Здравствуйте.

Имеется сетевой принтер, в настройках которого указан его IP-адрес. Необходимо оставить доступ к этому принтеру только выбранным пользователям домена.
На данный момент, зная IP-адрес, к принтеру может подключиться любой пользователь. Идея в том, чтобы в AD запретить любое подключение по данному IP всем пользователям домена, кроме выбранных.

Подскажите, можно ли такое сделать и как?

к принтеру может подключиться любой пользователь
Если это действительно пользователь, не имеющий административных привилегий на рабочей станции, то он всё равно не сможет печатать, т.к. для установки драйвера требуются административные привилегии.
А если он имеет административные привилегии, то смысл в AD?

Кроме того, у принтеров уровня предприятия обычно есть списки контроля доступа (ACL), позволяющие указать адреса IPv4 в сети, имеющие доступ к устройству.
http://rgho.st/8jlcNWmLY/thumb.png (http://rgho.st/8jlcNWmLY.view)

Через AD:

Создать политику и прилинковать её к OU с юзерами.
В политике настроить правила встроенного фаерволла о запрете любого общения с нужным IP.
Проверить.
Исправить и доработать, если с первого не заработало.

Через принтер:

Если в принтере есть функция запрета по IP, то запретить, если черный список или разрешить нужные, если белый список.

Через правильно:

Принтер выделить в отдельный VLAN.
На сервере поднять роль принт-сервера.
Дать доступ в принтерный VLAN принт-серверу.
Наслаждаться.


В случае с AD или Принтер, можно подключиться к принтеру с не доменного ПК, просто задав правильный IP.
Если используется DHCP, то через принтер - не вариант.

В случае через правильно, только после проставы сисадмину. :)

позволяющие указать адреса IPv4 »
Возможно так сделать можно, но IP присваиваются по DHCP. Ничего им не помешает в какой-то момент поменяться. Вот если б можно было имена компьютеров там прописать...

Если это действительно пользователь, не имеющий административных привилегий на рабочей станции, то он всё равно не сможет печатать, т.к. для установки драйвера требуются административные привилегии »
Действительно пользователи, административных прав нету, но драйвера ставят (подходят те, что уже имеются в составе Windows - принтер Konica Minolta).

paranoya, спасибо. Попробую.

kirillius, В случае с ГП на фаерволле у меня косяк в тексте выше - настройки фаерволла делаются в разделе "Компьютер" и линковка к OU с юзерами ничего не даст. Нужно её линковать к OU с компьютерами и выделять нужные компьютеры либо в отдельное OU, либо в фильтрации ГП указать группу безопасности с доверенными компьютерами. В этом случае, если юзеры не перемещаются между компьютерами, ГП будет отрабатывать нормально.
Ели же юзеры могут работать с разных мест, то нужно будет в фильтрацию вместо группы доверенных компьютеров внести группу доверенных юзеров, а в политике установить режим "замыкания на себя". После чего проверить как она работает на нужных и не нужных юзерах. так как сдаётся мне, что придётся делать ещё одну ГП, которая будет правило запрета отключать для нужных юзеров.