Windows 印刷環境におけるデバイスベースの権限

Windows スプーラー サービスには、印刷ジョブの送信に使用されたコンピューターに基づいて印刷キューのアクセス許可を設定できる機能はありません。設定できるのはユーザーのみです。

私が思いついた唯一のまともなアイデアは、このプリンターのプリント サーバー キューをファイアウォールで保護し、印刷ジョブの送信を許可されたコンピューターだけが TCP ポート 139 と 445 にアクセスできるようにすることです。これは構成が面倒で、プリンターと許可されたコンピューターのさまざまな組み合わせに対応するために、より多くのサーバー コンピューター インスタンスが必要になる可能性があります。

マイクロソフトのインターネット印刷プロトコル（IPP）サーバーをハッキングしようかとも考えたが、それはかなり難しい。ユーザーはIIS経由でHTTP経由でジョブを送信できるが、するソース IP または DNS 名に基づいてリクエストを許可/拒否する機能があります。ただし、これは実現の可能性は低いです。

また、たとえば HP の「ダイレクト プリント」(TCP ポート 9100) サーバーを実行するカスタムの「フロントエンド」プロセスを使用して、送信デバイスに基づいてジョブを承認することも考えました。ジョブを取得して承認し、バックエンドの Windows キューに送信できます。この場合の問題は、ユーザーごとの認証とアカウンティングが失われることです。

既存のキュー権限を制限し、ユーザーごとのセキュリティを維持するのが賢明だと思います。

Windows 印刷環境は、今日ではほぼ何でも Windows 印刷オブジェクトに印刷できるため、すべてが変わります。

Windows 内からプリンターを共有する場合、さまざまな権限を設定できるセキュリティ タブが表示されます。

カラー/白黒の問題については、Windows 上の 1 台の物理プリンタに対して 2 台のプリンタをインストールし、それぞれに異なる権限を割り当てることができます。1 台を白黒専用にするには、設定をロックできない場合は、そのプリンタと互換性のある白黒 PCL または PS ドライバのみをドライバにすることができます。たとえば、カラー印刷をサポートしていない LaserJet 4 ドライバを使用できます。

単なる考えであり、私がテストしたものではなく、テストする立場にもありません... ユーザーではなく、デバイスを含むセキュリティ グループを使用します。それらのグループに基づいて印刷権限を制限します。

上記を読んでみると、印刷サービス担当者の要望に応えるには、次のようなシナリオを実行する必要があるようです。

• 印刷共有を作成する場合、カラーと白黒の同時印刷に使用するプリンタは、他の単純な単機能プリンタとは分離されたプリント サーバー上で共有するように設定する必要があります。
• この専用マシンでは、ネットワーク制御 (ファイアウォール、ルーター ルールなど) を使用して、学生が集まる場所から発生する Windows 共有トラフィックがマシンに到達しないようにする必要があります。

質問で明確にしなかったことの 1 つは、学生が個人の非ドメイン マシンを使用してドライブを中央ファイル サーバーにマップし、おそらく中央プリント サーバーにもマップできることです。これらの個人所有の非ドメイン ラップトップを管理する方法がまったくないため、特に MacBook が大量に使用されている場合、ドライバー レベルの制御はまったくありません。ドライバー レベルのソリューションが実行可能でないのは、このためです。