在设置打印服务器(Microsoft Windows Server 2008 R2)时,我发现域用户在添加“本地”打印机时能够创建标准 TCP/IP 端口,本地打印机在网络上但使用打印机的 IP 地址进行连接。
我认为用户必须属于域管理员组才能添加标准 TCP/IP 端口。这有变化吗?是否有可以修改的策略设置?
我希望域用户通过我的打印服务器打印到我的网络打印机。我不希望他们直接打印到我的网络打印机。
客户端机器是Windows 7。
答案1
通常,处理这种情况的方式是让 GPO 或 GPP 从打印服务器为用户安装打印机,然后创建一个阻止用户安装打印机的 GPO。
或者,您可以将打印机放在与客户端不同的 VLAN 上,并在交换机上阻止从客户端 VLAN 访问该 VLAN,这样客户端访问打印机的唯一方式是通过打印服务器(自然,它可以访问打印机 VLAN)。
答案2
HopelessN00b 说的话。
作为一个曾经遇到过相反问题的人——“我们如何让非管理员安装打印机?”——不,您不必是域管理员才能安装打印机。
从 Windows XP 开始,甚至可能更早,高级用户可以创建 TCP/IP 打印机端口。但是,除非他们是本地管理员或通过域或本地安全策略(在用户权限分配下)获得“加载和卸载设备驱动程序”的权限,否则他们无法安装驱动程序。
除非他们是本地人,否则他们无法安装打印机附带的软件(不是域)管理员。
您应该使用 HopelessN00b 的 GPO 解决方案。