É possível regular as permissões da impressora com base na unidade organizacional do computador

Question

É possível regular as permissões da impressora com base na unidade organizacional do computador

#1 resposta do (2 votos)
#2 resposta do (1 votos)

2

Digamos que meu domínio esteja estruturado da seguinte forma:

For the computers:

DOMAIN\North\Computers\OU1\PC1
DOMAIN\North\Computers\OU1\PC2
DOMAIN\North\Computers\OU1\PC2
.
.
.
DOMAIN\North\Computers\OU1\PCN
DOMAIN\North\Computers\OU2\PC1
DOMAIN\North\Computers\OU2\PC2
DOMAIN\North\Computers\OU2\PC2

For the Users:

DOMAIN\North\Staff\User
DOMAIN\North\Sales\User
DOMAIN\North\Marketing\User

Existem diferentes áreas (Norte, Sul, Leste, Oeste) e UOs diferentes para os PCs. O ponto é que a estrutura é a mesma que acima, não importa onde você esteja. Agora eu tenho um servidor de impressão com impressoras compartilhadas. É trivial definir permissões para que o pessoal do The North Marketing possa imprimir apenas em sua impressora. É possível restringir permissões de impressora com base na UO do PC?

Por exemplo, vamos fingir que há uma impressora compartilhada na qual todos os computadores do \ U1 Norte geralmente imprimem. Eu gostaria de alguém, não importa se eles estão visíveis do leste para poder autenticar com essa impressora se e somente se eles estiverem conectados a um PC que reside em DOMAIN \ North \ Computers \ OU1. Se eles estiverem em um OU2 PC, eles devem ser negados.

Não é permitido violar o modelo definido acima. Não posso adicionar o membro visitante do leste a um grupo no norte.

Servidor de impressão é o Servidor 2008, se isso for importante.

printing active-directory network-share

por asdffffff 09.04.2014 / 20:59

2 respostas

Tags printing active-directory network-share

Detectar arquivos de pastas que não herdam as permissões de seus pais Prioridade do servidor CentOS de serviços raiz e serviços não raiz

score 2 · Answer 1

Supondo que as impressoras de que você está falando estejam expostas aos usuários como filas de impressão do Windows, não há funcionalidade no produto para fazer o que você está falando.

O Controle de Acesso Dinâmico (DAC) é o primeiro sistema de permissão de objeto no Windows que permite que o computador cliente seja levado em consideração na decisão de controle de acesso, mas o DAC não se aplica a filas de impressão.

OUs não são Diretores de Seucurity porque eles não possuem identificadores de segurança (SIDs). Como tal, a "associação" da UO não pode ser usada em decisões de segurança de qualquer maneira.

Não há nenhuma funcionalidade nativa no produto em que eu possa pensar que fará o que você deseja. Você teria que usar algo de terceiros para fazer isso acontecer (e mesmo assim eu não estou com boas idéias).

Suponho que você possa usar um servidor de impressão dedicado para hospedar as filas de cada "área" e usar regras de firewall para limitar os computadores que podem se comunicar com o serviço de compartilhamento de arquivos e impressão (o serviço "Servidor") em cada máquina. Parece um terrível desperdício de licenças de SO.

score 1 · Answer 2

O que você está tentando fazer pode ser realizado com a função Processamento de loopback de política de grupo de usuários. Tecnicamente, você não pode fazer o que deseja com apenas permissões, já que precisaria mover os usuários entre os Grupos para torná-lo efetivo (o que você não pode fazer). Em vez disso, você mapeia impressoras com um GPO por OU em que as contas de computador estão. Quando você tem GPOs de Usuários conectados a uma UO de Computador, a Diretiva de Loopback informa ao Computador para aplicar os GPOs de Usuário quando um usuário faz login mesmo (e especialmente) esse usuário está em outra OU. Em seguida, você pode optar por mesclar as políticas de loopback com as políticas originais do usuário ou substituir as políticas do usuário apenas pelo loopback. O GPO que ativa o processamento de loopback para essa unidade organizacional precisa ser ordenado na parte inferior da lista (para que seja o primeiro a ser executado quando o computador fizer logon no AD). Ele define um sinalizador que está aguardando até que o próximo usuário faça login nessa máquina.

Portanto, DOMAIN \ North \ Computers \ OU1 \ e DOMAIN \ North \ Computers \ OU2 podem ter GPOs separados com impressoras separadas. Quando os usuários fazem login em PCs em cada unidade organizacional, eles pegam o GPO apenas para esses computadores.

Mais informações: link