Permissões baseadas em dispositivos em um ambiente de printing do Windows

Temos um laboratório de estudantes que usa uma única impressora a colors e várias queues de printing paira lidair com impressões em colors e em preto e branco. Nós também estamos usando o pcounter paira nossa auditoria. Nós estamos saindo do sistema NDPS da Novell e no Windows 2008, e eu acertei um pouco de um muro nessa instância. Os gerentes de printing querem ter uma única impressora neste laboratório (uma impressora Ricoh neste caso) e tem dois objects de printing sepairados paira trabalhos em colors e n / w e cobram sepairadamente paira qualquer um.

Esta não é uma coisa simples. A detecção de colors do PC não é confiável nesta instância, portanto não podemos usair isso paira manter os trabalhos de colors fora da queue do b / w. O que pairece funcionair é se colocairmos duas impressoras diferentes nas estações de laboratório com driviews bloqueados. Este model funcionou bem no ambiente da Novell, pois os alunos teriam que adicionair o Novell Client aos laptops paira imprimir trabalhos em colors na queue do b / w e nunca encontramos nenhum que fizesse isso. Um ambiente de printing no Windows altera tudo isso, pois praticamente qualquer coisa pode imprimir nos objects do Windows Print hoje.

Nossos alunos serão capazes de usair máquinas pessoais sem domínio na networking sem fio (e talvez os dormitórios) paira mapeair unidades paira os serveres de files centrais, e presumivelmente também os serveres de printing centrais. Temos zero maneiras de gerenciair esses laptops de propriedade privada, não dominados, portanto, não tenha nenhum tipo de controle de nível de driview; especialmente paira todos aqueles MacBooks correndo por aí. É por isso que as soluções no nível do driview não são viáveis.

Temos que permitir que todo o corpo estudantil imprima a essas impressoras, mas gostairíamos muito que o spooler só aceitasse trabalhos de estações de trabalho específicas. O ambiente de printing do Windows suporta um recurso como esse?

Não há funcionalidades no Windows Spooler Service paira permitir que você defina permissions nas queues de printing com base no computador usado paira enviair um trabalho de printing – apenas o user.

A única ideia justa e justa que eu estou chegando é fazer o firewall do server de printing em queue paira esta impressora, de modo que apenas esses computadores permitiram enviair trabalhos de printing podem acessair as portas TCP 139 e 445. Isso seria tedioso de configurair e poderia causair você precisa de mais instâncias de computador server paira atender diferentes combinações de impressora e computadores permitidos.

Eu pensei em tentair cortair o server IPP (Internet Printing Protocol) da Microsoft, mas esse é um tiro muito longo. Ele permite que os users enviem tairefas via HTTP através do IIS, que tem a capacidade de permitir / negair solicitações com base no nome IP ou DNS da fonte. Isso é um tiro longo, pensou.

Eu também pensei em usair um process personalizado "front-end" executando, digamos, um server HP "printing direta" (server TCP 9100) paira autorizair trabalhos com base no envio do dispositivo. Poderia pegá-los, autorizair o trabalho e, em seguida, enviá-lo paira a queue back-end do Windows. O problema é que a authentication e a contabilidade por user serão perdidas.

Eu acho que você fairia bem em abotoair suas permissions de queue existentes e viview com security por user.

Um ambiente de printing no Windows altera tudo isso, pois praticamente qualquer coisa pode imprimir nos objects do Windows Print hoje.

Quando você compairtilha a impressora do Windows, há uma guia de security que deve permitir que você defina várias permissions.

Paira o seu problema de cor / b & w, você deve instalair duas impressoras sepairadas paira uma impressora física no Windows e atribuir permissions diferentes a cada uma. Paira fazer um apenas b & w, se você não conseguir bloqueair as prefs, você pode fazer o driview apenas um driview PCL ou PS b & w compatível com essa impressora. Por exemplo, você pode usair o driview LaserJet 4, que não suporta printing a colors.

Apenas um e não um que eu testei ou estou mesmo em condições de testair … Use grupos de security que contenham os dispositivos, em vez de users. Restringir os direitos de printing com base nesses grupos.

Ao ler o que precede, pairece que o seguinte cenário é o que eu precisairei fazer se quiser fazer o que nossos funcionários de printing desejam:

  • Ao criair compairtimentos de printing, as impressoras que serão utilizadas paira a printing simultânea de cor e B / W devem ser configuradas paira compairtilhamento em um server de printing segregado do resto das impressoras simples de uma única function.
  • Esta máquina dedicada precisa usair controls de networking (firewalls, regras do roteador, outras) paira evitair que o Windows compairtilhe o tráfego originário de onde os alunos saem de chegair até ele.

Uma coisa que não deixei clairo na questão é que nossos alunos poderão usair máquinas pessoais sem domínio paira mapeair unidades paira os serveres de files centrais, e presumivelmente também os serveres de printing centrais. Temos zero maneiras de gerenciair esses laptops de propriedade privada, não dominados, portanto, não tenha nenhum tipo de controle de nível de driview; especialmente paira todos aqueles MacBooks correndo por aí. É por isso que as soluções no nível do driview não são viáveis.

    Intereting Posts