Wir haben ein Studentenlabor, das einen einzelnen Farbdrucker und mehrere Druckwarteschlangen für Farb- und Schwarzweißdrucke verwendet. Wir verwenden pcounter auch für unsere Prüfungen. Wir wechseln vom NDPS-System von Novell zu Windows 2008, und in diesem Fall stoße ich an eine gewisse Grenze. Die Druckmanager möchten in diesem Labor einen einzelnen Drucker haben (in diesem Fall einen Ricoh-Drucker) und zwei separate Druckobjekte für Farb- und Schwarzweißaufträge und für beide separat abrechnen.
Das ist keine einfache Sache. Die Farberkennung von PCounter ist in diesem Fall nicht zuverlässig, daher können wir sie nicht verwenden, um Farbaufträge aus der S/W-Warteschlange herauszuhalten. Was zu funktionieren scheint, ist, wenn wir zwei verschiedene Drucker mit gesperrten Treibern an die Laborstationen anschließen. Dieses Modell funktionierte in der Novell-Umgebung gut, da die Studenten den Novell-Client zu ihren Laptops hinzufügen mussten, um Farbaufträge in die S/W-Warteschlange zu drucken, und wir haben nie jemanden gefunden, der das getan hat. Eine Windows-Druckumgebung ändert das alles, da heutzutage praktisch alles auf Windows-Druckobjekte gedruckt werden kann.
Unsere Studenten können persönliche, nicht domänengebundene Rechner im drahtlosen Netzwerk (und vielleicht auch in den Wohnheimen) verwenden, um Laufwerke den zentralen Dateiservern und vermutlich auch den zentralen Druckservern zuzuordnen. Wir haben keinerlei Möglichkeiten, diese privaten, nicht domänengebundenen Laptops zu verwalten, und verfügen daher über keinerlei Steuerung auf Treiberebene; insbesondere nicht für all die MacBooks, die herumlaufen. Aus diesem Grund sind Lösungen auf Treiberebene nicht praktikabel.
Wir müssen der gesamten Studentenschaft das Drucken auf diesen Druckern ermöglichen, aber wir hätten es auch gern, wenn der Spooler nur Aufträge von bestimmten Arbeitsplätzen annehmen würde. Unterstützt die Windows-Druckumgebung eine solche Funktion?
Antwort1
Es gibt im Windows-Spoolerdienst keine Funktion, mit der Sie Berechtigungen für Druckwarteschlangen basierend auf dem Computer festlegen können, der zum Senden eines Druckauftrags verwendet wird – nur der Benutzer.
Die einzige halbwegs vernünftige Idee, die mir einfällt, besteht darin, den Druckserver, der für diesen Drucker in die Warteschlange steht, mit einer Firewall zu versehen, sodass nur die Computer, die Druckaufträge übermitteln dürfen, auf die TCP-Ports 139 und 445 zugreifen können. Das wäre mühsam zu konfigurieren und könnte dazu führen, dass Sie mehrere Servercomputerinstanzen benötigen, um unterschiedliche Kombinationen von Druckern und zugelassenen Computern zu bedienen.
Ich habe darüber nachgedacht, Microsofts Internet Printing Protocol (IPP)-Server zu hacken, aber das ist wirklich ein Glücksspiel. Es ermöglicht Benutzern, Aufträge über HTTP über IIS zu übermitteln, wastutdie Möglichkeit haben, Anfragen basierend auf der Quell-IP oder dem DNS-Namen zuzulassen/abzulehnen. Das ist allerdings ein gewagtes Unterfangen.
Ich habe auch darüber nachgedacht, einen benutzerdefinierten „Front-End“-Prozess zu verwenden, der beispielsweise einen HP-Server für „Direktdruck“ (TCP-Port 9100) ausführt, um Aufträge basierend auf dem sendenden Gerät zu autorisieren. Er könnte sie abrufen, den Auftrag autorisieren und ihn dann an die Back-End-Windows-Warteschlange senden. Das Problem dabei ist, dass die Authentifizierung und Abrechnung pro Benutzer verloren gehen würde.
Ich denke, Sie tun gut daran, Ihre vorhandenen Warteschlangenberechtigungen einzuschränken und mit der Sicherheit pro Benutzer zu leben.
Antwort2
Eine Windows-Druckumgebung ändert das alles, da heutzutage praktisch alles auf Windows-Druckobjekte gedruckt werden kann.
Wenn Sie den Drucker innerhalb von Windows freigeben, gibt es eine Registerkarte „Sicherheit“, auf der Sie verschiedene Berechtigungen festlegen können.
Für Ihr Farb-/Schwarzweißproblem sollten Sie in der Lage sein, zwei separate Drucker für den einen physischen Drucker unter Windows zu installieren und jedem Drucker unterschiedliche Berechtigungen zuzuweisen. Wenn Sie die Einstellungen nicht sperren können, können Sie den Treiber zu einem Schwarzweiß-PCL- oder PS-Treiber machen, der mit diesem Drucker kompatibel ist, um einen reinen Schwarzweiß-Drucker zu erstellen. Sie könnten beispielsweise den LaserJet 4-Treiber verwenden, der keinen Farbdruck unterstützt.
Antwort3
Nur so ein Gedanke, den ich nicht getestet habe und auch nicht testen kann ... Verwenden Sie Sicherheitsgruppen, die die Geräte enthalten, und keine Benutzer. Beschränken Sie die Druckrechte basierend auf diesen Gruppen.
Antwort4
Wenn ich das Obige lese, klingt es, als müsste ich das folgende Szenario durchführen, wenn ich das tun möchte, was unsere Leute vom Druckservice wollen:
- Beim Erstellen von Druckerfreigaben müssen die Drucker, die für den gleichzeitigen Farb- und Schwarzweißdruck verwendet werden, für die gemeinsame Nutzung auf einem Druckserver eingerichtet werden, der vom Rest der herkömmlichen Einzelfunktionsdrucker getrennt ist.
- Diese dedizierte Maschine muss Netzwerkkontrollen (Firewalls, Routerregeln usw.) verwenden, um zu verhindern, dass freigegebener Windows-Datenverkehr vom Aufenthaltsort der Studenten auf sie zugreift.
Eine Sache, die ich in der Frage nicht klar gemacht habe, ist, dass unsere Studenten persönliche, nicht domänengebundene Maschinen verwenden können, um Laufwerke den zentralen Dateiservern und vermutlich auch den zentralen Druckservern zuzuordnen. Wir haben keinerlei Möglichkeiten, diese privaten, nicht domänengebundenen Laptops zu verwalten, haben also keinerlei Kontrolle auf Treiberebene; insbesondere nicht für all die MacBooks, die herumlaufen. Aus diesem Grund sind Lösungen auf Treiberebene nicht praktikabel.