Защита использования принтера в Windows Server 2003 (часть 1)

За последние несколько лет принтеры стали настолько дешевыми, что легко даже не задумываться о них. Тем не менее, бывают ситуации, когда вам лучше знать, кто печатал на принтеры в вашей сети. Например, в отделе кредиторской задолженности вашей компании может быть принтер, который они используют для печати чеков. Возможно, вы настроили этот тип принтера таким образом, что не каждый, у кого есть учетная запись пользователя домена, может печатать на нем. Тем не менее, обычно важно знать, пытался ли неавторизованный пользователь печатать на нем, и отслеживать чеки, распечатанные законными пользователями.

Я также видел, как компании ограничивали принтеры, использующие дорогие расходные материалы. Например, в одной из компаний, в которой я когда-то работал, был фотопринтер, который мог печатать фотографии размером 36×24 дюйма. Как вы можете себе представить, фотобумага плакатного размера недешева (по крайней мере, тогда она была недешевой), и для печати фотографии такого размера требовалось много чернил. Следовательно, только нескольким пользователям было разрешено печатать на принтере. В связи с этим компания решила провести аудит использования этого принтера, чтобы убедиться, что дорогие расходные материалы не тратятся впустую на ненужные задания на печать.

На самом деле не имеет значения, почему принтер ограничен. Если ваша компания сочтет нужным ограничить использование принтера, возможно, стоит провести аудит принтера, чтобы убедиться, что он не используется в несанкционированных целях. В этой статье я покажу вам, как реализовать аудит принтеров, и объясню, какие у вас есть различные варианты аудита.

Проще всего ограничивать и проверять принтеры, когда очередь печати размещается на сервере под управлением Windows Server 2003. Имейте в виду, что это не означает, что принтер должен быть физически подключен к серверу. Сервер может просто разместить очередь печати для сетевого принтера. Например, в моей организации есть принтер с собственной сетевой картой. Таким образом, можно печатать на принтер без необходимости подключения принтера к серверу. Если бы пользователям было разрешено печатать на таком принтере напрямую, было бы невозможно отслеживать использование принтера с помощью обычных средств.

Если вы заинтересованы в ограничении или аудите такого принтера, вам лучше создать очередь печати на одном из ваших серверов и обращаться с сетевым принтером так, как если бы он был подключен к серверу (даже если это не так).

Чтобы увидеть, как это работает, нажмите кнопку «Пуск» сервера и выберите «Панель управления | Принтеры и факсы | Добавьте параметры принтера в меню «Пуск». Когда вы это сделаете, Windows запустит мастер добавления принтера.

Щелкните Далее, чтобы пропустить экран приветствия мастера. Теперь вы увидите экран, аналогичный показанному на рисунке A. Как вы можете видеть на рисунке, на этом экране вас спросят, хотите ли вы использовать принтер, локально подключенный к серверу, или вы предпочитаете использовать сетевой принтер. Этот экран несколько вводит в заблуждение, потому что, хотя мы создаем очередь печати для сетевого принтера, Windows не видит ее таким образом. Если бы вы выбрали вариант «Сетевой принтер», Windows предположила бы, что вы подключаетесь либо к принтеру, размещенному в Интернете, либо к принтеру, который уже размещен на другом компьютере с Windows. Это означает, что вам нужно будет подключиться к принтеру, введя либо URL-адрес, имя общего ресурса на основе UNC, либо выполнив запрос Active Directory. Для целей этой статьи я предполагаю, что мы пытаемся проверить автономный принтер, поэтому ни один из этих вариантов не применим. В таком случае выберите вариант «Локальный принтер», даже если принтер на самом деле не является локальным.

Рисунок A. Windows предоставляет вам возможность подключения к локальному принтеру или к сетевому принтеру.

