可以说我的域名结构如下:
For the computers: DOMAIN\North\Computers\OU1\PC1 DOMAIN\North\Computers\OU1\PC2 DOMAIN\North\Computers\OU1\PC2 . . . DOMAIN\North\Computers\OU1\PCN DOMAIN\North\Computers\OU2\PC1 DOMAIN\North\Computers\OU2\PC2 DOMAIN\North\Computers\OU2\PC2 For the Users: DOMAIN\North\Staff\User DOMAIN\North\Sales\User DOMAIN\North\Marketing\User 有不同的地区(北,南,东,西)和个人电脑不同的OU。 无论你身在何处,结构都和上面一样。 现在我有一台共享打印机的打印服务器。 设置权限是微不足道的,北部营销人员只能打印到他们的打印机。 是否可以限制基于PC OU的打印机权限?
例如,让我们假设有一台共享的打印机,所有的North \ OU1 PC通常打印到这台打印机。 我希望某个人,无论他们是否从东方访问, 只要他们login到位于DOMAIN \ North \ Computers \ OU1的PC上,就能够使用该打印机进行身份validation。 如果他们在OU2 PC上,他们应该被拒绝。
我不能违反上述模式。 我不允许将访问的东部工作人员join北部的一个小组。
打印服务器是Server 2008,如果这件事。
假设您正在讨论的打印机作为Windows打印队列向用户展示,那么不,产品中没有function来执行您正在讨论的内容。
dynamic访问控制(DAC)是Windows中第一个允许在访问控制决策中考虑客户端计算机的对象许可系统,但DAC不适用于打印队列。
OU不是Seucurity Principal,因为它们没有安全标识符(SID)。 因此,OU“成员资格”无论如何不能用于安全决策。
产品中没有任何本地function,我能想到的就是做你想做的。 为了实现这个目的,你必须要安装第三方的东西(即使这样我也不会有好的想法)。
我想你可以站起来一台专用的打印服务器计算机来承载每个“区域”的队列,并使用防火墙规则来限制在每台计算机上可以与文件通信并打印共享服务的计算机(“服务器”服务) 。 看起来像是一个可怕的操作系统许可证的浪费。
用户组策略环回处理function可以完成您正在尝试执行的操作。 从技术上说,你不能只用权限来做你想做的事情,因为你需要在组之间移动用户来使这个有效(你不能这么做)。 而是通过计算机帐户所在的OU来映射打印机。当您将用户GPO连接到计算机OU时,环回策略会告诉计算机在用户login时应用用户GPO(特别是)如果该用户在另一个OU中。 然后,您可以select将环回策略与用户的原始策略合并,或者仅使用环回来replace用户的策略。 为该OU启用环回处理的GPO需要在列表底部进行sorting(以便在计算机login到AD时首先运行)。 它设置一个标志,只是等待下一个用户login到该机器。
因此,DOMAIN \ North \ Computers \ OU1 \和DOMAIN \ North \ Computers \ OU2可以将单独的GPO与单独的打印机配合使用。 当用户login到每个OU中的PC时,他们将为这些PC拿起GPO。
更多信息: http : //blogs.technet.com/b/askds/archive/2013/05/21/back-to-the-loopback-troubleshooting-group-policy-loopback-processing-part-2.aspx