Contamos con un laboratorio para estudiantes que utiliza una impresora de un solo color y múltiples colas de impresión para manejar impresiones en color y en blanco y negro. También utilizamos pcounter para nuestra auditoría. Estamos pasando del sistema NDPS de Novell a Windows 2008, y en este caso me he topado con un muro. Los gerentes de impresión quieren tener una sola impresora en este laboratorio (una impresora Ricoh en este caso) y tener dos objetos de impresión separados para trabajos en color y blanco y negro, y cobrar por separado por cualquiera de ellos.
Esto no es algo sencillo. La detección de color de PCounter no es confiable en este caso, por lo que no podemos usarla para mantener los trabajos en color fuera de la cola en blanco y negro. Lo que parece funcionar es si colocamos dos impresoras diferentes en las estaciones de laboratorio con controladores bloqueados. Este modelo funcionó bien en el entorno de Novell, ya que los estudiantes tenían que agregar el Cliente Novell a sus computadoras portátiles para poder imprimir trabajos en color en la cola en blanco y negro, y nunca encontramos a nadie que hiciera eso. Un entorno de impresión de Windows cambia todo eso, ya que hoy en día prácticamente cualquier cosa puede imprimirse en objetos de Windows Print.
Nuestros estudiantes podrán usar máquinas personales no dominadas en la red inalámbrica (y tal vez los dormitorios) para asignar unidades a los servidores de archivos centrales y, presumiblemente, también a los servidores de impresión centrales. No tenemos formas de administrar estas computadoras portátiles de propiedad privada y sin dominio, por lo que no tenemos ningún tipo de control a nivel de controlador; especialmente para todas esas MacBooks que andan por ahí. Por eso las soluciones a nivel del conductor no son viables.
Tenemos que permitir que todo el alumnado imprima en estas impresoras, pero realmente nos gustaría que el administrador de trabajos solo aceptara trabajos de estaciones de trabajo específicas. ¿El entorno de impresión de Windows admite una característica como esa?
Respuesta1
No hay ninguna funcionalidad en el Servicio de cola de impresión de Windows que le permita establecer permisos en las colas de impresión según la computadora utilizada para enviar un trabajo de impresión: solo el usuario.
La única idea, incluso medio decente, que se me ocurre es crear un firewall en el servidor de impresión en cola para esta impresora, de modo que sólo aquellas computadoras a las que se les permite enviar trabajos de impresión puedan acceder a los puertos TCP 139 y 445. Eso sería tedioso de configurar y podría causar necesitará más instancias de computadora servidor para dar servicio a diferentes combinaciones de impresora y computadoras permitidas.
Pensé en intentar hackear el servidor del Protocolo de impresión de Internet (IPP) de Microsoft, pero es una posibilidad muy remota. Permite a los usuarios enviar trabajos a través de HTTP sobre IIS, lo quehacetiene la capacidad de permitir/denegar solicitudes basadas en la IP de origen o el nombre DNS. Eso es una posibilidad remota, pensó.
También pensé en utilizar un proceso "frontal" personalizado que ejecute, por ejemplo, un servidor de "impresión directa" HP (puerto TCP 9100) para autorizar trabajos según el dispositivo de envío. Podría recogerlos, autorizar el trabajo y luego enviarlo a la cola de fondo de Windows. El problema es que se perdería la autenticación y la contabilidad por usuario.
Creo que harías bien en reducir los permisos de cola existentes y vivir con seguridad por usuario.
Respuesta2
Un entorno de impresión de Windows cambia todo eso, ya que hoy en día casi cualquier cosa puede imprimirse en objetos de Windows Print.
Cuando comparte la impresora desde Windows, hay una pestaña de seguridad que debería permitirle establecer varios permisos.
Para su problema de color/blanco y negro, debería poder instalar dos impresoras independientes para una impresora física en Windows y asignar permisos diferentes a cada una. Para hacer uno solo en blanco y negro, si no puede bloquear las preferencias, puede hacer que el controlador sea solo un controlador PCL o PS en blanco y negro que sea compatible con esa impresora. Por ejemplo, podría utilizar el controlador LaserJet 4, que no admite la impresión en color.
Respuesta3
Sólo una idea que no he probado ni estoy en condiciones de probar... Utilice grupos de seguridad que contengan los dispositivos, en lugar de usuarios. Restrinja los derechos de impresión según esos grupos.
Respuesta4
Al leer lo anterior, parece que el siguiente escenario es lo que tendré que hacer si quiero hacer lo que nuestra gente de servicios de impresión quiere:
- Al crear impresiones compartidas, las impresoras que se utilizarán para la impresión simultánea en color y en blanco y negro se configurarán para compartir en un servidor de impresión separado del resto de las antiguas impresoras de función única.
- Esta máquina dedicada necesita usar controles de red (firewalls, reglas de enrutador, etc.) para evitar que el tráfico compartido de Windows que se origina en el lugar donde los estudiantes pasan el rato llegue a él.
Una cosa que no dejé clara en la pregunta es que nuestros estudiantes podrán usar máquinas personales no dominadas para asignar unidades a los servidores de archivos centrales y, presumiblemente, también a los servidores de impresión centrales. No tenemos formas de administrar estas computadoras portátiles de propiedad privada y sin dominio, por lo que no tenemos ningún tipo de control a nivel de controlador; especialmente para todas esas MacBooks que andan por ahí. Por eso las soluciones a nivel del conductor no son viables.