Защита использования принтера в Windows Server 2003 (часть 2)

Опубликовано: 23 Марта, 2023

В первой части этой серии статей я показал вам, как настроить автономные принтеры так, чтобы их очередь печати размещалась на сервере под управлением Windows Server 2003. Теперь, когда очередь печати перемещена на сервер Windows, пришло время двигаться дальше. с защитой ваших принтеров.

Начнем с просмотра листа свойств принтера. Вы можете получить доступ к этому листу свойств, перейдя через меню «Пуск» сервера к «Панель управления | Принтеры и факсы. При выборе меню «Принтеры и факсы» очереди печати, размещенные на сервере, должны отображаться в подменю. Щелкните правой кнопкой мыши очередь печати, которую вы хотите защитить, и выберите команду «Свойства» в появившемся контекстном меню.

Когда откроется страница свойств принтера, по умолчанию будет выбрана вкладка Общие. На самом деле вы мало что можете сделать в плане безопасности на вкладке «Общие», поэтому вместо этого перейдите на вкладку «Общий доступ». Как вы можете видеть на рисунке A, вкладка «Общий доступ» позволяет указать имя общего ресурса принтера. Имя общего ресурса используется как часть универсального соглашения об именах (UNC). Существует множество команд, которые можно использовать для ручного подключения к принтеру с помощью UNC. Например, если вы хотите вручную сопоставить порт LPT1 с рассматриваемым принтером, вы можете использовать следующую команду:

В приведенной выше команде servername представляет сервер, на котором размещен общий принтер, а sharename — это имя, под которым принтер находится в общем доступе.

Изображение 20571
Рисунок A. Вкладка «Общий доступ» позволяет указать имя общего ресурса принтера.

На первый взгляд эта вкладка очень похожа на экран, который вы бы использовали для предоставления общего доступа к папке в файловой системе. Вообще говоря, совместное использование принтера во многом похоже на совместное использование папки с файлами, но с одним существенным отличием. Когда вы делитесь папкой с файлами, вам предоставляется возможность установить разрешения как на уровне NTFS, так и на уровне общего доступа. Если вы посмотрите на рисунок А, то заметите, что на вкладке «Общий доступ» отсутствует механизм установки разрешений. Вместо этого все разрешения устанавливаются на вкладке «Безопасность», о которой я расскажу позже.

На вкладке «Общий доступ» можно выполнить несколько действий, которые помогут повысить безопасность принтера. Один из вариантов — не указывать принтер в Active Directory. Отсутствие списка принтера в Active Directory не сделает принтер невидимым, поскольку пользователи по-прежнему могут просматривать сеть в поисках принтера (используя просмотр в стиле NetBIOS, а не через Active Directory). Это снижает вероятность того, что пользователи случайно наткнутся на принтер.

Если вы посмотрите на рисунок A, то увидите кнопку «Дополнительные драйверы». Windows разработана таким образом, что когда пользователи подключаются к принтеру через общий ресурс, необходимые драйверы будут автоматически устанавливаться на компьютер пользователя. Если вы оказались в ситуации, когда вы знаете, что все, у кого есть законная потребность печатать на принтере, работают под управлением определенной операционной системы, вы можете установить драйверы только для этой операционной системы. Опять же, это не совсем безопасное решение, потому что пользователь всегда может вручную установить драйвер на свой ПК, загрузив его из Интернета (при условии, что у него есть на это разрешение). Отсутствие автоматического предоставления пользователям драйвера при подключении к принтеру просто вынуждает пользователей прыгать через дополнительные обручи.

Ни один из параметров на вкладке «Общий доступ» не является тем, что я бы назвал «настоящими» параметрами безопасности, но это просто элементы, которые в некоторых ситуациях могут незначительно повысить безопасность, поэтому я хотел упомянуть их.

Вкладка «Дополнительно»

Вкладка «Дополнительно» не содержит большого количества настроек безопасности, но есть одна настройка, которую я хотел вам показать. Если вы посмотрите на рисунок B, вы увидите, что вкладка «Дополнительно» содержит параметр, который позволяет вам контролировать, когда принтер доступен и недоступен. Если вы знаете, что никто в компании не занимается печатью на принтере в нерабочее время, вы можете настроить принтер так, чтобы он был доступен только в рабочее время.

Изображение 20572
Рис. B. Вкладка «Дополнительно» содержит параметр, позволяющий управлять доступностью и недоступностью принтера.

