner mehr aus.
So, nach dem nächsten Neustart werden automatisch alle alten Drucker entfernt und die neuen Hinzugefügt.
Viel Spass damit.
sysadmin:GO 