安全管理需一步步防范,如何巧用组策略让网络打印更高效?本文给出了详细的描述。
在局域网中使用打印机,不但可以有效地节省打印成本,而且也能大大地提高打印效率。不过由于网络的开放性,导致网络打印机的管理并不象本地打印机的管理那样方便。为此,许多打印用户细心总结,发现了不少可以高效管理网络打印机的秘诀,笔者自然也不例外。这不,笔者下面就从系统组策略设置出发,来向各位推荐几则高效管理网络打印机的效率,希望能对各位朋友有所用处!
谨防网络打印机被“偷装”
在缺省状态下,任意一位用户都能通过“添加打印机”向导窗口中的“浏览打印机”功能,轻松寻找到局域网中的所有网络打印机;要是哪台打印机没有采取安全防范措施的话,任意用户都能在悄无声息中“偷偷地”把这些网络打印机安装到本地,而打印机的“主人”可能对此毫不知情。如此一来,网络打印机就面临着被非法使用的危险。为了避免这样的危险,我们有没有办法让普通用户无法通过浏览网络的方法,轻松地查找出网络中所有已经安装的打印机呢?答案是肯定的,我们可以按照下面的步骤来操作:
依次单击“开始”/“运行”命令,打开系统的运行对话框,在其中输入组策略编辑命令“gpedit.msc”,单击“确定”按钮后,打开系统的组策略编辑界面;
在该界面的左侧区域,逐一双击“用户配置”/“管理模板”/“控制面板”/“打印机”文件夹,在对应“打印机”文件夹右边的窗口区域中,选中“浏览网络以便查找打印机”选项,并用鼠标右键单击之,从弹出的右键菜单中执行“属性”命令,打开如图1所示的属性设置窗口;选中该窗口中的“已禁用”选项,再单击“确定”按钮,这样的话“添加打印机”向导窗口中就不会出现“浏览打印机”选项了,那么其他普通用户就无法通过网络轻易找到需要安装的目标网络打印机了,除非他知道目标打印机的详细路径信息才能安装。
图1
小提示:如果我们不对“浏览网络以便查找打印机”选项进行任何配置,那么系统就会自动启用网络浏览功能,允许用户通过浏览网络的方式,寻找局域网中的任意一台打印机。当然,即使我们禁止了“浏览网络以便查找打印机”选项,但用户通过其他方式仍然可以搜索寻找到局域网中的打印机,并能对不设权限的打印机进行共享安装。
避免网络打印机被“偷删”
一般来说,任何用户都可以通过本地计算机的控制面板窗口,来随心所欲地删除安装在本地系统的打印机;但是这么一来,就会给打印机的使用安全带来了威胁,因为要是计算机的主人暂时离开计算机一会,而恰好其他“破坏分子”趁机进入到本地系统的控制面板窗口中,将安装在本地的网络打印机“偷偷”删除掉的话,就会造成该计算机的主人以后无法使用网络打印机进行共享打印。有鉴于此,我们可以通过下面的设置步骤,来避免网络打印机被其他用户通过控制面板窗口来“偷偷”删除:
依次单击“开始”/“运行”命令,打开系统的运行对话框,在其中输入组策略编辑命令“gpedit.msc”,单击“确定”按钮后,打开系统的组策略编辑界面;
在该界面的左侧区域,逐一双击“用户配置”/“管理模板”/“控制面板”/“打印机”文件夹,在对应“打印机”文件夹右边的窗口区域中,选中“阻止删除打印机”选项,并用鼠标右键单击之,从弹出的右键菜单中执行“属性”命令,在随后出现的属性设置窗口中将“已启用”选项选中,再单击一下“确定”按钮,这样的话当其他非法分子打开本地系统的控制面板窗口,尝试偷偷删除安装在本地计算机中的网络打印机时,系统就会自动弹出如图2所示的提示界面,警告该非法分子没有权限随意删除网络打印机,如此一来本地的网络打印机就能被有效保护起来了。
图2
小提示:即使我们启用了“阻止删除打印机”选项,但如果非法分子通过其他方式来删除安装在本地的网络打印机时,该选项将会显得无能为力!
