我有三台服务器。
在服务器1上,我安装了5台打印机。 所有的打印机都是TCP / IP打印机。 应限制一台打印机,以便只有指定AD组的成员才能打印到该打印机。 因此,在“打印pipe理”中,受限打印机的“安全”选项卡中,“AD安全组限制打印机 – 授权域用户”被授予“打印允许”权限。 具有“允许打印”权限的默认Everyone组已被删除。
限制打印机 – 授权域用户的唯一成员是Domain \ TestAllowed。
所有5台打印机通过服务器2上的GPO安装在服务器3上,服务器2自动添加打印机。 这工作正常。
然后我login到服务器3作为Domain \ TestProhibited并尝试打印到受限制的打印机和页面打印。
为什么页面打印以及我需要做什么才能确保只有受限域打印机的成员才能够打印到受限制的打印机?
我已经阅读(并确认我正确configuration了ACL)Microsoft的TechNet页面上设置打印服务器的权限 。
我甚至明确地拒绝在服务器1上受限制的打印机上的Domain \ TestProhibited的打印权限。我退出了服务器3,重新login,Domain \ TestProhibited仍然能够打印到受限制的打印机。
即使通过共享的打印机名称在terminal服务服务器上安装了打印机,但似乎还不足以更改打印服务器上的打印机的安全权限。
如果我login到terminal服务服务器,则看到在使用组策略安装打印机时,打印机的安全权限不会被传送。 login到terminal服务服务器并更改了打印机的安全权限后,我登出并重新login,现在打印机被正确限制。
Windows中networking打印的重要一点是它们有两个对象:端口和队列。
对于你的设置,在Server1上你正在创build一个端口和一个队列,并且你正在设置队列的ACL。 然后,在Server3上(通过GPO),出于某种原因,显然是使用Server1的端口创build一个新的队列,而不是指向Server1上的队列。 而且由于队列是新的,它不会从Server1上的队列获取ACL!