sicurezza della printingnte Windows 2008 R2 TS – non può prendere il controllo

Ho un server Windows 2008 R2 con ruolo del server Terminal installato. Vedo un problema con un utente comune che è membro del gruppo di operatori di printingnti locali sul server.

Se l'utente apre una window cmd usando 'eseguire come amministratore', possono eseguire printmanager.msc senza wherer nuovamente inserire la propria password. In printmanager possono cambiare la properties; delle printingnti redirect (easy print) senza problemi.

Se, dalla stessa window cmd, utilizzano il subinacl per cercare di modificare l'onewership della coda per get accesso negato:

>subinacl.exe /printer "_#MyPrinter (2 redirected)" /setowner="MyDom\MyUsr" Elapsed Time: 00 00:00:00 Done: 1, Modified 0, Failed 1, Syntax errors 0 Last Done : _#MyPrinter (2 redirected) Last Failed: _#MyPrinter (2 redirected) - OpenPrinter Error : 5 Access denied 

così, lo stesso context, la stessa azione, ma uno funziona e uno non lo fa. Qualche idea per questo comportmento strano?

Sto utilizzando il subinacl x86 su un server x64 poiché non riesco a trovare qualcosa di più aggiornato. Ho provato con i icacls e gli altri ma non ho potuto farli fare qualcosa con le printingnti.

EDIT: aggiunto dopo commenti di Greg per quanto riguarda il setacl di seguito

Se accedo al server TS come Testusr e apri gli strumenti di amministrazione> Admin printingnte (come amministratore) e digita il mio dominio \ testusr e la password del testusr, posso modificare la properties; della coda di printing e impostare testusr come proprietario.

Tuttavia, se apro cmd come amministratore e, ancora una volta, digitare il mio dominio \ testusr e la password degli utenti quando provo a cambiare la properties; della mia printingnte redirect ho le seguenti informazioni:

 C:\>setacl -on "Bullzip PDF Printer (12 redireccionado)" -ot prn -actn setowner -ownr n:mydom\testusr WARNING: Privilege 'Back up files and directories' could not be enabled. SetACL's powers are restricted. WARNING: Privilege 'Restore files and directories' could not be enabled. SetACL's powers are restricted. INFORMATION: Processing ACL of: <Bullzip PDF Printer (12 redireccionado)> ERROR: Enabling the privilege SeTakeOwnershipPrivilege failed with: No todos los privilegios o grupos a los que se hace referencia son asignados al llamador. [meaning not all referenced privs or groups are assigned to the caller] SetACL finished with error(s): SetACL error message: A privilege could not be enabled 

forse sto ottenendo qualcosa di sbagliato ma se lo strumento costruito in Windows può farlo con l'appartenenza solo al gruppo di operatori di printing allora setacl dovrebbe essere in grado anche, no?

Tuttavia setacl sembra dipendere da altri privilegi, che in realtà non sono necessari per farlo.

2 Solutions collect form web for “sicurezza della printingnte Windows 2008 R2 TS – non può prendere il controllo”

Forse è ansible impostare la protezione con lo strumento setprinter (setprinter – esempi 3). SetPrinter è per il 2003 ma funziona anche per il 2008 R2.

Windows normalmente non gli utenti possono modificare la properties; di alcun object su qualsiasi altra cosa tranne gli amministratori (o se stessi, se hanno l'authorization di possedere l'object sull'object), a less che non siano amministratori o che dispongano di diritti speciali di Windows (che non dovresti conferire ).

Vorrei speculare che la versione x86 di sette anni di subinacl.exe non funziona correttamente con il token di sicurezza nel process elevato.

Un paio di suggerimenti:

Provare a utilizzare la versione aggiornata di subinacl, 5.2.3790.1180, disponibile in:

http://www.microsoft.com/downloads/en/details.aspx?FamilyID=e8ba3e56-d8fe-4a91-93cf-ed6985e3927b

Provate ad utilizzare l'utilità SetAcl.exe gratuita. Questo è il lavandino di cucina degli svizzeri degli strumenti di gestione delle autorizzazioni e include una build di x64. Questo è un progetto attivo e include molte funzionalità prive di utilità Microsoft.

http://helgeklein.com/setacl/

Documentazione:

http://helgeklein.com/setacl/documentation/command-line-version-setacl-exe/
http://helgeklein.com/setacl/examples/managing-printer-service-and-share-permissions-with-setacl-exe/

Esempio di utilizzo:

 setacl -on "Printer Name" -ot prn -actn setowner -ownr n:domainNetbiosName\userName 
Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.