bonjour,
je recherche le moyen de n'autoriser l'impression sur une imprimante
paratagée que depuis certaines machines (et pas seulement pour certains
utilisateurs).
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Jacques Barathon [MS]
"fabrice" wrote in message news:
bonjour, je recherche le moyen de n'autoriser l'impression sur une imprimante paratagée que depuis certaines machines (et pas seulement pour certains utilisateurs).
si quelqu'un a une méthode....
Une méthode un peu tordue:
- créer un groupe d'utilisateurs dans ton domaine - donner les droits d'impression à ce groupe, retirer les droits à tout le monde - ajouter une section dans le script d'ouverture session (ou créer un script s'il n'y en avait pas jusqu'à présent) qui fera les choses suivantes:
* vérifier le nom de la machine (%computername%) * si le nom fait partie d'une liste donnée, ajouter l'utilisateur au groupe ci-dessus
- créer un script de fermeture de session qui retirera l'utilisateur du groupe
La partie ouverture de session ressemblera à qq chose comme:
findstr /i %computername% serveurnetlogonliste-acces.txt if not errorlevel 1 net localgroup "Utilisateurs Imprimante XX" %userdomain%%username% /add
Avec un fichier "liste-access.txt" qui contiendra la liste des ordinateurs autorisés, chaque nom d'ordinateur sur une ligne.
La partie fermeture de session pourra contenir cette ligne:
net localgroup "Utilisateurs Imprimante XX" %userdomain%%username% /delete
Attention, je n'ai pas testé! Attention (2), il faut que l'utilisateur ait le droit de s'ajouter/retirer lui-même du groupe en question, ce qui peut poser un risque de sécurité. C'est vraiment du bricolage!
Jacques
"fabrice" <fabrice@discussions.microsoft.com> wrote in message
news:61C06D6A-898B-4304-BC8C-510F6B1E7B4B@microsoft.com...
bonjour,
je recherche le moyen de n'autoriser l'impression sur une imprimante
paratagée que depuis certaines machines (et pas seulement pour certains
utilisateurs).
si quelqu'un a une méthode....
Une méthode un peu tordue:
- créer un groupe d'utilisateurs dans ton domaine
- donner les droits d'impression à ce groupe, retirer les droits à tout le
monde
- ajouter une section dans le script d'ouverture session (ou créer un script
s'il n'y en avait pas jusqu'à présent) qui fera les choses suivantes:
* vérifier le nom de la machine (%computername%)
* si le nom fait partie d'une liste donnée, ajouter l'utilisateur au
groupe ci-dessus
- créer un script de fermeture de session qui retirera l'utilisateur du
groupe
La partie ouverture de session ressemblera à qq chose comme:
findstr /i %computername% \serveurnetlogonliste-acces.txt
if not errorlevel 1 net localgroup "Utilisateurs Imprimante XX"
%userdomain%%username% /add
Avec un fichier "liste-access.txt" qui contiendra la liste des ordinateurs
autorisés, chaque nom d'ordinateur sur une ligne.
La partie fermeture de session pourra contenir cette ligne:
net localgroup "Utilisateurs Imprimante XX" %userdomain%%username%
/delete
Attention, je n'ai pas testé!
Attention (2), il faut que l'utilisateur ait le droit de s'ajouter/retirer
lui-même du groupe en question, ce qui peut poser un risque de sécurité.
C'est vraiment du bricolage!
bonjour, je recherche le moyen de n'autoriser l'impression sur une imprimante paratagée que depuis certaines machines (et pas seulement pour certains utilisateurs).
si quelqu'un a une méthode....
Une méthode un peu tordue:
- créer un groupe d'utilisateurs dans ton domaine - donner les droits d'impression à ce groupe, retirer les droits à tout le monde - ajouter une section dans le script d'ouverture session (ou créer un script s'il n'y en avait pas jusqu'à présent) qui fera les choses suivantes:
* vérifier le nom de la machine (%computername%) * si le nom fait partie d'une liste donnée, ajouter l'utilisateur au groupe ci-dessus
- créer un script de fermeture de session qui retirera l'utilisateur du groupe
La partie ouverture de session ressemblera à qq chose comme:
findstr /i %computername% serveurnetlogonliste-acces.txt if not errorlevel 1 net localgroup "Utilisateurs Imprimante XX" %userdomain%%username% /add
Avec un fichier "liste-access.txt" qui contiendra la liste des ordinateurs autorisés, chaque nom d'ordinateur sur une ligne.
La partie fermeture de session pourra contenir cette ligne:
net localgroup "Utilisateurs Imprimante XX" %userdomain%%username% /delete
Attention, je n'ai pas testé! Attention (2), il faut que l'utilisateur ait le droit de s'ajouter/retirer lui-même du groupe en question, ce qui peut poser un risque de sécurité. C'est vraiment du bricolage!
Jacques
fabricel
merci pour cette proposition la seule chose qui me déplait c'est qu'il faut changer l'identité exécution du script pour pouvoir modifier le contenu du groupe, ce qui n'est pas recommandé... "Jacques Barathon [MS]" a écrit dans le message de news: OMBhAm%
"fabrice" wrote in message news:
bonjour, je recherche le moyen de n'autoriser l'impression sur une imprimante paratagée que depuis certaines machines (et pas seulement pour certains utilisateurs).
si quelqu'un a une méthode....
Une méthode un peu tordue:
- créer un groupe d'utilisateurs dans ton domaine - donner les droits d'impression à ce groupe, retirer les droits à tout le monde - ajouter une section dans le script d'ouverture session (ou créer un script s'il n'y en avait pas jusqu'à présent) qui fera les choses suivantes:
* vérifier le nom de la machine (%computername%) * si le nom fait partie d'une liste donnée, ajouter l'utilisateur au groupe ci-dessus
- créer un script de fermeture de session qui retirera l'utilisateur du groupe
La partie ouverture de session ressemblera à qq chose comme:
findstr /i %computername% serveurnetlogonliste-acces.txt if not errorlevel 1 net localgroup "Utilisateurs Imprimante XX" %userdomain%%username% /add
Avec un fichier "liste-access.txt" qui contiendra la liste des ordinateurs autorisés, chaque nom d'ordinateur sur une ligne.
La partie fermeture de session pourra contenir cette ligne:
net localgroup "Utilisateurs Imprimante XX" %userdomain%%username% /delete
Attention, je n'ai pas testé! Attention (2), il faut que l'utilisateur ait le droit de s'ajouter/retirer lui-même du groupe en question, ce qui peut poser un risque de sécurité. C'est vraiment du bricolage!
Jacques
merci pour cette proposition
la seule chose qui me déplait c'est qu'il faut changer l'identité exécution
du script pour pouvoir modifier le contenu du groupe, ce qui n'est pas
recommandé...
"Jacques Barathon [MS]" <jbaratho@online.microsoft.com> a écrit dans le
message de news: OMBhAm%23rFHA.3596@TK2MSFTNGP15.phx.gbl...
"fabrice" <fabrice@discussions.microsoft.com> wrote in message
news:61C06D6A-898B-4304-BC8C-510F6B1E7B4B@microsoft.com...
bonjour,
je recherche le moyen de n'autoriser l'impression sur une imprimante
paratagée que depuis certaines machines (et pas seulement pour certains
utilisateurs).
si quelqu'un a une méthode....
Une méthode un peu tordue:
- créer un groupe d'utilisateurs dans ton domaine
- donner les droits d'impression à ce groupe, retirer les droits à tout le
monde
- ajouter une section dans le script d'ouverture session (ou créer un
script s'il n'y en avait pas jusqu'à présent) qui fera les choses
suivantes:
* vérifier le nom de la machine (%computername%)
* si le nom fait partie d'une liste donnée, ajouter l'utilisateur au
groupe ci-dessus
- créer un script de fermeture de session qui retirera l'utilisateur du
groupe
La partie ouverture de session ressemblera à qq chose comme:
findstr /i %computername% \serveurnetlogonliste-acces.txt
if not errorlevel 1 net localgroup "Utilisateurs Imprimante XX"
%userdomain%%username% /add
Avec un fichier "liste-access.txt" qui contiendra la liste des ordinateurs
autorisés, chaque nom d'ordinateur sur une ligne.
La partie fermeture de session pourra contenir cette ligne:
net localgroup "Utilisateurs Imprimante XX" %userdomain%%username%
/delete
Attention, je n'ai pas testé!
Attention (2), il faut que l'utilisateur ait le droit de s'ajouter/retirer
lui-même du groupe en question, ce qui peut poser un risque de sécurité.
C'est vraiment du bricolage!
merci pour cette proposition la seule chose qui me déplait c'est qu'il faut changer l'identité exécution du script pour pouvoir modifier le contenu du groupe, ce qui n'est pas recommandé... "Jacques Barathon [MS]" a écrit dans le message de news: OMBhAm%
"fabrice" wrote in message news:
bonjour, je recherche le moyen de n'autoriser l'impression sur une imprimante paratagée que depuis certaines machines (et pas seulement pour certains utilisateurs).
si quelqu'un a une méthode....
Une méthode un peu tordue:
- créer un groupe d'utilisateurs dans ton domaine - donner les droits d'impression à ce groupe, retirer les droits à tout le monde - ajouter une section dans le script d'ouverture session (ou créer un script s'il n'y en avait pas jusqu'à présent) qui fera les choses suivantes:
* vérifier le nom de la machine (%computername%) * si le nom fait partie d'une liste donnée, ajouter l'utilisateur au groupe ci-dessus
- créer un script de fermeture de session qui retirera l'utilisateur du groupe
La partie ouverture de session ressemblera à qq chose comme:
findstr /i %computername% serveurnetlogonliste-acces.txt if not errorlevel 1 net localgroup "Utilisateurs Imprimante XX" %userdomain%%username% /add
Avec un fichier "liste-access.txt" qui contiendra la liste des ordinateurs autorisés, chaque nom d'ordinateur sur une ligne.
La partie fermeture de session pourra contenir cette ligne:
net localgroup "Utilisateurs Imprimante XX" %userdomain%%username% /delete
Attention, je n'ai pas testé! Attention (2), il faut que l'utilisateur ait le droit de s'ajouter/retirer lui-même du groupe en question, ce qui peut poser un risque de sécurité. C'est vraiment du bricolage!
Jacques
Jacques Barathon [MS]
"fabricel" wrote in message news:
merci pour cette proposition la seule chose qui me déplait c'est qu'il faut changer l'identité exécution du script pour pouvoir modifier le contenu du groupe, ce qui n'est pas recommandé...
En effet, le contexte de sécurité est le gros point noir de mon idée. Il y aurait des moyens de générer une "transaction" au login qui serait traitée par un service avec les droits adéquats, ce qui n'empêcherait pas n'importe qui de générer la même transaction mais qui au moins permettrait de garder l'interdiction pour un utilisateur de s'ajouter directement au groupe. Mais là ça devient un peu complexe à mettre en place pour un simple besoin d'impression.
Bon, sinon il reste peut-être une solution en passant par la mise en place d'une OU dédiée, il faudrait fouiller...
Jacques
"fabricel" <nospamfabrice.prof2@tiscali.fr> wrote in message
news:OUptMiHsFHA.1028@TK2MSFTNGP10.phx.gbl...
merci pour cette proposition
la seule chose qui me déplait c'est qu'il faut changer l'identité
exécution du script pour pouvoir modifier le contenu du groupe, ce qui
n'est pas recommandé...
En effet, le contexte de sécurité est le gros point noir de mon idée. Il y
aurait des moyens de générer une "transaction" au login qui serait traitée
par un service avec les droits adéquats, ce qui n'empêcherait pas n'importe
qui de générer la même transaction mais qui au moins permettrait de garder
l'interdiction pour un utilisateur de s'ajouter directement au groupe. Mais
là ça devient un peu complexe à mettre en place pour un simple besoin
d'impression.
Bon, sinon il reste peut-être une solution en passant par la mise en place
d'une OU dédiée, il faudrait fouiller...
merci pour cette proposition la seule chose qui me déplait c'est qu'il faut changer l'identité exécution du script pour pouvoir modifier le contenu du groupe, ce qui n'est pas recommandé...
En effet, le contexte de sécurité est le gros point noir de mon idée. Il y aurait des moyens de générer une "transaction" au login qui serait traitée par un service avec les droits adéquats, ce qui n'empêcherait pas n'importe qui de générer la même transaction mais qui au moins permettrait de garder l'interdiction pour un utilisateur de s'ajouter directement au groupe. Mais là ça devient un peu complexe à mettre en place pour un simple besoin d'impression.
Bon, sinon il reste peut-être une solution en passant par la mise en place d'une OU dédiée, il faudrait fouiller...
