Impressora compartilhada DENY Imprimir ACL atribuído ao Grupo de Segurança AD não Funcionando

1

Eu tenho três servidores.

  • Servidor 1 - Servidor de impressão, Windows Server 2008 Standard
  • Servidor 2 - Controlador de domínio, Windows Server 2008 R2 Standard
  • Servidor 3 - Terminal Services Server, Windows Server 2008 R2 Standard

No servidor 1, tenho 5 impressoras instaladas. Todas as impressoras são impressoras TCP / IP. Uma impressora deve ser restrita para que apenas os membros de um grupo do AD especificado possam imprimir nela. Portanto, no Gerenciamento de Impressão, na guia Segurança da impressora restrita, o RESTRICTED Printers - Usuários de Domínio Autorizados do AD Security Group recebe a permissão Print Permitir. O grupo Todos padrão que possui a permissão Permitir impressão foi removido.

O único membro das Impressoras RESTRICTED - Usuários de Domínio Autorizados é Domain \ TestAllowed.

Todas as 5 impressoras estão instaladas no Servidor 3 por meio de um GPO no Servidor 2, que adiciona automaticamente as impressoras. Isso funciona corretamente.

Eu então faço o login no Servidor 3 como Domínio \ TestProhibited e tento imprimir para a impressora restrita e as impressões da página.

Por que a página é impressa e o que preciso fazer para garantir que apenas membros de Impressoras RESTRICTED - Usuários de Domínio Autorizados possam imprimir na impressora restrita?

Eu já li (e confirmei que configurei a ACL corretamente) a página do TechNet da Microsoft sobre configuração de permissões para servidores de impressão .

Eu fui tão longe a ponto de negar explicitamente a permissão de impressão para Domain \ TestProhibited na impressora restrita no servidor 1. Eu saí do servidor 3, entrei novamente, e o Domain \ TestProhibited ainda conseguiu imprimir na impressora restrita .

    
por user5870571 10.02.2016 / 20:15

2 respostas

0

Parece que não é suficiente alterar as permissões de segurança da impressora no servidor de impressão, embora a impressora esteja instalada no Terminal Services Server pelo nome da impressora compartilhada.

Se eu fizer logon no Terminal Services Server, verificarei que as permissões de segurança da impressora não são transferidas quando a impressora é instalada usando a diretiva de grupo. Depois que eu entrei no Terminal Services Server e mudei as permissões de segurança para a impressora, eu efetuei logout e login novamente e agora a impressora está corretamente restrita.

    
por 13.02.2016 / 21:32
0

O ponto importante sobre a impressão em rede no Windows é que existem dois objetos para eles: a porta e a fila.

Para sua configuração, no Server1 você está criando uma porta e uma fila e está configurando a ACL para a fila. Em seguida, no Server3 (por meio do GPO), por algum motivo, você aparentemente está criando uma nova fila usando a porta para o Server1, em vez de apontar a fila no Server1. E como a fila é nova, não está obtendo a ACL da fila no Server1!

    
por 15.02.2016 / 19:05