Windows 打印环境中基于设备的权限

Windows 打印环境中基于设备的权限

我们有一个学生实验室,使用一台彩色打印机和多个打印队列来处理彩色和黑白打印。我们还使用 pcounter 进行审计。我们正在从 Novell 的 NDPS 系统转移到 Windows 2008,在这个例子中我遇到了一点障碍。打印经理希望在这个实验室中拥有一台打印机(在本例中是理光打印机),并为彩色和黑白作业设置两个单独的打印对象,并对两者分别收费。

这不是一件简单的事情。在这种情况下,PCounter 的颜色检测并不可靠,因此我们不能用它来将彩色作业排除在黑白队列之外。如果我们在实验室工作站上放置两台不同的打印机并锁定驱动程序,似乎可以奏效。这种模式在 Novell 环境中运行良好,因为学生必须将 Novell Client 添加到他们的笔记本电脑才能将彩色作业打印到黑白队列,但我们从未发现有人这样做。Windows 打印环境改变了这一切,因为现在几乎任何东西都可以打印到 Windows 打印对象。

我们的学生将能够使用无线网络(可能还有宿舍)上的个人非域机器将驱动器映射到中央文件服务器,并且可能也映射到中央打印服务器。我们没有任何方法来管理这些私人拥有的非域笔记本电脑,因此没有任何驱动程序级别的控制;尤其是对于所有到处运行的 MacBook。这就是驱动程序级别解决方案不可行的原因。

我们必须允许全体学生使用这些打印机进行打印,但如果后台处理程序也只接受来自特定工作站的作业,我们会非常高兴。Windows 打印环境是否支持这样的功能?

答案1

Windows 后台处理程序服务中没有允许您根据用于提交打印作业的计算机(只有用户)设置打印队列权限的功能。

我想到的一个还算不错的想法是对排队等候该打印机的打印服务器设置防火墙,以便只有获得提交打印作业的计算机才能访问 TCP 端口 139 和 445。这种配置方式非常繁琐,而且可能会导致您需要更多的服务器计算机实例来为不同组合的打印机和获得许可的计算机提供服务。

我曾想过尝试破解微软的 Internet 打印协议 (IPP) 服务器,但这个想法实在是太渺茫了。它允许用户通过 IIS 上的 HTTP 提交作业,这能够根据源 IP 或 DNS 名称允许/拒绝请求。但我认为,这种可能性不大。

我还考虑过使用自定义“前端”进程,例如运行 HP“直接打印”(TCP 端口 9100)服务器,根据提交设备授权作业。它可以拾取作业,授权作业,然后将其提交到后端 Windows 队列。问题是每个用户的身份验证和记账将会丢失。

我认为您最好严格控制现有的队列权限,并遵守每个用户的安全性。

答案2

Windows 打印环境改变了这一切,因为现在几乎任何东西都可以打印到 Windows 打印对象。

当您在 Windows 内部共享打印机时,有一个安全选项卡允许您设置各种权限。

对于您的彩色/黑白问题,您应该能够为 Windows 上的一台物理打印机安装两台单独的打印机,并为每台打印机分配不同的权限。要使其中一台打印机仅显示黑白,如果您无法锁定首选项,您可以将驱动程序设置为与该打印机兼容的黑白 PCL 或 PS 驱动程序。例如,您可以使用不支持彩色打印的 LaserJet 4 驱动程序。

答案3

只是一个想法,我还没有测试过,甚至没有资格测试...使用包含设备的安全组,而不是用户。根据这些组限制打印权限。

答案4

读完上面的内容,听起来如果我想做我们的印刷服务人员想要的事情,我需要做以下场景:

  • 创建打印共享时,用于同时进行彩色和黑白打印的打印机应设置在与其余普通老式单功能打印机隔离的打印服务器上进行共享。
  • 这台专用机器需要使用网络控制(防火墙、路由器规则等等)来阻止来自学生聚集地的 Windows 共享流量到达它。

我在问题中没有明确说明的一件事是,我们的学生将能够使用个人非域机器将驱动器映射到中央文件服务器,并且可能也映射到中央打印服务器。我们没有办法管理这些私人拥有的非域笔记本电脑,因此没有任何驱动程序级别的控制;尤其是对于所有运行的 MacBook。这就是驱动程序级别解决方案不可行的原因。

相关内容