Какие специфические права доступа могут быть определены для принтера

Обновлено: 17.05.2024

В этой статье описываются политики, специфические для управления принтерами и использование параметров групповой политики для управления принтерами в Active Directory.

Применяется к: Windows Server 2012 R2
Исходный номер КБ: 234270

Сводка

Параметры принтера Active Directory можно включить или отключить с помощью параметров групповой политики. Все параметры групповой политики содержатся в объектах групповой политики, связанных с контейнерами Active Directory (сайты, организационные подразделения и домены). Эта структура максимально расширяет и расширяет Active Directory.

В этой статье описываются политики, специфические для управления принтерами и как включить или отключить управление принтером с помощью редактора локальной групповой политики.

Существует два типа конфигураций, которые можно установить для принтеров в параметре групповой политики:

  • Конфигурация компьютера
  • Пользовательская конфигурация

Настройка параметров принтера для компьютеров

Выберите Начните, укажи программы, укажи на административные средства, а затем выберите пользователей и компьютеров Active Directory.

Выберите контейнер Active Directory для домена, который необходимо управлять (организационный блок или домен). Щелкните правой кнопкой мыши этот контейнер, а затем выберите Свойства.

Выберите вкладку Групповой политики, а затем выберите New для создания нового параметра групповой политики.

В редакторе локальной групповой политики разложите следующие папки:

В конфигурации компьютера можно включить следующие параметры:

Разрешить публикацию принтеров: Включает или отключает публикацию принтеров в каталоге.

Разрешить печать Spooler для приемки клиентских подключений: Контролирует, будет ли шпалер печати принимать клиентские подключения. Если политика не настроена, шпалер не будет принимать клиентские подключения, пока пользователь не откроет локальный принтер или не откроет очередь печати на подключении к принтеру. На этом этапе шпалер начнет принимать клиентские подключения автоматически.

Разрешить обрезку опубликованных принтеров: Определяет, может ли контроллер домена подрезать (удалить из Active Directory) принтеры, опубликованные на этом компьютере. По умолчанию служба обрезки контроллера домена подрезает объекты принтера из Active Directory, если опубликованный ими компьютер не отвечает на запросы контактов. Когда компьютер, опубликовав принтеры, перезапускает все удаленные объекты принтера.

Автоматически публиковать новые принтеры в Active Directory: По умолчанию этот параметр включен. Его можно отключить, чтобы в каталог помещались только выбранные общие принтеры.

Проверка опубликованного состояния: Используется для проверки публикации опубликованных принтеров в Active Directory. По умолчанию опубликованное состояние не проверяется.

Url-адрес пользовательской поддержки в левой области папки Принтеры: Этот бит политики предназначен для администраторов, чтобы добавить настраиваемые URL-адреса поддержки для сервера. Если этот бит не выбран, в области навигации папки Принтеры отображаются URL-адреса для выбранного принтера и URL-адрес поддержки поставщика, если он доступен. Если выбран этот бит и предоставлен настраиваемый URL-адрес поддержки, указанные ранее два URL-адреса поддержки заменяются настраиваемым URL-адресом. Не выбран по умолчанию, что означает отсутствие настраиваемого URL-адреса поддержки.

Расположение компьютера: Указывает критерии расположения по умолчанию, которые используются при поиске принтеров. Этот параметр является компонентом функции отслеживания расположения Windows принтеров. Чтобы использовать этот параметр, включив параметр "Отслеживание местоположения", включив текстовое расположение предварительного заполнения принтера. Когда включено отслеживание местоположения, система использует указанное расположение в качестве критерия при поиске принтеров пользователями. Значение, которое вы введите здесь, переопределяет фактическое расположение компьютера, который проводит поиск.

Введите расположение компьютера пользователя. При поиске принтеров пользователи используют указанное расположение (и другие критерии поиска), чтобы найти принтер поблизости. Вы также можете использовать этот параметр, чтобы направлять пользователей на определенный принтер или группу принтеров, которые вы хотите использовать.

Интервал обрезки каталогов: Интервал обрезки определяет период времени сна обрезки между проверками для оставленных PrintQueue объектов. Обрезка читает значение интервала обрезки каждый час.

Повторная обрезка каталогов: Задает количество раз, когда обрезка пытается связаться с сервером печати перед удалением PrintQueue заброшенного PrintQueue объекта.

Приоритет обрезки каталогов: Задает приоритет потока потока обрезки. Поток обрезки выполняется только на контроллерах домена и отвечает за удаление устаревших принтеров из каталога. Допустимые значения : -2, -1, 0, 1 и 2, соответствующие THREAD_PRIORITY_LOWEST через THREAD_PRIORITY_HIGHEST. Значение по умолчанию равно 0.

