RDP, разрешить подключать принтеры ряду клиентов : Windows

█ 16.10.2015 18:59

Есть такая ситуация - сервер Win2008 в домене.
Пользователям, подключающимся к нему с компьютеров домена - надо запретить перенаправлять принтеры.
А пользователям, подключающимся к несу с недоменных компьютеров - надо разрешить перенаправлять принтеры.
Подключаются все к серверу терминалов, понятное дело, как доменные пользователи.

Возможно ли так извратиться?
И если да - то как?

Настройка в GPO "Не разрешать перенаправление клиентских принтеров"

Цитата:

Указывает, надо ли отключать сопоставление клиентских принтеров в сеансах служб терминалов.

Эта политика может использоваться для запрещения пользователям перенаправление заданий на печать с удаленного компьютера на принтер, подключенный к их локальному (клиентскому) компьютеру. По умолчанию, службы терминалов разрешают такое сопоставление клиентских принтеров.

Если эта политика включена, пользователи не могут перенаправить задания на печать с удаленного компьютера на локальный клиентский принтер в сеансах служб терминалов.

Если эта политика отключена, пользователи могут перенаправить задания на печать с удаленного компьютера на локальный клиентский принтер.

Если эта политика не задана, сопоставление клиентских принтеров не определено на уровне групповой политики. Однако, администраторы могут отключить сопоставление клиентских принтеров с помощью программы "Настройка служб терминалов".

при её включении запрещает всем подключать клиентские принтеры (т.е., относится к серверу терминалов, а не к клиенту).

█ 16.10.2015 23:52

теоритически возможно не не gpedit
всем запретить мапить порты...
а избранным написть батник на загрузку на мап LPT портов...

█ 17.10.2015 00:08

Даже теоретически не вариант - "разрешённые" могут работать с любого компьютера, в том числе - с Mac-а.

Продолжая мыслить "теоретически" - надо как-то наоборот. Т.е. всем разрешить, а вот каким-то (доменным) запретить.

█ 19.10.2015 11:10

А не получается с запретом через политики?
В домене создать новую, назначить применение на нужную групу юзеров, в политике - Конфигурация компьютера - Административные шаблоны - Компоненты windows - Службы терминалов - Перенаправление данных.
На доменные компы должно действовать.

█ 19.10.2015 11:17

С распространением и обновлением видновых политик нужно повнимательнее. Иногда, клиентскую доменную машинку нужно насильно пнуть в "gpupdate /force"

█ 20.10.2015 09:42

Цитата:

vdm ➤ А не получается с запретом через политики?
В домене создать новую, назначить применение на нужную групу юзеров, в политике - Конфигурация компьютера - Административные шаблоны - Компоненты windows - Службы терминалов - Перенаправление данных.
На доменные компы должно действовать.

Я понял, что данная политика действует на сервер терминалов, а не на клиентские компьютеры (при её применении на клиентском компьютере всё равно есть возможность сказать "перенаправлять принтеры", но сервер эти принтеры уже не видит).

Хотя... Надо ещё раз проверить правильность моей догадки о том, на кого действует политика (т.е. применить её не ко всем доменным компьютерам (куда входит и сервер терминалов), а только к, предположим, одному клиентскому компьютеру).

P.S. У меня ситуация такова, что пользователь (конечно же - доменный) может работать как за "доменным компьютером" (в офисе), так и за "удалённым".
Количество доменных компьютеров - известно и конечно, количество удалённых - неизвестно и "бесконечно".

█ 20.10.2015 11:35

Цитата:

KirillHome ➤ Я понял, что данная политика действует на сервер терминалов, а не на клиентские компьютеры (при её применении на клиентском компьютере всё равно есть возможность сказать "перенаправлять принтеры", но сервер эти принтеры уже не видит).

Хотя... Надо ещё раз проверить правильность моей догадки о том, на кого действует политика (т.е. применить её не ко всем доменным компьютерам (куда входит и сервер терминалов), а только к, предположим, одному клиентскому компьютеру).

Проверил.
Создал группу с одним (своим) компьютером, указал для неё в GPO "Не разрешать перенаправление клиентских принтеров" - включено. Применил политику (gpupdate /force).
При настройке соединения в "Локальных ресурсах" сказал, что принтер перенаправляю - и он перенаправился.

По всему выходит, что эта настройка оказывает влияние только на сам сервер терминалов. Увы.