Назад | Перейти на главную страницу

Принтеры Cross Forest

Я пытаюсь настроить принтеры для пользователей, а сервер печати находится в лесу с доверительными отношениями. Все пользователи используют Windows 7, а сервер печати - Server 2008 R2 Standard.

DomainA содержит сервер печати. ​​DomainB содержит пользователей.

Когда пользователи или администраторы в DomainB пытаются добавить принтеры с сервера печати DomainA, они получают общую ошибку, которая говорит: «Windows не может подключиться к принтеру. Доступ запрещен»

Я добавил пользователей DomainB в систему безопасности принтера DomainA с правами печати, но по-прежнему получаю ту же ошибку. Я даже пробовал создать локальную группу домена в DomainA и добавил пользователей из DomainB, но это все равно не удается, использую ли я стандартного пользователя или администратора домена в DomainB.

При добавлении принтера через IP он работает, но не работает через сервер печати и не является приемлемым решением в нашей среде.

Что мне нужно сделать, чтобы эта распечатка между лесами заработала?

ДОПОЛНИТЕЛЬНАЯ ИНФОРМАЦИЯ ИЗ ТЕСТИРОВАНИЯ: Пользователь DomainB может просматривать общие файловые ресурсы на сервере печати DomainA, но добавление принтеров указывает на ошибку. Пользователь DomainB смог добавить определенные принтеры HP / Brother, но принтеры Ricoh и Canon не работают. Все принтеры, которые они смогли добавить, были принтерами, драйверы которых включены по умолчанию в Win7. Похоже, это происходит только тогда, когда драйвер печати необходимо загрузить с сервера печати. Возможно, общий ресурс отсутствует или с неправильными разрешениями?

Я решил эту проблему, добавив группу «DomainB \ Domain Users» к разрешениям общего ресурса «print $» на сервере принтера в DomainA. Учетная запись пользователя DomainB может затем прочитать содержимое папки с драйверами, загрузить и установить драйвер. После этого принтер может работать, пока настроено доверие, чтобы группа «Все» работала над безопасностью принтера.

Проверьте свой GPO gpresult /z или gpresult /h на отказавшей машине под сбойной учетной записью пользователя и посмотрите, включены ли у вас какие-либо ограничения Point and Print в вашей групповой политике. Если вы это сделаете, вам нужно будет добавить в список полное доменное имя сервера печати в другом лесу.

Похоже, что Forest Trust использует выборочную аутентификацию. Если это так, вам необходимо предоставить пользователям DomainB разрешение «Разрешить аутентификацию» на объекте компьютера сервера печати в ADUC в DomainA.