Отостановка установки принтеров с помощью драйверов в режиме ядра: Определяет, могут ли принтеры с драйверами в режиме ядра устанавливаться на локальном компьютере. Драйверы в режиме ядра имеют доступ к системной памяти. Поэтому плохо написанные драйверы режима ядра могут вызывать ошибки остановки.

События повторной обрезки каталогов журналов: Указывает, следует ли вести журнал событий, когда служба обрезки на контроллере домена пытается связаться с компьютером, прежде чем он подрезает принтеры компьютера.

Служба обрезки периодически контактов компьютеры, которые опубликовали принтеры, чтобы убедиться, что принтеры по-прежнему доступны для использования.

Если компьютер не реагирует на попытку контакта, попытка повторно задана заданным числом раз с заданным интервалом. Параметр повторной обрезки каталогов определяет количество повторяемой попытки. Значение по умолчанию — два ирисовки. Параметр интервала обрезки каталогов определяет интервал времени между повторами. Значение по умолчанию — восемь часов. Если компьютер не ответил последней попыткой контакта, его принтеры будут обрезки из каталога

Текст расположения расположения для предварительного заполнения принтера: Включает физический параметр отслеживания местоположения для Windows принтеров.

Используйте отслеживание расположения для разработки схемы расположения для предприятия и назначения компьютеров и принтеров расположениям в схеме. Отслеживание местоположения переопределяет стандартный метод, используемый для обнаружения и связывать компьютеры и принтеры. Стандартный метод использует IP-адрес принтера и подсетевую маску для оценки его физического расположения и близости к компьютерам. Если включить этот параметр, пользователи могут просматривать принтеры по расположению, не зная расположения или схемы именования принтера.

Включение отслеживания местоположения добавляет кнопку Просмотр в следующих расположениях:

  • Имя принтера мастера добавления принтера и экран расположения общего доступа
  • Общая вкладка в диалоговом окне Свойства принтера

По умолчанию, если включить параметр расположения компьютера групповой политики, введенное по умолчанию отображается в поле Расположение.

Принтеры чернослива, которые не будут автоматически переиздаваться: Этот параметр определяет, можно ли обрезать принтеры из каталога. Лучше оставить этот параметр неконфигуративным. Однако, если вы найдете, что принтеры обрезки, даже если компьютер, с которого они опубликованы, функционирует и в сети, вы можете включить эту политику, чтобы предотвратить удаление службы обрезки опубликованных принтеров во время отключений сети или ситуаций, в которых диалоговые ссылки, которые только периодически используются. Чтобы предотвратить удаление принтеров из Active Directory, впеть эту политику и сохранить выбор never in the Prune non-republishing printers list.

Новые дополнительные объекты групповой политики в Windows Server 2008 R2

  1. На контроллере домена выберите Начните, выберите административные средства, а затем выберите управление групповой политикой. Или выберите Начните, выберите Выполнить, введите GPMC.MSC и нажмите кнопку Ввод.
  2. Расширь лес, а затем домены.
  3. В домене выберите OU, в котором необходимо создать эту политику.
  4. Щелкните правой кнопкой мыши OU, а затем выберите Создать GPO в этом домене и связать его здесь .
  5. Дайте имя GPO, а затем выберите ОК. Щелкните правой кнопкой мыши вновь созданный объект групповой политики, а затем выберите Изменить, чтобы открыть редактор управления групповой политикой.
  6. В редакторе управления групповой политикой разложите следующие папки:
    • Конфигурация компьютера
    • Политики
    • Административные шаблоны
    • Панель управления
    • Printers

В конфигурации компьютера можно включить следующие дополнительные параметры:

Добавление мастера принтера — страница сканирования сети (управляемая сетью): эта политика задает максимальное число принтеров каждого типа, которое мастер add Printer будет отображать на компьютере в управляемой сети, когда компьютер может достичь контроллера домена. Например, ноутбук с доменом в корпоративной сети.

Добавление мастера принтера — страница сканирования сети (неугодная сеть): Эта политика задает максимальное число принтеров каждого типа, которое мастер добавить принтер будет отображать на компьютере в неугодной сети, когда компьютер не может достичь контроллера домена. Например, ноутбук, подключился к домену в домашней сети.

Всегда отрисовка заданий печати на сервере. При печати с помощью сервера печати определяет, будет ли шпалер печати на клиенте обрабатывать задания печати самостоятельно или передавать их на сервер для работы. Этот параметр политики влияет на печать только Windows сервера печати.