“强行”阻止使用网络打印机
在安装有Windows 2003或者Windows XP的计算机中,我们可以启用内置的防火墙来保护本地系统的安全,而且我们要想使用局域网中的网络打印机时,可以在如图3所示的的防火墙设置页面中,将“文件和打印机共享”选项选中,这样就能保证系统在防火墙的安全保护下使用网络打印机了。但有时为了能达到彻底阻止网络打印的目的,我们不希望普通用户随意设置Windows内置防火墙的“文件和打印机共享”功能,就能轻松越过防火墙限制来实现网络打印操作;要做到这一点,可以按照如下步骤来操作:
图3
依次单击“开始”/“运行”命令,打开系统的运行对话框,在其中输入组策略编辑命令“gpedit.msc”,单击“确定”按钮后,打开系统的组策略编辑界面;
在该界面的左侧区域,逐一双击“计算机配置”/“管理模板”/“网络”/“网络连接”/“标准配置文件”文件夹,在对应“标准配置文件”右边的窗口区域中,选中“Windows防火墙:允许文件和打印机共享例外”选项,并用鼠标右键单击之,从弹出的右键菜单中执行“属性”命令,在随后出现的属性设置窗口中将“已禁用”选项选中,再单击一下“确定”按钮,这样的话其他用户即使想启用“文件和打印机共享”功能,但他们再次打开图3所示的的防火墙设置页面时,却发现“文件和打印机共享”已经变得不可选了,如此一来我们就能真正实现“强行”阻止使用网络打印机的目的了。
阻止远程“遥控”网络打印机
大家知道,在权限许可的条件下,并通过合适的设置,用户就能在任何一台可上网的计算机中通过IE浏览器窗口,对指定的网络打印机进行“遥控”管理,例如查看目标打印机的技术参数、工作状态,发送打印任务给打印机,或者远程安装网络打印机等。尽管这种远程遥控的方式可以大大提高网络打印机的管理效率,但也给网络打印机的安全使用带来了威胁;那我们有没有办法阻止普通用户,通过IE浏览器窗口就能进行管理打印机或者直接进行打印操作呢?答案是肯定的,大家可以参照下面的步骤来阻止远程“遥控”网络打印机:
依次单击“开始”/“运行”命令,打开系统的运行对话框,在其中输入组策略编辑命令“gpedit.msc”,单击“确定”按钮后,打开系统的组策略编辑界面;
图4
在该界面的左侧区域,逐一双击“计算机配置”/“管理模板”/“打印机”文件夹,在对应“打印机”文件夹右边的窗口区域中,选中“基于WEB的打印”选项,并用鼠标右键单击之,从弹出的右键菜单中执行“属性”命令,在随后出现的图4窗口中将“已禁用”选项选中,再单击一下“确定”按钮,如此一来任意一位用户都无法通过IE浏览器窗口,来远程“遥控”网络打印机了。
谨防随意安装网络打印机
要想安装网络打印机,大家既可以通过控制面板窗口中的“添加打印机”向导来完成,也可以通过IE浏览器窗口远程安装方式来完成。因此,要想防止普通用户在本地计算机中随意安装网络打印机,我们也必须通过下面的两种方法来实现:
如果我们想阻止普通用户通过控制面板窗口中的“添加打印机”向导,来安装网络打印机的话,可以先依次单击“开始”/“运行”命令,打开系统的运行对话框,在其中输入组策略编辑命令“gpedit.msc”,单击“确定”按钮后,打开系统的组策略编辑界面;接着在该界面的左侧区域,逐一双击“用户配置”/“管理模板”/“控制面板”/“打印机”文件夹,在对应“打印机”文件夹右边的窗口区域中,选中“阻止添加打印机”选项,并用鼠标右键单击之,从弹出的右键菜单中执行“属性”命令,在弹出的图5窗口中将“已启用”选项选中,再单击一下“确定”按钮,这样的话当其他非法分子打开本地系统的控制面板窗口,尝试通过“添加打印机”向导来安装网络打印机时,系统就会自动弹出无权安装的警告提示。
图5
如果我们想阻止普通用户通过IE浏览器窗口中的“添加打印机”功能,来远程安装网络打印机的话,可以先按上面的方法打开系统的组策略编辑窗口,然后逐一双击“用户配置”/“管理模板”/“控制面板”/“打印机”文件夹,在对应“打印机”文件夹右边的窗口区域中,选中“浏览共用网站以查找打印机”选项,并用鼠标右键单击之,从弹出的右键菜单中执行“属性”命令,在随后出现的界面中将“已启用”选项选中,再单击一下“确定”按钮,这样普通用户在通过WEB页面遥控网络打印机时,就不会从该页面中找到“添加打印机”选项了,如此一来就能实现阻止安装网络打印机的目的了。
巧用组策略让网络打印更高效,也让网络变的更加安全。更多有关组策略的知识有待于读者去学习和巩固。
【编辑推荐】