У нас есть студенческая лаборатория, которая использует один цветной принтер и несколько очередей печати для обработки цветных и ч/б отпечатков. Мы также используем pcounter для аудита. Мы переходим с системы Novell NDPS на Windows 2008, и в этом случае я немного уперся в стену. Менеджеры по печати хотят иметь один принтер в этой лаборатории (в данном случае принтер Ricoh) и два отдельных объекта печати для цветных и ч/б заданий, и взимать отдельную плату за каждый из них.
Это не просто. В этом случае определение цвета PCounter ненадежно, поэтому мы не можем использовать его для того, чтобы не допустить попадания цветных заданий в очередь черно-белой печати. Кажется, это сработает, если мы поместим два разных принтера на лабораторные станции с заблокированными драйверами. Эта модель хорошо работала в среде Novell, поскольку студентам приходилось добавлять Novell Client на свои ноутбуки, чтобы печатать цветные задания в очередь черно-белой печати, и мы ни разу не нашли никого, кто бы это делал. Среда печати Windows все меняет, поскольку в наши дни практически все может печатать на объектах печати Windows.
Наши студенты смогут использовать личные недоменные машины в беспроводной сети (и, возможно, общежития) для сопоставления дисков с центральными файл-серверами, а также, предположительно, центральными серверами печати. У нас нет никаких способов управлять этими частными, недоменными ноутбуками, поэтому у нас нет никакого контроля на уровне драйверов; особенно для всех этих MacBook, которые крутятся вокруг. Вот почему решения на уровне драйверов нежизнеспособны.
Мы должны разрешить всем студентам печатать на этих принтерах, но нам бы очень хотелось, чтобы спулер принимал задания только с определенных рабочих станций. Поддерживает ли среда печати Windows такую функцию?
решение1
В службе диспетчера очереди печати Windows нет функции, позволяющей устанавливать разрешения для очередей печати на основе компьютера, используемого для отправки задания на печать, — есть только разрешение пользователя.
Единственная более-менее приличная идея, которая приходит мне в голову, — это защитить очередь сервера печати для этого принтера с помощью брандмауэра, чтобы доступ к TCP-портам 139 и 445 могли получить только те компьютеры, которым разрешено отправлять задания на печать. Это было бы утомительно настраивать и могло бы привести к тому, что вам понадобилось бы больше экземпляров серверных компьютеров для обслуживания различных комбинаций принтеров и разрешенных компьютеров.
Я думал о попытке взломать сервер Microsoft Internet Printing Protocol (IPP), но это очень маловероятно. Он позволяет пользователям отправлять задания через HTTP через IIS, чтоделаетиметь возможность разрешать/отклонять запросы на основе исходного IP или имени DNS. Это, как мне показалось, маловероятно.
Я также думал об использовании пользовательского "фронтального" процесса, работающего, скажем, на сервере HP "прямой печати" (TCP-порт 9100) для авторизации заданий на основе отправляющего устройства. Он мог бы их забрать, авторизовать задание, а затем отправить его в очередь Windows на сервере. Проблема в том, что аутентификация и учет каждого пользователя будут потеряны.
Я думаю, вам стоит ограничить существующие разрешения для очередей и придерживаться политики безопасности для каждого пользователя.
решение2
Среда печати Windows меняет все это, поскольку в наши дни практически все может печатать на объектах печати Windows.
При предоставлении общего доступа к принтеру из Windows есть вкладка «Безопасность», которая позволяет вам устанавливать различные разрешения.
Для решения проблемы цвет/ч/б вы должны иметь возможность установить два отдельных принтера для одного физического принтера в Windows и назначить каждому разные разрешения. Чтобы сделать один просто ч/б, если вы не можете заблокировать настройки, вы можете сделать драйвер просто ч/б драйвером PCL или PS, совместимым с этим принтером. Например, вы можете использовать драйвер LaserJet 4, который не поддерживает цветную печать.
решение3
Просто мысль, и я ее не тестировал и даже не имею возможности тестировать... Используйте группы безопасности, содержащие устройства, а не пользователей. Ограничьте права печати на основе этих групп.
решение4
Прочитав вышеизложенное, мне кажется, что мне нужно будет сделать следующий сценарий, если я хочу сделать то, чего хотят наши специалисты по типографиям:
- При создании общих принтеров принтеры, которые будут использоваться для одновременной цветной и черно-белой печати, должны быть настроены для общего доступа на сервере печати, отдельно от остальных обычных однофункциональных принтеров.
- Эта выделенная машина должна использовать сетевые элементы управления (брандмауэры, правила маршрутизатора и т. д.), чтобы ограничить общий трафик Windows, исходящий из мест нахождения студентов, и не допускать его к ней.
Одна вещь, которую я не прояснил в вопросе, заключается в том, что наши студенты смогут использовать персональные недоменные машины для сопоставления дисков с центральными файл-серверами, а также, предположительно, центральными серверами печати. У нас нет никаких способов управлять этими частными, недоменными ноутбуками, поэтому у нас нет никакого контроля на уровне драйверов; особенно для всех этих MacBook, которые крутятся вокруг. Вот почему решения на уровне драйверов нежизнеспособны.