Выполнение драйверов печати в изолированных процессах. Этот параметр политики определяет, будет ли шпалер печати выполнять драйверы печати в изолированном или отдельном процессе. Если драйверы печати загружаются в изолированный процесс или изолированные процессы, сбой драйвера печати не приведет к сбою службы spooler печати.

Расширение подключения Point и Print для поиска Windows обновления: этот параметр политики позволяет управлять поиском драйверов point и Print на клиентских компьютерах. Если включить этот параметр политики, клиентский компьютер продолжит поиск совместимых драйверов Point и Print из Windows Update после того, как не удастся найти совместимый драйвер из локального магазина драйверов и кэш драйвера сервера.

Используйте только пункт пакетов и печать. Эта политика ограничивает клиентские компьютеры только для использования точки пакета и печати. Если этот параметр включен, пользователи смогут указать и распечатать только принтеры, которые используют драйверы, которые знают пакеты. При использовании точки и печати пакетов клиентские компьютеры проверят подпись драйвера всех драйверов, скачаемых с серверов печати.

Переопределяйте параметр совместимости драйвера выполнения печати, о котором сообщает драйвер печати. Этот параметр политики определяет, переопределит ли шпалер печати совместимость driver Isolation, о котором сообщает драйвер печати. Он позволяет выполнять драйверы печати в изолированном процессе, даже если драйвер не сообщает о совместимости.

Если включить этот параметр политики, шпалер печати игнорирует значение флага совместимости driver Isolation, которое сообщается драйвером печати.

Точка упаковки и печать — утвержденные серверы: ограничивает точку упаковки и печать на утвержденных серверах. Этот параметр политики ограничивает подключение точки пакета и печати к утвержденным серверам. Этот параметр применяется только к подключениям точки и печати пакетов и не зависит от политики ограничений точки и печати, которая регулирует поведение подключений точки и печати, не входящего в пакет.

Клиент, работающий Windows Vista или более поздней версии Windows, будет пытаться сделать точку непакета и распечатать подключение в любое время, когда точка пакета и подключение печати сбой. Это включает попытки, заблокированные этой политикой. Администраторам может потребоваться установить обе политики для блокировки всех подключений печати к определенному серверу печати.

Если этот параметр включен, пользователи смогут упаковывать точку и печатать только на печатных серверах, утвержденных сетевым администратором. При использовании точки и печати пакетов клиентские компьютеры проверят подпись драйвера всех драйверов, скачаемых с серверов печати.

Ограничения точки и печати. Этот параметр политики управляет поведением "Точка клиента" и "Печать", в том числе запросами безопасности для Windows Vista. Параметр политики применяется только к клиентам администратора без печати и только к компьютерам, которые являются членами домена.

При включении параметра политики следующие условия:

Windows Xp и более поздние клиенты будут скачивать компоненты драйвера печати только из списка явно именуемых серверов. Если на клиенте доступен совместимый драйвер печати, будет выполнено подключение к принтеру. Если совместимый драйвер печати не доступен для клиента, подключение не будет выполнено.

Вы можете настроить Windows Vista так, чтобы предупреждения о безопасности и повышенные командные запросы не появлялись, когда пользователи указывают и печатают, или когда необходимо обновить драйверы подключения к принтеру.

Если параметр политики не настроен, следующие условия:

Windows Клиентские компьютеры Vista могут указать и распечатать на любом сервере.

Windows Компьютеры Vista будут показывать предупреждение и командную подсказку, когда пользователи создают подключение принтера к любому серверу с помощью Point и Print.

Windows Компьютеры Vista покажут предупреждение и командную подсказку, когда необходимо обновить существующий драйвер подключения к принтеру.

Windows Клиентские компьютеры server 2003 и Windows XP могут создавать подключение принтера к любому серверу в лесу с помощью Point и Print.

При отключении параметра политики следующие условия:

Windows Клиентские компьютеры Vista могут создавать подключение принтера к любому серверу с помощью Point и Print.

Windows Компьютеры Vista не будут показывать предупреждение или командную подсказку, когда пользователи создают подключение принтера к любому серверу с помощью Point и Print.

Windows Компьютеры Vista не будут показывать предупреждение или повышенную командную подсказку при обновлении существующего драйвера подключения к принтеру.

Windows Клиентские компьютеры server 2003 и Windows XP могут создавать подключение принтера к любому серверу с помощью Point и Print.

Пользователи могут только указать и распечатать компьютеры в лесу только для Windows Server 2003 и Windows XP SP1 (и более поздних пакетов служб).

Дополнительные сведения о Point и Print см. в следующей статье:

Настройка параметров для принтера для пользователей

Выберите Начните, укажи программы, укажи на административные средства, а затем выберите пользователей и компьютеров Active Directory.