Вкладка «Безопасность»

Вкладка «Безопасность», показанная на рис. C, позволяет назначать фактические разрешения, применимые к очереди печати. Как и в случае защиты файловой системы, вы можете применять разрешения как к пользователям, так и к группам. Обычно считается лучшей практикой применять безопасность только к группам.

Изображение 20573
Рисунок C. Вкладка «Безопасность» позволяет назначать разрешения пользователям или группам.

Если вы посмотрите на рисунок, то увидите четыре различных разрешения, которые вы можете установить для принтера. Экран на самом деле немного вводит в заблуждение, поскольку подразумевает, что это единственные доступные разрешения. Если вы серьезно относитесь к максимально возможной безопасности принтера, вам нужно забыть об этом экране и вместо этого нажать кнопку «Дополнительно».

После этого Windows отобразит страницу свойств «Дополнительные параметры безопасности». Этот лист свойств содержит собственную вкладку «Разрешения», которая позволяет вам устанавливать разрешения для пользователей и групп аналогично тому, как это делается на экране, показанном на рис. C. Отличие состоит в том, что этот экран дает вам доступ к большему количеству разрешений, чем вкладка «Безопасность» листа свойств принтера. tab делает, как показано на рисунке D.

Изображение 20574
Рисунок D. Страница свойств «Дополнительные параметры безопасности» позволяет назначать более полный набор разрешений, чем базовая вкладка «Безопасность» на странице свойств принтера.

Поначалу наличие доступа к дополнительным разрешениям может показаться плохой вещью, если вы пытаетесь заблокировать принтер. Имейте в виду, что вы можете разрешить или запретить каждое разрешение. Это удобно, потому что разрешения являются кумулятивными. Предположим, например, что пользователь является членом двух разных групп. Разрешения группы будут объединены для формирования эффективных разрешений для пользователя. Обычно в такой ситуации применяются наименее ограничительные разрешения. Исключением является то, что если пользователю предоставлен конкретный отказ, то отказ будет иметь приоритет над любыми примененными разрешениями. Вы можете использовать эту концепцию, чтобы получить по-настоящему детальный контроль над разрешениями для принтеров. Прежде чем я покажу вам, как это сделать, давайте кратко рассмотрим, что делают различные разрешения.

Печать — если пользователю было назначено разрешение на печать, то ему разрешено печатать на принтере.

Управление принтерами — разрешение «Управление принтерами» дает пользователям право изменять свойства принтера и изменять разрешения, применимые к другим пользователям.

Управление документами — разрешение «Управление документами» позволяет пользователям выполнять такие действия, как приостановка, перезапуск или удаление заданий печати.

Разрешения на чтение — если пользователю были назначены разрешения на чтение, то он сможет видеть разрешения, которые были назначены каждому пользователю.

Изменение разрешений — как следует из названия, изменение разрешений позволяет пользователю изменять разрешения, которые другие пользователи имеют для принтера.

Вступить во владение — разрешение «Вступить во владение» позволяет пользователю стать владельцем принтера.

Ранее я упоминал, что вы можете использовать различные разрешения в сочетании с утверждениями и отказами для создания очень детальных настроек разрешений. Например, разрешение «Управление принтерами» позволяет пользователю изменять свойства принтера и изменять его разрешения. Предположим, вы не хотите, чтобы менеджер принтера мог изменять разрешения принтера. Вы можете предоставить пользователю разрешение «Управление принтерами», но установить конкретный отказ в разрешении «Измененные разрешения». При этом вы разрешите пользователю управлять принтерами, но запретите ему изменять какие-либо разрешения.

Вывод

Как видите, существует множество настроек, которые можно использовать для защиты принтеров в вашей компании. В третьей части этой серии статей я продолжу обсуждение, показав вам, как контролировать использование принтера.

Компьютерные сети

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Рейтинг лучших процессоров Intel Xeon для игр и домашних сборок
21 Февраля, 2026
Что такое proxy IPv4: как работает, виды, отличия от IPv6 и как выбрать под задачи
14 Июня, 2023
Что такое оптический патч-корд: виды, разъёмы, полировка, параметры и правила выбора
11 Мая, 2023
Сервер удаленного доступа (RAS) для дозвона
29 Марта, 2023
Проверка настройки удаленного доступа к сети
29 Марта, 2023
Разрешения пользователя NT4
29 Марта, 2023
Установка/настройка сетевых драйверов NT4
29 Марта, 2023
Сеть тормозит!
29 Марта, 2023