Я думаю проблемка плёвая, но для верности решил спросить. Есть сети объединенные посредством маршрутизатора на базе win2003, и есть пользователи, которые умудряются печатать на сетевые принтера не своей сети. Решение вроде как простое - закрыть трафик по порту 9100 (принтерный) между сетями. Так вот вопрос как это сделать? В свойствах интерфейсов во вкладке ip-маршрутизации есть что то типа фильтр входа, фильтр выхода, это оно, тут копать?

AD есть?
Сам не особо разбираюсь, но разве ПКМ > Безопасность, выбрать пользователей и выставить права не работает?

нет, принтер сетевой, т.е. по сути к ниму может получить доступ любая железка включенная в сеть, ад тут не поможет.

ад тут не поможет »
Вы можете раздать права в свойствах принтера.
средствам маршрутизатора на базе win2003 »
маршрутизация штатными средствами или нет?
если штатными, то вам сюда (http://forum.oszone.net/thread-137467.html).

Всё таки я был прав.

вообщем нужно разобораться с терминалогией принтеров. кто локальный, а кто сетевой.
чем отличается локальный на порту TCP/IP от сетевого подключённого через другой комп, на котором он подключён локально по TCP/IP

локальный на порту TCP/IP »
Локальный принтер может быть подключен через физические порты компьютера( COM, LPT, USB и т. д.). Подключенный через TCP/IP - и есть сетевой, если учесть, что TCP/IP - протокол связи, а не физическое устройство.

Подключенный через TCP/IP - и есть сетевой »
это то понятно, но почему когда я подключаю принтер, я выбираю - локальный принтер -> порт TCP/IP ?
т.е. дело не в технике, а в словах, почему так назвали ? почему не назвать сетевой -> IP такой-то?

ребят,то что принтером можно управляеть в свойствах и так понятно, этоне решает проблемы. Я пришел в сеть, зацепил ноут, получил по DHCP ip, установил сетевой принтер из другой сети (маршрутизация же работает независимо от домена) и сиди печатай. вот это надо запретить. да да, сетевой я имею в виду именно подключенный физически к свитчу, а не тандем принтер-компьютер-сеть.

и сиди печатай »
а если разрешить печать только Domain Users ?
сетевой я имею в виду именно подключенный физически к свитчу »
как правило такие принтеры подключаются локально на принт-сервере, расшариваются, и используются с теми правами, которые ему назначил Администратор принт-сервера.

и сиди печатай. вот это надо запретить »
В безопасности разрешить печать только OU из нужной подсети (если его нет, создать).

ребята, вы в каком веке, какие принтсервера? уже давным давно сетевая карта встроена в принтер, ограничить печать внутренним принтсервером невозможно в связи отсутствия функционала... ну на примере HP LJ3055, да и почти на всех современных мфу с сетью, кроме дорогих для больших групп, невозможно. Забудьте про компьютеры вообще, управление принтером происходит напрямую через сетевой порт, ни о каких доменных безопасностях и пользователях речи нет. Вопрос повторю, как на стандартном виндовом маршрутизаторе (не НАТ, а просто включенная маршрутизация средством rras и настроенными стат.маршрутами) выключить шлюзование отдельного порта?

уже давным давно сетевая карта встроена в принтер »
ну да. без неё он бы не получил бы IP настройки, и не был бы доступен по сети.
ограничить печать внутренним принтсервером невозможно в связи отсутствия функционала...
доменных безопасностях и пользователях речи нет »
можете написать на support@microsoft.com, почему AD не имеет таких инструментов?

Хотите закрывать RRAS-ом порт принтера - желаю удачи.

Если уж AD не может управлять печатью в силу того, что управление происходит через сетевой порт Ethernet, то наверняка RRAS закроет порт в сети любого принтера...

P.S.: с помощью GPO можно управлять брендмауером компьютеров в домене...

так я не хочу закрывать порт принтера, это ессно невозможно, я повторяюсь, хочу закрыть этот порт на МАРШРУТИЗАТОРЕ, чтобы ограничить печать из других подсетей.

Donner, 4 пост внимательно читали ?
там нет ответа, но есть примеры как закрыть порт.

да да, именно то что в 4ом посте мне немного и непонятно, а точнее что есть фильтр входа, а что выхода.


К примеру на маршрутизаторе 2 интерфейса А и B
интерфейс A в сети 192.168.0.0/24, а интерфейс B 192.168.1.0/24

мой компьютер в одной сети с A, скажем в сети В есть принтер 192,168,1,156. Если на интерфейсе A в настройках указать фильтр выхода на запрет адреса назначения принтера и порт 9100, всё равно сеть A может печатать. Если же указывать не "выхода", а "входа" то принтер отваливается.... вот эта система мне не понятна.

"... если используется сетевой порт (например, TCP/IP RAW или LPR), то принтер все равно является локальным. "Сетевой" принтер - это на самом деле подключение к серверу печати на другом компьютере, такое подключение сохраняется в профиле пользователя и видно только создавшему его пользователю."
*osr_ MVP http://social.technet.microsoft.com/Forums/ru-RU/xpru/thread/197bfc9c-5794-428d-903f-91a6dc25278d/

Отличие локального принтера от сетевого в наличии общего доступа (Из Степанека) а не типе подключения.
Мелочь, но знать не помешает.