Выберите контейнер Active Directory для домена, который вы хотите управлять (организационного подразделения или домена). Щелкните правой кнопкой мыши этот контейнер, а затем выберите Свойства.

Выберите New для создания новой групповой политики.

В редакторе групповой политики разложите следующие папки:

Следующие параметры можно настроить в соответствии с конфигурацией пользователя:

Эта политика не мешает пользователям использовать мастер add/Remove Hardware для добавления принтера. Это также не мешает пользователям запускать программы для добавления принтеров. Эта политика не удаляет принтеры, которые уже добавлены пользователями. Однако, если пользователи не добавили принтер при применении этой политики, они не могут распечатать.

Вы можете использовать разрешения принтера, чтобы ограничить использование принтеров без установки политики. В папке Принтеры щелкните правой кнопкой мыши принтер, щелкните Свойства и нажмите вкладку Безопасность.

Отображение страницы вниз по уровню в мастере Добавить принтер: позволяет пользователям просматривать сеть для общих принтеров в мастере Добавить принтер. Если включить эту политику, когда пользователи щелкнуть Добавить сетевой принтер, но не ввести имя конкретного принтера, мастер добавить принтер отображает список всех общих принтеров в сети и подсказок пользователям выбрать принтер. Если отключить эту политику, пользователи не смогут просматривать сеть. Вместо этого они должны ввести имя принтера.

Эта политика влияет только на мастера добавить принтер. Это не мешает пользователям использовать другие средства для просмотра общих принтеров или подключения к сетевым принтерам.

Путь Active Directory по умолчанию при поиске принтеров: указывает расположение Active Directory, в котором начинаются поиски принтеров.

Мастер add Printer предоставляет пользователям возможность поиска Active Directory для общего принтера. Если вы включаете эту политику, эти поиски начинаются в том расположении, которое указано в поле путь Active Directory по умолчанию. В противном случае поиск начинается в корне Active Directory.

Эта политика служит отправной точкой для поиска принтеров Active Directory. Это не ограничивает поиск пользователей через Active Directory.

Включить просмотр для интернет-принтеров: Добавляет путь к веб-странице Интернета или интрасети мастеру добавить принтер.

Эту политику можно использовать для того, чтобы направлять пользователей на веб-страницу, с которой они могут устанавливать принтеры.

Если включить эту политику и ввести адрес Интернета или интрасети в текстовом окне, Windows добавляет кнопку Просмотр страницы Найдите принтер в мастере добавить принтер. Кнопка Просмотр отображается рядом с Подключение принтером в Интернете или параметром Интрасети вашей компании. Когда пользователи нажимают кнопку Просмотр, Windows открывает браузер в Интернете и переходит на указанный адрес, чтобы отобразить доступные принтеры.

Эта политика упрощает поиск принтеров, которые необходимо добавить.

Ссылки

Дополнительные сведения об этих параметрах политики щелкните вкладку Explain для каждого параметра политики.

Основы печати в Windows.

Windows XP Professional поддерживает как локальную, так и сетевую печать. Для детального рассмотрения возможных моделей организации процесса печати прежде всего следует ознакомиться с принятой терминологией.

    Устройство печати - обозначает аппаратное устройство, которое выполняет печать документов. Windows XP Professional поддерживает следующие типы устройств печати:

Windows XP Professional позволяет создавать несколько различных конфигураций клиентов, серверов и устройств печати. Конфигурация определяется:

  • удаленностью устройства печати (подключено к сети либо прямо к компьютеру);
  • расположением принтера (локальный или сетевой).

В общем случае следует рассмотреть четыре базовые конфигурации. Простейшая конфигурация - конфигурация с локальным устройством печати и локальным принтером. Устройство печати подключено к параллельному порту компьютера, на котором выполняется приложение. На этом же компьютере находится драйвер принтера и очередь заданий на печать. Данные пересылаются на устройство печати напрямую.

Вторая конфигурация - это небольшая группа компьютеров, совместно использующих сетевое устройство печати. Все компьютеры имеют равноправный доступ к устройству печати. Централизованного управления печатью и безопасностью не осуществляется. Каждый компьютер формирует свою очередь печати и не "видит" очереди печати на других компьютерах.

Третья конфигурация - с выделенным сервером печати. Клиенты осуществляют совместный доступ к принтеру через сервер печати, к которому локально подсоединено устройство печати. Очередь печати находится на сервере и видима каждому клиенту.

Последняя четвертая конфигурация отличается от предыдущей тем, что устройство соединено с сервером печати через сеть. Это обеспечивает расширяемость, поскольку один сервер печати может управлять несколькими устройствами.

Порядок установки принтеров.

