Допустим, мой домен структурирован следующим образом:
For the computers:
DOMAIN\North\Computers\OU1\PC1
DOMAIN\North\Computers\OU1\PC2
DOMAIN\North\Computers\OU1\PC2
.
.
.
DOMAIN\North\Computers\OU1\PCN
DOMAIN\North\Computers\OU2\PC1
DOMAIN\North\Computers\OU2\PC2
DOMAIN\North\Computers\OU2\PC2
For the Users:
DOMAIN\North\Staff\User
DOMAIN\North\Sales\User
DOMAIN\North\Marketing\User
Существуют разные области (север, юг, восток, запад) и разные OU для компьютеров. Дело в том, что структура такая же, как и выше, независимо от того, где вы находитесь. Теперь у меня есть принт-сервер с общими принтерами. Установить разрешения так, чтобы сотрудники North Marketing могли печатать только на своем принтере, довольно просто. Можно ли ограничить разрешения принтера в зависимости от подразделения ПК?
Например, представим, что есть общий принтер, на который обычно печатают все ПК North \ OU1. Я бы хотел, чтобы кто-нибудь, независимо от того, приезжают ли они с востока, мог пройти аутентификацию на этом принтере если и только если они зарегистрированы на ПК, который находится в DOMAIN \ North \ Computers \ OU1. Если они находятся на ПК OU2, им следует отказать.
я не разрешено нарушать модель, установленную выше. я не разрешено добавить посетившего восточного сотрудника в группу на севере.
Сервер печати - это Server 2008, если это важно.
Если предположить, что принтеры, о которых вы говорите, доступны пользователям в виде очередей печати Windows, тогда нет, в продукте нет функциональных возможностей для выполнения того, о чем вы говорите.
Динамический контроль доступа (DAC) - это первая система разрешений для объектов в Windows, которая позволяет учитывать клиентский компьютер при принятии решения об управлении доступом, но DAC не применяется к очередям печати.
Подразделения не являются принципалами безопасности, потому что у них нет идентификаторов безопасности (SID). Таким образом, "членство" в OU в любом случае нельзя использовать при принятии решений по безопасности.
Я не думаю, что в продукте нет встроенной функциональности, которая будет делать то, что вы хотите. Чтобы это произошло, вам вполне может понадобиться что-то стороннее (и даже тогда я не придумываю хороших идей).
я предположить вы можете установить выделенный компьютер с сервером печати для размещения очередей для каждой «области» и использовать правила брандмауэра для ограничения компьютеров cleint, которые могут взаимодействовать со службой общего доступа к файлам и принтерам (служба «Сервер») на каждой машине. Похоже на ужасную трату лицензий на ОС.
То, что вы пытаетесь сделать, может быть выполнено с помощью функции обратной обработки групповой политики пользователей. Технически вы не можете делать то, что хотите, используя только разрешения, так как вам нужно будет перемещать пользователей между группами, чтобы сделать это эффективным (чего вы не можете сделать). Скорее, вы сопоставляете принтеры с GPO по подразделению, в котором находятся учетные записи компьютера. Когда у вас есть пользовательский GPO, подключенный к компьютерному OU, политика обратной связи сообщает компьютеру применять пользовательские GPO, когда пользователь входит в систему, даже (и особенно), если этот пользователь находится в другом OU. Затем вы можете объединить политики с обратной связью с исходными политиками пользователя или заменить политики пользователя только с помощью обратной связи. Объект групповой политики, который включает кольцевую обработку для этого подразделения, необходимо расположить в конце списка (чтобы он запускался первым, когда компьютер входит в AD). Он устанавливает флаг, который просто ждет, пока следующий пользователь войдет на эту машину.
Таким образом, DOMAIN \ North \ Computers \ OU1 \ и DOMAIN \ North \ Computers \ OU2 могут иметь отдельные GPO с отдельными принтерами. Когда пользователи входят в систему на ПК в каждом подразделении, они выбирают объект групповой политики только для этих ПК.
Больше информации: http://blogs.technet.com/b/askds/archive/2013/05/21/back-to-the-loopback-troubleshooting-group-policy-loopback-processing-part-2.aspx