Назад | Перейти на главную страницу

Общий принтер DENY Print ACL, назначенный группе безопасности AD, не работает

У меня три сервера.

На Сервере 1 установлено 5 принтеров. Все принтеры являются принтерами TCP / IP. Один принтер должен быть ограничен, чтобы только члены указанной группы AD могли печатать на нем. Поэтому в разделе «Управление печатью» на вкладке «Безопасность» для принтера с ограниченным доступом группа безопасности AD ОГРАНИЧЕННЫЕ принтеры - авторизованные пользователи домена дается разрешение на печать. Группа по умолчанию «Все», имеющая разрешение на печать, была удалена.

Единственный член ОГРАНИЧЕННЫЕ принтеры - авторизованные пользователи домена это Domain \ TestAllowed.

Все 5 принтеров устанавливаются на Сервер 3 через объект групповой политики на Сервере 2, который автоматически добавляет принтеры. Это работает правильно.

Затем я вхожу на сервер 3 как Domain \ TestProhibited и пытаюсь распечатать на ограниченном принтере, и страница распечатывается.

Почему печатается страница и что мне нужно сделать, чтобы только участники ОГРАНИЧЕННЫЕ принтеры - авторизованные пользователи домена умеют печатать на ограниченный принтер?

Я уже прочитал (и подтвердил, что правильно настроил ACL) страницу Microsoft TechNet на установка разрешений для серверов печати.

Я зашел так далеко, что явно отказал в разрешении на печать для домена \ TestProhibited на принтере с ограниченным доступом на сервере 1. Я вышел из сервера 3, снова вошел в систему, и Domain \ TestProhibited смог печатать на принтере с ограниченным доступом.

Важным моментом сетевой печати в Windows является то, что для них есть два объекта: порт и очередь.

Для вашей настройки на Server1 вы создаете и порт, и очередь, и вы устанавливаете ACL для очереди. Затем на Server3 (через GPO) по какой-то причине вы, по-видимому, создаете новую очередь, используя порт для Server1, вместо того, чтобы указывать очередь на Server1. И поскольку очередь новая, она не получает ACL из очереди на Server1!

Кажется, что недостаточно изменить разрешения безопасности для принтера на сервере печати, даже если принтер установлен на сервере служб терминалов по имени общего принтера.

Если я вхожу на сервер служб терминалов, я вижу, что разрешения безопасности для принтера не передаются при установке принтера с использованием групповой политики. После того как я вошел на сервер служб терминалов и изменил разрешения безопасности для принтера, я вышел из системы и снова вошел в систему, и теперь принтер правильно ограничен.