Как настроить принтеры по сети, чтобы каждый печатал только на своём принтере?

Question

[Vlad_moroz]

Добрый вечер! Такая задача. Одна общая сеть. 4 кабинета с 4 сетевыми принтерами, подключёнными по сети без вланов и подсетей. Задача: сделать так, чтобы в каждом кабинете каждый печатал именно на своём принтере. Чтобы соседи из других кабинетов не могли даже и не видеть чужие принтера. Принтера подсоединены напрямую через розетки или по вайфай

Comments

[Akina]

Если коммутаторы управляемые - настроить изоляцию портов, к которым подключены принтеры, ограничив для них общение только портами своей комнаты.

[Vlad_moroz]

Модель Canon MF 453 в основном. Есть другие варианты этого же бренда

Answer 1

[Роман Безруков]

У принтера есть свойства, в свойствах есть вкладка "Безопасность" - там список учетных записей, которые могут печатать, управлять принтером, управлять документами и т.д. Этот список можно привести в соответствие вашим хотелкам.
При наличии принт-сервера и/или домена можно всеми необходимыми для печати документов правами пользователей рулить более продуктивно через, например, доменные группы безопасности, GPO/GPP и т.д.

Comments

[rPman]

Модель Canon MF 453 не умеет работать с доменом, по крайней мере в инструкции нет этого

[Олег]

Речь про ограничения операционной системы, рядового пользователя можно ограничить в правах.
А если у Вас есть контролер домен, то все ограничения можно вводить на уровне групп пользователей.
Например группа бухгалтеры, менеджеры или совсем просто кабинет номер такой-то.

[rPman]

Олег, да конечно, только вопрос, это ограничение на все принтеры или на конкретный?

локально созданный принтер можно ограничить, автору нужно запретить поиск, т.е. добавление нового принтера, права на который уже другие

p.s. я бы вообще пользователям не давал такое вытворять. но у автора судя по всему ситуация вынужденная

[Олег]

https://learn.microsoft.com/ru-ru/troubleshoot/win...
Отключить удаление принтеров. Запрещает пользователям удалять локальные и сетевые принтеры. Если пользователь пытается удалить принтер, например с помощью команды Удалить в средстве «Принтеры» панели управления, Windows отображает сообщение о том, что действие запрещено политикой. Однако эта политика не запрещает пользователям запускать программы для удаления принтера.

Отключить добавление принтеров. Запрещает использовать известные методы для установки локальных и сетевых принтеров. Эта политика удаляет мастер установки принтеров из меню Пуск и из папки Принтеры в панели управления. Кроме того, пользователи не смогут устанавливать новые принтеры перетаскиванием значка принтера в папку Принтеры. При попытке использовать этот способ появляется сообщение о том, что выполнение действия запрещено политикой. (но можно накатить принтер через вендорскую программу установки :( )

Answer 2

[rPman]

Самое дешевое решение (конечно его можно обойти, если знаешь как) - это поместить каждое сетевое устройство в свою подсеть, парами (т.е. принтер и компьютер прописываешь подсеть и 2 ip адреса, отличающиеся от основной сети). Это не vlan, так как изоляции нет и пакеты гуляют в общей куче, но все машины, укоторых не прописаны соответствующие настройки проигнорируют их, ни найти ни распечатать без настройки на машине будет нельзя.

На машинах нужно будет прописывать два ip адреса (либо dhcp по mac адресу либо статикой вручную), один - общая локальная сеть организации, другой - из локальной сети принтера. На принтерах настраиваешь только один ip адрес.

Принтеры, не умеющие работать по сети нужно будет подключать к какому-либо компьютеру, и запретить этому компьютеру на нем печатать в общем случае не получится (можно настроить права доступа и запретить пользователю печатать на нем, вот только не помню, работает ли запрет сразу на все принтеры или только на выбранный)

Answer 3

[Valentin Barbolin]

Ты можешь выключить Discovery на самих принтерах и соответственно не зная IP его не получить добавить на ПК.
В плане ограничения доступа необходимо смотреть на функционал самого принтера, возможно бренд который ты используешь заложил такую возможность. По взрослому органичение доступа реализовывают через принтсервер на базе windows или cups.

Answer 4

[Олег]

По хорошему вопрос решается на уровне доменных политик, но скорее всего у Вас там все пользователи сидят как локальные администраторы.
За автоматическое обнаружение принтеров отвечают сетевые службы AirPrint/mDNS,WSD,SLP,SNMP.
Сама печать может работать через IPP, LPR/LPD, Raw TCP/IP (или JetDirect)
Самый анонимный вариант сетевого принтера - это JetDirect на 9100 , но легко вскрывается сканированием сети.
Но тут проблема в связке с DHCP вы не сможете на него и сами попасть. Остается только назначить статический IP.
Но в результате секрет Полишинеля :(
Принтеры могут иметь белые списки по mac,ip. Но сейчас винда по умолчанию использует скрытие мак адреса, а айпишники динамические

Comments

[Akina]

Самый анонимный вариант сетевого принтера - это JetDirect

На кэноновской мфушке? серьёзно?

По-моему, как раз самый анонимный - это Raw. Во всяком случае от него нет ни бродкастов, ни мультикастов, а если никто его не расшарит, то он вообще нигде и никак не светится, даже при ошибках печати. За исключением момента включения принтера и тех редких случаев, когда у коммутатора сносит башку, и он перерождается в хаб - только тогда принтерный МАС попадает в ARP на третьи рабстанции.

[Олег]

Akina, openWrt - p910nd , вы назвали его Raw и тоже самое я имел в виду под jetDirect по сути тоже самое только как плата или отдельный принтсервер от хьюлета.

[Akina]

Олег, вопрос терминологии, наверное... я лично воспринимаю JetDirect только и исключительно как технологию (и в первую голову как аппаратную интерфейсную плату либо принт-сервер) от HP. И да, RawPrint - это основной (но не единственный) из протоколов сетевой печати, который использовался данными устройствами.

Answer 5

[kalapanga]

Не могу не предложить решать проблему организационными мерами.
Я считаю, что в ваших условиях, когда пользователям дозволено всё, другого решения нет.

Answer 6

[pindschik]

1) Правильно - через политики безопасности в Active Directory.
2) Неправильно:
- Идите в админку принтера и отключайте всё, что касается PnP, чтоб они не светились в сети и не подцеплялись "автоматом". Оставляете только LPD протокол и настраиваете руками на него компы. Разумеется все IP принтеров - статика.
- Второй путь - меняете IP принтеров вручную, на другую подсеть. Любой комп в сети - делаете "сервером печати", назначате ему статикой 2 IP: первый обычный, второй из подсети принтеров. Дальше стандартно их подцепляете и расшариваете пользователям, назначив права.

Правда вы упоминаете не принтеры а МФУ... А вот про сканирование надо подумать отдельно.

Answer 7

[Sergei]

1. В большинстве принтер-решений есть встроенный firewall - в "белый" список добавляем только адрес нужного пользовательского компа.
   
   
2. Или, во встроенный firewall ОС пишем, что обращение с компа на порт, к примеру, 9100 (HP JetDirect), разрешено только на такой адрес (адрес нужного вам принтера).
   
   
3. Или, сетевой принтер превращаем в локальный, через USB