Задачи, которые необходимо решить при установке принтера:

  • Подключите принтер к компьютеру
  • Добавьте локальный принтер в разделе Принтеры и факсы компьютера (сервера печати)
  • Определите необходимость и предоставьте совместный доступ к принтеру
  • Если в сети используется служба Active Directory, опубликуйте в ней принтер
  • В Службе каталогов Active Directory включите функцию отслеживания местоположения принтеров
  • Если планируется использовать несколько однотипных устройств печати, настройте пулы принтеров
  • Определите группам пользователей соответствующие права доступа и администрирования принтеров

Подключение принтера к компьютеру.

Задачи, которые решаются на данном этапе, зависят от того, какое устройство печати вы подключаете - локальное или сетевое.
В первом случае определите физический интерфейс подключения устройства печати. Windows XP поддерживает подключение через:

  • параллельный порт (LPT);
  • интерфейс USB и IEEE 1394;
  • инфракрасный порт (IrDA).

Убедитесь, что выбранный для подключения компьютер имеет соответствующий физический порт.
Сетевые устройства печати не требуют непосредственного подключения к физическим портам компьютеров, но при этом при планировании сети необходимо заложить возможность подключения - кабельная система должна быть соответствующим образом спланирована. Кроме того, для повышения производительности печати устройство желательно размещать в том же сегменте сети, что и большинство его пользователей.

Выбор компьютера для сервера печати

Сервер печати должен иметь достаточно места на жестком диске для хранения заданий на печать, пока они находятся в очереди. Конкретный объем зависит от количества клиентов и типов печатаемых документов, но для большинства организаций достаточно 200-300 Мб.

Диск, где располагается папка спула печати, не рекомендуется использовать для хранения системных файлов и тем более файлов подкачки. В Windows XP службы файл-сервера имеют больший приоритет, чем службы сервера печати. Если компьютер - сервер печати используется для служб файл-сервера, печать будет выполняться гораздо медленнее, чтобы не снижалась производительность системы доступа к файлам.

Добавление принтеров.

Для добавления нового принтера в Windows XP используется Мастер установки принтеров.


Windows XP автоматически обнаруживает PnP-устройства. Чтобы использовать эту возможность, установите в Мастере установки принтеров флажки Автоматическое определение и установка принтера Plug and Play.

Добавление локального принтера.

Порядок действий при добавлении локального принтера зависит от того, является ли печатающее устройство локальным или сетевым.

Локальное печатающее устройство.

Перед началом установки завершите работу с Windows и отключите электропитание компьютера. Убедитесь, что кабель интерфейса устройства печати присоединен к соответствующему порту компьютера. Включите компьютер, подождите, пока загрузится Windows. Включите электропитание устройства печати.

  • Откройте меню Пуск -> Принтеры и факсы.
  • В разделе Задачи печати щелкните значок Установка принтера. Запустится Мастер установки принтеров.
  • Щелкните кнопку Далее.
  • В открывшемся окне установите переключатель в положение Локальный принтер, установите флажок Автоматическое определение и установка принтера Plug and Play и щелкните кнопку Далее.









Сетевое печатающее устройство, подключенное через порт TCP/IP.

Сервер печати (принт-сервер) необходимо настроить так, чтобы он соединялся с одним или несколькими печатающими устройствами, напрямую подключенными к сети. Для этого нужно сконфигурировать стандартный порт печати TCP/IP, который осуществляет соединения с принтерами TCP/IP.
Стандартный порт печати TCP/IP в Windows XP рассматривается как локальный порт.
Чтобы настроить сетевой принтер для работы через стандартный порт печати TCP/IP, выполните следующее:

  • Подключите принтер к сети (или к принт-серверу) и выполните настройку параметров протокола TCP/IP.
  • Запустите Мастер установки принтеров - в меню Пуск -> Принтеры и факсы, затем - Установка принтера. Щелкните кнопку Далее, чтобы начать работу с Мастером установки принтеров.
  • Установите переключатель в положение Локальный принтер, снимите флажок Автоматическое определение и установка принтера Plug and Play и щелкните кнопку Далее.










Добавление сетевого принтера.

В этом разделе описан порядок подключения клиентов к сетевому принтеру. Предполагается, что на сервере печати уже установлен локальный принтер и пользователи сети могут к нему подключиться. Процесс предоставления принтера в общее пользование мы разберем позже.
Для добавления принтера также используется Мастер установки принтеров.
Чтобы установить сетевой принтер, выполните следующее.


- найти принтер в рабочей группе вашей сети,
- найти принтер с помощью службы каталогов Active Directory,
- найти принтер в Интернете.


Найти принтер в рабочей группе вашей сети.

