При настройке сервера печати (Microsoft Windows Server 2008 R2) я обнаружил, что пользователь домена может создать стандартный порт TCP / IP при добавлении «локального» принтера, при этом локальный принтер находится в сети, но подключен к нему с помощью IP-адреса. адрес принтера.
Я думал, что пользователь должен быть в группе администраторов домена, чтобы добавить стандартный порт TCP / IP. Это изменилось? Есть ли параметр политики, который можно изменить?
Я хочу, чтобы пользователи домена печатали на моих сетевых принтерах через сервер печати. Я не хочу, чтобы они печатали прямо на мои сетевые принтеры.
Клиентские машины - это Windows 7.
Обычно это решается путем установки принтеров GPO или GPP с сервера печати для пользователя, а затем создать объект групповой политики, который запрещает пользователям устанавливать принтеры.
В качестве альтернативы вы можете иметь свои принтеры в другой VLAN, чем ваши клиенты, и блокировать доступ к этой VLAN из клиентской VLAN на коммутаторе, поэтому единственный способ для клиентов получить доступ к принтерам - пройти через сервер печати (что могло бы есть доступ к принтеру VLAN, естественно).
Что сказал HopelessN00b.
Если говорить от имени человека, у которого была противоположная проблема - «Как разрешить неадминистраторам устанавливать принтеры?» - нет, вам не нужно быть администратором домена, чтобы установить принтер.
По крайней мере, в Windows XP и, возможно, раньше, опытные пользователи могли создавать порты принтера TCP / IP. Однако они не могли устанавливать драйверы, если они не были локальными администраторами или не получили «Загрузка и выгрузка драйверов устройств» через политику домена или локальную политику безопасности (в разделе «Назначение прав пользователя»).
Они не могут установить программное обеспечение, поставляемое с их принтером, если они не являются локальными (не домен) администраторы.
Вам следует использовать решение HopelessN00b GPO.