Temos um laboratório estudantil que usa uma única impressora colorida e várias filas de impressão para lidar com impressões coloridas e em preto e branco. Também estamos usando o pcounter para nossa auditoria. Estamos saindo do sistema NDPS da Novell para o Windows 2008, e neste caso me deparei com um obstáculo. Os gerentes de impressão desejam ter uma única impressora neste laboratório (uma impressora Ricoh, neste caso) e ter dois objetos de impressão separados para trabalhos em cores e em preto e branco, e cobrar separadamente por cada um deles.
Isto não é uma coisa simples. A detecção de cores do PCounter não é confiável neste caso, portanto não podemos usá-la para manter os trabalhos coloridos fora da fila em preto e branco. O que parece funcionar é colocarmos duas impressoras diferentes nas estações de laboratório com drivers bloqueados. Esse modelo funcionou bem no ambiente Novell, pois os alunos teriam que adicionar o Novell Client a seus laptops para imprimir trabalhos coloridos na fila em preto e branco, e nunca encontramos ninguém que fizesse isso. Um ambiente de impressão do Windows muda tudo isso, já que praticamente qualquer coisa pode ser impressa em objetos de impressão do Windows atualmente.
Nossos alunos serão capazes de usar máquinas pessoais sem domínio na rede sem fio (e talvez nos dormitórios) para mapear unidades para os servidores de arquivos centrais e, presumivelmente, também para os servidores de impressão centrais. Não temos nenhuma maneira de gerenciar esses laptops de propriedade privada e sem domínio, portanto, não temos nenhum tipo de controle no nível do driver; especialmente para todos aqueles MacBooks circulando por aí. É por isso que as soluções no nível do driver não são viáveis.
Temos que permitir que todo o corpo discente imprima nessas impressoras, mas gostaríamos muito que o spooler também aceitasse trabalhos de estações de trabalho específicas. O ambiente de impressão do Windows oferece suporte a um recurso como esse?
Responder1
Não há funcionalidade no serviço de spooler do Windows que permita definir permissões em filas de impressão com base no computador usado para enviar um trabalho de impressão – somente o usuário.
A única ideia meio decente que estou tendo é fazer um firewall na fila do servidor de impressão para esta impressora, de modo que apenas os computadores com permissão para enviar trabalhos de impressão possam acessar as portas TCP 139 e 445. Isso seria tedioso de configurar e poderia causar você precisará de mais instâncias de computador servidor para atender diferentes combinações de impressoras e computadores permitidos.
Pensei em tentar hackear o servidor Internet Printing Protocol (IPP) da Microsoft, mas isso é um tiro no escuro. Ele permite que os usuários enviem trabalhos por meio de HTTP sobre IIS, o quefazter a capacidade de permitir/negar solicitações com base no IP de origem ou nome DNS. Isso é um tiro no escuro, pensei.
Também pensei em usar um processo de "front-end" personalizado executando, digamos, um servidor de "impressão direta" HP (porta TCP 9100) para autorizar trabalhos com base no dispositivo de envio. Ele poderia selecioná-los, autorizar o trabalho e enviá-lo para a fila de back-end do Windows. O problema é que a autenticação e a contabilidade por usuário seriam perdidas.
Acho que você faria bem em restringir as permissões de fila existentes e conviver com a segurança por usuário.
Responder2
Um ambiente de impressão do Windows muda tudo isso, já que praticamente qualquer coisa pode ser impressa em objetos de impressão do Windows atualmente.
Quando você compartilha a impressora no Windows, há uma guia de segurança que permite definir várias permissões.
Para o seu problema em cores/p&b, você poderá instalar duas impressoras separadas para uma impressora física no Windows e atribuir permissões diferentes a cada uma. Para fazer um apenas em preto e branco, se você não conseguir bloquear as preferências, poderá tornar o driver apenas um driver PCL ou PS em preto e branco que seja compatível com essa impressora. Por exemplo, você poderia usar o driver LaserJet 4, que não oferece suporte à impressão em cores.
Responder3
Apenas um pensamento e não um que eu testei ou estou em condições de testar... Use grupos de segurança contendo os dispositivos, em vez de usuários. Restrinja os direitos de impressão com base nesses grupos.
Responder4
Lendo o que foi dito acima, parece que o seguinte cenário é o que precisarei fazer se quiser fazer o que nosso pessoal de serviços de impressão deseja:
- Ao criar compartilhamentos de impressão, as impressoras que serão usadas para impressão simultânea em cores e em preto e branco deverão ser configuradas para compartilhamento em um servidor de impressão segregado do restante das impressoras simples e antigas de função única.
- Esta máquina dedicada precisa usar controles de rede (firewalls, regras de roteador, etc.) para evitar que o tráfego de compartilhamento do Windows originado de onde os alunos passam chegue até ele.
Uma coisa que não deixei claro na pergunta é que nossos alunos serão capazes de usar máquinas pessoais sem domínio para mapear unidades para os servidores de arquivos centrais e, presumivelmente, também para os servidores de impressão centrais. Não temos nenhuma maneira de gerenciar esses laptops de propriedade privada e sem domínio, portanto, não temos nenhum tipo de controle no nível do driver; especialmente para todos aqueles MacBooks circulando por aí. É por isso que as soluções no nível do driver não são viáveis.