  • Установите переключатель К какому принтеру следует подключиться в положение Подключиться к принтеру или выполнить обзор принтеров, при необходимости введите сетевое имя принтера и\или щелкните кнопку Далее.
  • Если вы не вводили сетевое имя принтера, в окне поиска выберите нужный принтер в списке Общие принтеры, последовательно щелкайте имя домена (или группы), компьютера, а затем щелкните кнопку Далее.


Найти принтер с помощью Active Directory.

Если в сети используется служба Active Directory, ее можно использовать для поиска принтеров.

  • В окне Мастера установки принтеров установите переключатель К какому принтеру следует подключиться в положение Обзор принтеров и щелкните кнопку Далее.
  • Откроется диалоговое окно Поиск: Принтеры, где в раскрывающемся списке по умолчанию будет выбран домен подсети, в которой находится компьютер.

Щелкните кнопку Найти. Будет осуществлен поиск в указанном домене.



Найти принтер в Интернете.

Предоставление общего доступа к принтеру.

После установки локального принтера может потребоваться предоставить доступ к нему другим компьютерам. Для этого выполните следующее.

  • Откройте меню Пуск -> Принтеры и факсы.
  • Щелкните правой кнопкой мыши значок нужного принтера и в контекстном меню выберитеСвойства.
  • В появившемся окне выберите вкладку Доступ.
  • Установите переключатель в положение Общий доступ к данному принтеру.
  • В поле Сетевое имя появится имя принтера, которое можно изменить.


Публикация принтера в Active Directory.

Для хранения информации о разделяемых принтерах в сетях Windows Server 2003 можно использовать службу каталогов Active Directory.
Active Directory содержит сведения об именах принтеров, их расположении и основных характеристиках, таких как поддерживаемые форматы бумаги, возможность печати в цвете и т. п. Опубликованный принтер периодически обновляет информацию о своих возможностях в каталоге Active Directory.
Для совместной работы серверов печати и Active Directory административное вмешательство не требуется.

Ручная публикация принтера в Active Directory

Принтеры, подключенные к компьютерам под управлением Windows 2000, XP, Server 2003 (но не другой ОС), автоматически публикуются в Active Directory при открытии к ним общего доступа.

Включение функции отслеживания местоположения принтеров

Active Directory поддерживает функцию отслеживания местоположения принтера. Для этого необходимо опубликовать принтеры в Active Directory.
Отслеживание переопределяет стандартный метод обнаружения и связывания пользователей и принтеров, основанный на применении IP-адреса и маски подсети компьютера для оценки его физического местоположения.
Чтобы активизировать функцию отслеживания, на сервере глобального каталога Active Directory выполните следующее:

  • Запустите оснастку Сайты и службы Active Directory: в меню Административные средства (Пуск/Настройка/Панель управления) выберите команду Сайты и службы Active Directory.
  • В папке Сайты в списке сайтов щелкните правой кнопкой мыши первый и в контекстном меню выберите Свойства.
  • На вкладке Размещение введите название местоположения сайта или щелкните кнопку Обзор, чтобы выбрать местоположение вручную.
  • Щелкните кнопку ОК.
  • Повторите описанную последовательность для всех сайтов и подсетей.
  • Запустите оснастку Пользователи и компьютеры Active Directory: в меню Административные средства выберите Пользователи и компьютеры Active Directory.
  • В левой части открывшегося окна щелкните правой кнопкой нужный мыши домен.
  • В открывшемся контекстном меню выберите Свойства и перейдите на вкладку Политика группы.
  • Выберите Политика домена по умолчанию и щелкните кнопку Изменить, чтобы открыть окно Групповая политика.
  • Последовательно откройте Конфигурация компьютера/Административные шаблоны/Принтеры. В правой части окна появится список политик для принтеров.
  • Дважды щелкните политику Pre-Populate Printer Search Location Text, выберите Включить и щелкните кнопку ОК. Закройте окно Групповая политика, затем - окно Свойства.
  • Щелкните правой кнопкой мыши первый принтер в папке принтеров сервера печати и в контекстном меню выберите Свойства.
  • Введите местоположение принтера или щелкните кнопку Обзор и выберите местоположение вручную (только если принтер опубликован в Active Directory).
  • Повторите шаги 12 и 13 для всех принтеров сервера печати.

Использование пула печати.

Пул печати состоит из несколько идентичных устройств печати, связанных с одним логическим принтером.
Пул печати полезен при больших объемах печати (особенно если одновременно печатаются документы разного объема). Пользователь, которому надо напечатать одну страницу, не должен ждать, пока напечатается документ в несколько десятков страниц.
Чтобы установить пул печати, при помощи Мастера установки принтеров установите принтер и назначьте для него столько портов вывода, сколько есть у идентичных устройств печати.