Теперь вы увидите экран, аналогичный показанному на рисунке B. Как видно на рисунке, Windows предполагает, что принтер подключен к серверу через параллельный порт (LPT1). Вы не можете использовать опцию LPT1, так как принтер не подключен напрямую к серверу (большинство принтеров в любом случае больше не имеют параллельного порта). Все остальные параметры в раскрывающемся списке «Использовать следующий порт» также относятся к локальным портам. Поэтому вам нужно будет выбрать опцию «Создать новый порт».

Рисунок B. Мастер добавления принтеров по умолчанию пытается подключиться к локально подключенному принтеру.

Выпадающий список «Создать новый порт» содержит два параметра; Локальный порт и стандартный порт TCP/IP. Выберите параметр «Стандартный порт TCP/IP» и нажмите «Далее». Когда вы это сделаете, Windows запустит мастер добавления стандартного порта принтера TCP/IP. Нажмите «Далее», чтобы пропустить экран приветствия мастера, и вы увидите экран, аналогичный показанному на рисунке C, на котором вам будет предложено ввести имя или IP-адрес принтера и имя порта.

Рисунок C. Необходимо ввести IP-адрес принтера и имя порта.

Принтеру уже должен быть назначен IP-адрес, поэтому просто введите этот адрес в соответствующее поле. Вы можете ввести любое имя порта, но имейте в виду, что имя порта должно быть уникальным. По умолчанию Windows создаст имя порта IP_, за которым следует IP-адрес принтера. Вы можете использовать это имя порта или создать свое собственное.

Нажмите «Далее», и вы увидите итоговый экран, отображающий введенные вами параметры, как показано на рисунке D. Обратите внимание на то, что на рисунке порт, который вы настраиваете, настроен на прием данных печати RAW через порт 9100, и что Windows предполагает, что принтер использует интерфейс HP Jet Direct.

Рисунок D. Windows отображает сводку выбранных вами параметров.

Нажмите «Готово», и вы вернетесь к мастеру добавления принтера. На следующем экране, который вы увидите, вас спросят, какой тип принтера вы настраиваете. Вы можете либо выбрать правильный тип принтера из списка, либо использовать опцию «Установить с диска», чтобы установить собственный драйвер печати.

Нажмите «Далее», и вы попадете на экран с запросом имени принтера и того, хотите ли вы, чтобы Windows использовала его в качестве принтера по умолчанию. Ответы на эти вопросы полностью зависят от вас. Сделав свой выбор, нажмите «Далее».

Теперь вы увидите экран, аналогичный показанному на рис. E, с вопросом, хотите ли вы предоставить общий доступ к принтеру. До этого момента Windows предполагала, что вы настраиваете принтер только для того, чтобы на него можно было печатать с консоли сервера. Если вашей целью является аудит использования принтера, вы должны предоставить общий доступ к принтеру.

Рисунок E: Вы должны предоставить общий доступ к принтеру

Ваша цель — направить все задания, предназначенные для принтера, через сервер, который вы сейчас настраиваете. Таким образом, вы сможете ограничить доступ к принтеру (при необходимости) и сможете контролировать его использование.

Я также должен упомянуть, что важно настроить только один сервер для совместного использования этого принтера. В противном случае несколько серверов смогут одновременно буферизовать задания на принтер, и принтер может запутаться.

Нажмите «Далее», и вам будет предложено ввести местоположение принтера и необязательный комментарий. Эта информация предназначена для того, чтобы помочь пользователям выяснить, какому физическому принтеру принадлежит очередь печати.

Нажмите «Далее», и вам будет предоставлена возможность распечатать тестовую страницу. После этого нажмите «Далее» еще раз, а затем «Готово». Теперь сервер настроен для управления заданиями печати для принтера. Помните, что вы должны перенаправить свои рабочие станции, чтобы они печатали на имя общего ресурса UNC сервера (\имя сервераимя общего ресурса), а не печатать непосредственно на принтер.

Вывод

В этой статье я показал вам, как настроить сервер для управления сетевым принтером. Во второй части этой серии я продолжу обсуждение, показав вам, как защитить и проверить очередь печати.