假设我的域结构如下:
For the computers:
DOMAIN\North\Computers\OU1\PC1
DOMAIN\North\Computers\OU1\PC2
DOMAIN\North\Computers\OU1\PC2
.
.
.
DOMAIN\North\Computers\OU1\PCN
DOMAIN\North\Computers\OU2\PC1
DOMAIN\North\Computers\OU2\PC2
DOMAIN\North\Computers\OU2\PC2
For the Users:
DOMAIN\North\Staff\User
DOMAIN\North\Sales\User
DOMAIN\North\Marketing\User
电脑有不同的区域(北、南、东、西)和不同的 OU。重点是无论您身在何处,结构都与上面的相同。现在我有一个带有共享打印机的打印服务器。设置权限很简单,这样北方营销人员只能打印到他们的打印机。是否可以根据电脑 OU 限制打印机权限?
例如,假设有一台共享打印机,所有 North\OU1 PC 通常都使用它进行打印。我希望有人(无论他们是否来自东部)能够使用该打印机进行身份验证当且仅当他们登录到位于 DOMAIN\North\Computers\OU1 的 PC。如果他们在 OU2 PC 上,则应被拒绝。
我是不是允许违反上面设定的模型。我不是允许将从东边来的工作人员添加到北方的一个组中。
如果重要的话,打印服务器是 Server 2008。
答案1
假设您所谈论的打印机作为 Windows 打印队列向用户公开,那么,产品中没有您所说的功能。
动态访问控制 (DAC) 是 Windows 中第一个对象权限系统,允许在访问控制决策中考虑客户端计算机,但 DAC 不适用于打印队列。
OU 不是安全主体,因为它们没有安全标识符 (SID)。因此,OU“成员资格”无论如何都不能用于安全决策。
我认为该产品没有任何原生功能可以满足您的需求。您很可能需要添加第三方功能才能实现这一点(即使这样我也想不出什么好主意)。
我认为您可以建立一台专用的打印服务器计算机来托管每个“区域”的队列,并使用防火墙规则来限制可以与每台机器上的文件和打印共享服务(“服务器”服务)通信的客户端计算机。这似乎是对操作系统许可证的极大浪费。
答案2
您要做的事情可以通过用户组策略环回处理功能来完成。从技术上讲,您不能仅使用权限来实现您想要的效果,因为您需要在组之间移动用户才能使其有效(您无法做到这一点)。相反,您可以根据计算机帐户所在的 OU 将打印机与 GPO 进行映射。当您将用户 GPO 附加到计算机 OU 时,环回策略会告诉计算机在用户登录时应用用户 GPO,即使(尤其是)该用户在另一个 OU 中。然后,您可以选择将环回策略与用户的原始策略合并,或仅用环回策略替换用户的策略。为该 OU 打开环回处理的 GPO 需要排在列表底部(以便在计算机登录到 AD 时首先运行)。它会设置一个标志,等待下一个用户登录到该计算机。
因此,DOMAIN\North\Computers\OU1\ 和 DOMAIN\North\Computers\OU2 可以拥有单独的 GPO 和单独的打印机。当用户登录到每个 OU 中的 PC 时,他们将只选择这些 PC 的 GPO。