Подключение сетевых принтеров скриптом в домене
 

Домен 2003 сервер. Юзеры входят в домен со своих рабочих станций пользователями домена. На сервере установлен и настроен сетевой принтер, он сделан расшаренным. На локальной машине у них права "пользователей". Есть скрипт, который подключает пользователю при входе в домен сетевые принтеры. Скрипт запускается из раздела "конфигурация пользователей"- то есть с правами пользователя на локальной машине. Ранее пробовал его запускать из раздела "Конфигурация компьютера"- он выдавал ошибку. Естественно скрипт тогда запустался с правами системы.
Ранее один раз настроил сетевые принтеры на рабочих станциях с правами админов. Проблем с подключением и переключением принтеров не наблюдалось.

Далее появился новый сетевой принтер.Проблема в том что если я установил на сервер принтер с новыми драйверами, то после подключения его скриптом выдается сообщение что типа невозможно подключить данный принтер- не хватает прав, ограничение политикой безопасности. Если же один раз войти пользователю в домен с правами на рабочей станции "Администратор"- то драйвера устанавливаются без проблем.
Давать права пользователю админа даже на время я не могу. Как можно по другому решить проблему?
Дак вот как можно запустить скрипт подлючения принтеров при входе пользователей в домен с правами администратора? или может есть еще какое нибудь решение?
Думаю есть но только я его не знаю. Подскажите пожалуйста

скрипт подключения принтеров приведен ниже:

Set WshNetwork = CreateObject("WScript.Network")

WshNetwork.AddWindowsPrinterConnection "\\Server1\HP1220A"
WshNetwork.AddWindowsPrinterConnection "\\Server1\HP500_42_A0"
WshNetwork.AddWindowsPrinterConnection "\\Server1\HP500-24"
WshNetwork.AddWindowsPrinterConnection "\\Server1\HP1220t"

WshNetwork.SetDefaultPrinter "\\Server1\HP1220A"

а можно через политики накатить этот принтер - как вариант решения.

Я решил эту проблему раздачей прав опытных пользователей всем юзерам. Еще, теоретический, в политике есть ключ указывающий может ли обычный пользователь поставить принтер, но у меня на клиентах w2k он не срабатывал, может на XP и пойдет.

ну можно и так....через политики всё равно вроде проще)

Мне это не подходит.
А по подробнее можно растолковать, плиз...

это про этот ключ говорите "Устройства: запретить пользователям установку драйверов принтеров"
Он мне не помог.

А если через пакетный файл с помощью runas попробовать, с указанием имени и пароля администратора? Установится под пользователем, но с повышенными правами только на установку принтера?

Думаю прокатит. Но пока не знаю как это сделать...
Мне просто интересно неужели нет способа проще? Даже с правами опытных пользователей скрипт не выполняется. Пришлось давать права Администратора на локальной машине пользователю, после этого вышеуказанный скрипт нормально ставит драйвера и подключает принтеры.

А если скрипт руками запустить, под правами пользователя?

После первого логона под админом, а затем если убрать права админские, то скрипт отрабатывается нормально?
Если да, то значит дело в том, что при первом подключении идет установка драйверов принтера. А при установке драйвера кладутся в %windir%\system32\drivers или в %windir%\system32\inf. А у Пользователей, как и у Опытных пользователей прав на запись в эти папки нет. Соот-но, нужно пробовать как говорит Delirium, через runas. Написать батник который бы запускал скрипт из расшаренной директории с правами админа. Типа: runas /user:administrator@domain.local пароль script.vbs - где script.vbs это Ваш скрипт. А потом батник поместить в групповые политики.
Думаю, должно прокатить.

Да , так и есть. после установки драйверов скрипт уже не выдает никаких ошибок. runas /user:administrator@domain.local пароль script.vbs вещь хорошая, но опытный узер может найти данный скрипт и узнать пароль админа. Есть правда программа шифрования скриптов и пароля администратора http://www.wingnutsoftware.com/downloads.asp.
Вопрос: нафига тогда в в локальной политике безопасности ключ "Устройства: запретить пользователям установку драйверов принтеров". То есть теоретически такая возможность установки драйверов принтера юзером с пользовательскими правами возможно. Толи драйвера принтеров HP так написаны что без соответсующих административных прав они в систему не ставятся.
Не пробовал, но уверен что такая вещь прокатит. Но мне такое решение не очень нравится.
ищу пути проще. в виде запуска некого VBS скрипта на локальной машине или на сервере.
Где то видел скрипт , запускаемый на сервере, который меняет пароли локальных учетных записей на удаленной рабочей станции. Вот думаю, может есть такой же скрипт для подключения принтеров...

А если дать права пользователю на запись в эти каталоги?

Вы не правы, если поставить скрипт в папку netlogon и дать права только на запуск, то пользователь не сможет открыть данный файл для чтения.
Может и не пройти. Самый простой способ озвучен выше:
runas /user:administrator@domain.local пароль CSCRIPT \\server\share\script.vbs

век живи, век учись! думаю этот способ мне подходит.. спасибо!