Характеристики пула принтеров:

  • все устройства печати в пуле одной модели;
  • принтеры, объединенные в пул и использующие один драйвер, воспринимаются клиентами как один принтер;
  • все параметры настройки печати относятся ко всему пулу;
  • порты принтеров могут быть одного или разных типов (параллельные, последовательные, сетевые);
  • клиентам не нужно искать, какое устройство печати в настоящий момент доступно, они просто печатают на один принтер на сервере печати;
  • когда пул принтеров получает очередной документ, диспетчер очереди печати направляет его на свободное устройство
  • если одно устройство печати останавливает печать (допустим, кончилась бумага), это касается только этого устройства, остальные документы продолжают печататься на других устройствах.

Настройка пулов и изменение параметров настройки портов

Все составляющие пул устройства печати должны быть одинаковыми или, по крайней мере, работать с одним драйвером.
Устройства печати, входящие в пул, должны быть расположены недалеко друг от друга, чтобы пользователь мог легко найти напечатанный документ.

Чтобы настроить пул принтеров или просто изменить параметры настройки порта, выполните следующее.

К ак и в реальном мире, в мире компьютеров и интернета есть вещи, которыми мы можем обладать и есть вещи, которыми мы обладать не можем. А не можем потому, что не имеем на них прав. Объяснять, для чего собственно были придуманы все эти разрешения и права доступа, полагаем, не нужно. Если бы их не было, любой пользователь мог бы просматривать, изменять и удалять любые не принадлежащие ему файлы не только на локальных машинах, но и на серверах.

С понятиями прав и разрешений на файлы более или менее знакомы все пользователи. Но что в действительности они собой представляют и как система определяет, какой файл можно просматривать или изменять, а какой нет? Давайте попробуем разобраться.

Структура файла в NTFS

Начнем с того, что большая часть всех данных хранится на дисках в виде файлов, к которыми пользователи тем или иным образом получают доступ. Пример, когда пользователь получает доступ к файлам не напрямую, а через веб-сервер, мы рассматривать не будем. Скажем лишь, что такие данные, помимо прочих разрешений, также имеют особое разрешение share , наличие которого проверяется при обращении к удалённому серверу.

Атрибуты и ACL

При работе через сервер права доступа выдаются сервером, при непосредственной же работе с дисками через интерфейс локальной машины права доступа выдаются на уровне файловой системы NTFS. Как это работает? А вот как. Каждый записанный в NTFS файл представляет собой не только данные, помимо них он также хранит служебную информацию — атрибуты и ACL (Access Control List). Кстати, атрибуты и ACL имеют не только файлы, но и папки.

Атрибуты файла

Что такое атрибуты файла, вы, в принципе, должны знать сами. Скрытый, системный, индексируемый или неиндексируемый, доступный только для чтения, готовый к архивированию — всё это называется атрибутами и просматривается в свойствах файла или папки. За права же доступа отвечают метаданные ACL. И если атрибуты описывают свойства объекта, то ACL указывает, кто именно и какие действия с этим объектом может производить. ACL также именуют разрешениями.

Структуру ACL можно представить в виде таблицы с тремя колонками.

Структура ACL

Первая колонка содержит уникальный идентификатор пользователя (SID) , вторая — описание прав (read, write и т.д.) , третья — флаг , указывающий разрешено ли конкретному SID пользоваться этими правами или нет. Он может принимать два значения: true (да) и false (нет).

SID

Основных прав доступа в NTFS четыре:

• Read разрешает только чтение файла.
• Write разрешает чтение и запись.
• Modify разрешает чтение, запись, переименование, удаление и редактирование атрибутов.
• Full Control даёт пользователю неограниченную власть над файлом. Помимо всего перечисленного, имеющий права Full Control пользователь может редактировать метаданные ACL. Все прочие права доступа возможность изменения ACL не предоставляют.

Владелец объекта

Кроме атрибутов и разрешений, каждый объект в файловой системе NTFS имеет своего владельца. Таковым может выступать локальный администратор, пользователь, TrustedInstaller, система и т.д. Владелец может изменять права доступа к своему файлу, однако локальный администратор имеет право назначить владельцем такого файла самого себя, следовательно, получить на него полные права, то есть Full Control .

Наследование

Так как файлов на диске может быть очень много и большая их часть располагается во вложенных каталогах, для удобного и быстрого изменения их прав доступа необходим какой-то механизм. Для этого в NTFS есть такая вещь как наследование .

