我有三台服务器。
- 服务器 1 - 打印服务器,Windows Server 2008 Standard
- 服务器 2 - 域控制器,Windows Server 2008 R2 标准
- 服务器 3 - 终端服务服务器,Windows Server 2008 R2 Standard
在服务器 1 上,我安装了 5 台打印机。所有打印机都是 TCP/IP 打印机。应限制一台打印机,以便只有指定 AD 组的成员才能对其进行打印。因此,在打印管理中,在受限打印机的安全选项卡中,AD 安全组受限打印机- 授权域用户被授予打印允许权限。具有打印允许权限的默认所有人组已被删除。
RESTRICTED Printers - Authorized Domain Users的唯一成员是 Domain\TestAllowed。
所有 5 台打印机都通过服务器 2 上的 GPO 安装在服务器 3 上,该 GPO 会自动添加打印机。这可以正常工作。
然后我以 Domain\TestProhibited 身份登录到服务器 3 并尝试打印到受限打印机并打印页面。
为什么要打印页面,我需要做些什么来确保只有RESTRICTED 打印机的成员 - 授权域用户能够打印到受限打印机?
我已经阅读(并确认我正确配置了 ACL)Microsoft 的 TechNet 页面上设置打印服务器权限。
我什至明确拒绝了服务器 1 上受限打印机上 Domain\TestProhibited 的打印权限。我从服务器 3 注销,重新登录,并且 Domain\TestProhibited 仍然能够打印到受限打印机。
即使打印机是通过共享打印机名称安装在终端服务服务器上的,在打印服务器上更改打印机的安全权限似乎是不够的。
如果我登录到终端服务服务器,我发现使用组策略安装打印机时,打印机的安全权限不会被转移。在我登录终端服务服务器并更改打印机的安全权限后,我注销并重新登录,现在打印机已正确限制。
Windows 中网络打印的重点是它们有两个对象:端口和队列。
对于您的设置,在 Server1 上,您将同时创建端口和队列,并为队列设置 ACL。然后,在 Server3 上(通过 GPO),出于某种原因,您显然是在使用 Server1 的端口创建一个新队列,而不是指向 Server1 上的队列。由于队列是新的,它不会从 Server1 上的队列中获取 ACL!