共有プリンターDENYADセキュリティグループに割り当てられた印刷ACLが機能しない
私は3台のサーバーを持っています。
- サーバー1-プリントサーバー、Windows Server 2008 Standard
- サーバー2-ドメインコントローラー、Windows Server 2008 R2 Standard
- サーバー3-ターミナルサービスサーバー、Windows Server 2008 R2 Standard
サーバー1には、5台のプリンターがインストールされています。すべてのプリンターはTCP/IPプリンターです。指定したADグループのメンバーのみがそのプリンターに印刷できるように、1つのプリンターを制限する必要があります。したがって、[印刷管理]の制限付きプリンターの[セキュリティ]タブで、ADセキュリティグループ制限付きプリンター-承認されたドメインユーザーに印刷許可のアクセス許可が付与されます。印刷許可権限を持つデフォルトのEveryoneグループは削除されました。
RESTRICTED Printers-Authorized Domain Usersの唯一のメンバーはDomain\TestAllowedです。
5台のプリンターはすべて、サーバー2のGPOを介してサーバー3にインストールされ、プリンターが自動的に追加されます。これは正しく機能します。
次に、Domain\TestProhibitedとしてサーバー3にログインし、制限されたプリンターに印刷しようとすると、ページが印刷されます。
ページが印刷される理由と、RESTRICTED Printers-Authorized Domain Usersのメンバーのみが制限付きプリンターに印刷できるようにするために何をする必要がありますか?
プリントサーバーのアクセス許可の設定 に関するMicrosoftのTechNetページをすでに読んだ(そしてACLを正しく構成したことを確認した)。
サーバー1の制限付きプリンターでDomain\TestProhibitedの印刷権限を明示的に拒否するところまで行きました。サーバー3からログアウトし、再度ログインしても、Domain\TestProhibitedは制限付きプリンターに印刷できました。
プリンタが共有プリンタ名でターミナルサービスサーバーにインストールされている場合でも、プリントサーバー上のプリンタのセキュリティ権限を変更するだけでは不十分なようです。
ターミナルサービスサーバーにログインすると、グループポリシーを使用してプリンターをインストールしたときに、プリンターのセキュリティアクセス許可が転送されないことがわかります。ターミナルサービスサーバーにログインしてプリンターのセキュリティアクセス許可を変更した後、ログアウトして再度ログインすると、プリンターが正しく制限されます。
Windowsでのネットワーク印刷に関する重要な点は、ポートとキューの2つのオブジェクトがあることです。
セットアップでは、Server1でポートとキューの両方を作成し、キューのACLを設定します。次に、Server3(GPOを介して)で、何らかの理由で、Server1のキューを指す代わりに、Server1のポートを使用して新しいキューを作成しているようです。また、キューは新しいため、Server1のキューからACLを取得していません。