Наследование

Отключение наследования

Явные и неявные разрешения

Все разрешения, которые наследуются автоматически, именуются неявными (implicit). И напротив, разрешения, которые устанавливаются вручную путём изменения ACL, называются явными (explicit). Отсюда вытекают два правила:

На одном уровне вложенности запрещающее разрешение имеет более высокий приоритет. Если для одного SID было задано и разрешающее, и запрещающее разрешение, то действовать будет запрет.
Явное разрешение имеет более высокий приоритет, чем неявное. Если запрет на какой-то объект был унаследован от родителя, а затем на него было установлено явное разрешение, то оно получит приоритет.

Таким образом в NTFS формируются комбинации разрешений и запретов. И если расположить приоритеты разрешений в порядке убывания, то получим примерно такую картину:

1. Явный запрет
2. Явное разрешение
3. Неявный запрет
4. Неявное разрешение

Разрешения

Особенности наследования при копировании и перемещении файлов

До этого момента мы говорили о наследовании при создании файлов в родительских или дочерних каталогах. В случаях копирования или перемещения объекта правила наследования меняются .

• При перемещении в пределах одного тома, перемещаемый объект сохраняет свою ACL, изменяется только ссылка на него в таблице MFT.

• При копировании в пределах одного тома копируемый объект получает ACL от ближайшего вышестоящего родительского каталога.

Для начала этого вполне достаточно, чтобы иметь более-менее чёткое представление о том, как работают законы разрешений в NTFS. На самом деле разрешений в файловой системе существует гораздо больше разрешений. Большинству простых пользователей их знать необязательно, а вот будущим системным администраторам такие знания могут очень даже пригодится.

date

23.05.2013

user

itpro

directory

Windows 7

comments

комментариев 20

По умолчанию рядовым пользователям домена запрещено устанавливать принтера (если быть более точными, драйвера принтеров) на доменных компьютерах, а для их установки необходимо наличие у пользователя определённых прав. Это правильно с точки зрения безопасности, ведь установка некорректного или вредоносного (поддельного) драйвера устройства может скомпрометировать или ухудшить работу системы, но крайне неудобно с точки зрения ИТ – отдела. Ведь, если пользователям запрещено устанавливать драйвера принтеров на своих компьютерах, эта забота возлагается на администраторов и ИТ-отдел.

В том случае, если ИТ-администраторы предприятия все-таки решили разрешить пользователям самостоятельно устанавливать драйвера принтеров на своих компьютерах, не предоставляя им прав локальных администраторов, в этой задаче помочь им могут групповые политики Active Directory.

Итак, предполагается, что имеется разнородная сеть и нам необходимо разрешить пользователям самостоятельно подключать сетевые и локальные принтера, и устанавливать их драйвера как на ПК с Windows 7, так и с Windows XP.

Итак, создайте (или отредактируйте существующую политику) и привяжите ее к OU (контейнеру Active Directory), в котором содержатся компьютеры, на которых политикой необходимо разрешить пользователям установку драйверов принтеров (на отдельно стоящем компьютере эту же политику можно реализовать с помощью локальной политики).

Откройте ветку групповых политик Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Local Policies -> Security Options, в которой найдите параметр Devices: Prevent users from installing printer drivers (Устройства: Запретить пользователям установку драйверов принтера). Активируйте политику и отключите ее применение (значение Disabled).

windows: как с помощью групповых политик разрешить пользователям устанавливать принтера

Данная политика подразумевает, что при подключении сетевого принтера, система позволяет пользователю, не обладающего правами администратора, установить драйвера сетевых принтеров.

Следующий момент – нужно разрешить пользователю устанавливать локальные принтера (и их драйвера). В этом случае нас интересует политика Allow non-administrators to install drivers for these device setup classes в разделе: Computer Configuration -> Policies -> Administrative Templates -> System -> Driver Installation.

Сохраните изменения в политике.

Задаем классы устройств, которые пользователи могут устанавливать без прав администратора

Чтобы решить данную проблему необходимо перевести в состояние Disabled политику Point and Print Restrictions . Данная политика находится как в системном, так и пользовательском разделе групповых политик и для поддержки совместимости с предыдущими версиями операционной системы Windows, рекомендуется задавать оба этих параметра. Необходимо отключить обе политики. Находятся он в разделах: Computer Configuration -> Policies -> Administrative Templates -> Printers и User Configuration -> Policies ->Administrative Templates ->Control Panel ->Printers.

windows7 point and print restriction: отключаем UAC для корректной установки драйверов принтеров

Осталось сохранить изменения и протестировать политики на клиентах (потребуется перезагрузка). После перезагрузки и применения групповых политик пользователю будет разрешено самостоятельно устанавливать локальные и подключать сетевые принтера.

Для повышения стабильности и безопасности системы рекомендуется также включить изоляцию драйверов принтеров в Windows 7.

Читайте также: