Windows NTのセキュリティを使って、ネットワークプリンタやスプールファイルディレクトリへのユーザーアクセスを制限できます。Macintoshクライアントからの印刷ジョブを管理したり、あるいは印刷ジョブをほかのプリントサーバーに転送することで、追加のセキュリティを提供できます。
プリンタごとにセキュリティ属性を指定するには、[プリンタのプロパティ]ダイアログボックスの[セキュリティ]タブを使います。セキュリティ属性を確立する最も効果的な方法は、異なるユーザーグループにアクセス権のレベルを割り当てることです。たとえば、部内の管理者権限を持たないユーザー全員に、「印刷」レベルのアクセス権を与え、マネージャ全員に「フルコントロール」のアクセス権を与えます。
プリンタセキュリティにおけるアクセス権は、次の表のようになります。
インストール時にデフォルトで割り当てられるプリンタアクセス権は、Windows NT ServerとWindows NT Workstationコンピュータで異なります。Windows NT Serverコンピュータでは、次のプリンタアクセス権がデフォルトで割り当てられます。
・
Macintoshネットワークは、ファイルセキュリティをサポートしていますが、プリントデバイスのセキュリティサポートは提供していません。AppleTalkプロトコルには、クライアントのユーザー名やパスワードをチェックする機能はありません。したがって、Macintoshクライアントは、ネットワーク上ではそれ自体を認識できないので、Windows NTプリントサーバーも、Macintoshクライアントにユーザーレベルのセキュリティを強制できません。Macintoshクライアントがプリントデバイスやプリントサーバーに物理的にジョブを送れるならば、クライアントは暗黙のうちにそのアクセス権を持つことになります。
しかし、1グループとして全Macintoshユーザーに、1つのプリンタアクセス権を設定することはできます。この場合、Macintoshクライアントは、ユーザーアカウントを使ってログオンし、MacPrintサービスを開始しなければなりません。デフォルトでは、システムアカウントとしてログオンします。システムアカウントは、すべてのローカルプリントデバイスに対して「印刷」のアクセス権を持っています。そのため、どのMacintoshクライアントでも、Windows NTコンピュータのローカルプリンタであれば、どれにでもジョブを送れます。Macintoshクライアントのアクセス権を限定するには、新しいユーザーアカウントを作成し、対象となるグループに持たせるプリンタアクセス権をそのユーザーアカウントに設定します。それから、MacintoshクライアントのMacPrintサービスを、このアカウントを使ってログオンするように設定します。
注 1台のコンピュータのシステムアカウントは、ほかのコンピュータの資源にアクセスするアクセス権は持っていません。Macintoshクライアントがシステムユーザーとしてログオンして、MacPrintサービスを開始すると、そのクライアントは、別のプリントサーバーにジョブを転送するプリンタにはジョブを送れません。これを解決するには、MacintoshクライアントのMacPrintサービスを、別のユーザーとしてログオンするように構成します。別のユーザーとは、印刷ジョブが転送されるすべてのプリントサーバーに対して印刷へのアクセス権を持つユーザーです。
スプールファイルセキュリティをインプリメントするには、デフォルトのスプールファイルディレクトリを、ユーザーごとに書き込みアクセス権を制限するNTFSパーティション上のディレクトリに変更します。
印刷ジョブをローカルで印刷する場合、ローカルプリントプロバイダは処理中にジョブをディスクにスプールします。デフォルトでは、Everyoneグループは、デフォルトのスプールファイルディレクトリに対して「変更」のアクセス権を持っています。これで、すべてのユーザーは、印刷ジョブをデフォルトのスプールファイルディレクトリに書き込むためのアクセスが許可されます。
処理中にディスクへスプールできなかった印刷ジョブは、印刷されません。スプールディレクトリの場所を変更する場合は、印刷する必要があるユーザー全員が、その新しいスプールファイルディレクトリに対する「変更」のアクセス権を持たなければなりません。
「ローカルプリントプロバイダ」で述べたように、スプールファイル(SPL)とシャドウファイル(SHD)は、次に示すデフォルトのスプールファイルディレクトリに書き込まれます。
WINNT\SYSTEM32\SPOOL\Printers
デフォルトのスプールファイルディレクトリを変更する方法については、前述の「ローカルプリントプロバイダ」を参照してください。
・
注 新しいスプールファイルディレクトリを、作成しなければなりません。ルート(たとえばC:\やD:\)に直接スプールしようとすると、スプールファイルはデフォルトのスプールファイルディレクトリに戻ります。
レジストリの変更は、スプーラサービスを終了して再開すると、有効になります。
ほとんどの印刷に関連したレジストリ設定は、次のサブキーの中にあります。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print
管理者はレジストリエディタを使って、これらのサブキーに読み取り専用アクセス権を割り当てることができます。読み取り専用アクセス権を与えられたユーザーは、プリンタの追加や構成はできません。読み取り専用アクセス権では、これらのサブキーの変更が許可されないからです。
Windowsベースのアプリケーションは、レジストリ中の次のサブキーも使って、利用できるプリンタについての情報を検索します。
HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\
CurrentVersion\PrinterPorts
このサブキーに対する読み取り専用アクセス権を与えられたユーザーは、Windowsベースのアプリケーションが認識するような新しいプリンタは追加できません。
印刷ジョブを異なるWindows NTプリントサーバーに転送するために、Windows NTプリントサーバーはヌルセッションを使います。デフォルトでは、ヌルセッションは無効になっているので、ジョブの転送はできません。ヌルセッションによるジョブの転送をできるようにするには、次のレジストリサブキーを手動で変更します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
LanmanServer\Parameters
このサブキーには、NullSessionSharesという名前の値があるので、プリンタの共有名を含んだ新しい行を追加します。この変更は、スプーラサービスを停止して再開すると、有効になります。