我正在尝试为用户设置打印机,并且打印服务器位于具有信任关系的林中。用户都在 Windows 7 上,打印服务器是 Server 2008 R2 Standard。
DomainA 包含打印服务器 DomainB 包含用户
当域 B 中的用户或管理员尝试从域 A 打印服务器添加打印机时,他们会收到一个通用错误,提示“Windows 无法连接到打印机。访问被拒绝”
我已将域 B 用户添加到域 A 打印机安全并赋予打印权限,但仍然出现相同错误。我甚至尝试在域 A 中创建域本地组,并添加域 B 中的用户,但无论我在域 B 中使用标准用户还是域管理员,都仍然失败。
通过 IP 添加打印机时,它可以工作,但这不是通过打印服务器运行的,并且在我们的环境中不是一个可接受的解决方案。
我需要做什么才能使跨林打印功能正常运行?
测试的其他信息:DomainB 用户能够浏览 DomainA 打印服务器上的文件共享,但添加打印机会标记错误。DomainB 用户能够添加某些 HP/Brother 打印机,但 Ricoh 和 Canon 打印机无法添加。他们能够添加的所有打印机都是 Win7 中默认包含驱动程序的打印机。这似乎仅在需要从打印服务器下载打印驱动程序时才会发生。可能缺少共享或权限错误?
答案1
听起来森林信任正在使用选择性身份验证。如果是这样,您需要向域 B 用户授予域 A 中 ADUC 中的打印服务器计算机对象的“允许身份验证”权限。
答案2
检查您的 GPOgpresult /z
或gpresult /h
故障用户帐户下的故障机器,看看您的组策略中是否启用了指向和打印限制。如果启用了,您必须将其他林中的打印机服务器的 FQDN 添加到列表中。
答案3
我通过将“DomainB\Domain Users”组添加到 DomainA 中打印机服务器上的“print$”共享权限来解决了这个问题。然后,DomainB 用户帐户可以读取驱动程序文件夹内容,下载并安装驱动程序。只要信任已启动并运行,打印机就可以工作,这样“Everyone”组就可以在打印机安全方面发挥作用。