Khai thác hiệu quả máy in trong Windows Server 2003 (Phần 2)

Trong phần 1 của bài này, chúng tôi đã giới thiệu cho các bạn cách cấu hình các máy in đơn lẻ để chuỗi máy in được quản lý trên một máy chủ đang chạy Windows Server 2003. Trong phần tiếp theo này, chúng tôi sẽ nói đến trường hợp chuỗi in đã được chuyển đến Windows Server, và tìm hiểu việc bảo vệ các máy in của bạn.

Bắt đầu bằng việc quan sát phần có trong thuộc tính của máy in. Bạn có thể vào các thuộc tính này bằng việc điều hướng thông qua menu Start của máy chủ > Control Panel | Printers and Faxes. Khi bạn chọn menu Printers and Faxes, chuỗi in đang được quản lý bởi máy chủ sẽ hiển thị trên menu con. Kích chuột phải vào chuỗi in mà bạn muốn bảo vệ và chọn Properties.

Khi cửa sổ các thuộc tính của máy in được mở, tab General sẽ lựa chọn một cách mặc định. Không thực sự có nhiều thứ bạn muốn làm về vấn đề bảo mật trong tab này, vì vậy hãy vào tab Sharing. Như những gì bạn có thể nhìn thấy trong hình A tab Sharing cho phép chỉ định tên máy in chia sẻ. Tên chia sẻ được sử dụng như một phần của quy ước tên phổ biến Universal Naming Convention (UNC). Có một số lệnh có thể được sử dụng ở đây đối với máy in đang được sử dụng UNC. Ví dụ: nếu muốn bản đồ hóa cổng LTP1 cho máy in, bạn sử dụng lệnh dưới đây:

NET USE LPT1: \\servername\sharename

Ở lệnh trên, tên máy chủ servername sẽ biểu hiện một máy chủ đang quản lý máy in được chia sẻ, còn tên chia sẻ sharename là tên máy in được chia sẻ ở dưới.

Hình A: Tab Sharing cho phép bạn thiết lập tên chia sẻ của máy in

Nhìn thoáng qua, tab này có nội dung và hình thức rất giống với cửa sổ sử dụng để chia sẻ thư mục. Tuy nhiên nhìn kỹ ta sẽ thấy có một số điểm khác. Điểm khác biệt chủ yếu ở đầy là, trong cửa sổ chia sẻ thư mục file, bạn có thể thiết lập các cho phép ở mức chia sẻ hay cả mức NTFS. Nếu nhìn vào hình A, bạn sẽ thấy rằng, không có cơ chế nào để thiết lập các sự cho phép đó ở đây. Thay vì đó, tất cả sự cho phép được thiết lập thông qua tab Security, nội dung của tab này sẽ được chúng tôi giới thiệu sau.

Có một số thứ có thể thực hiện trong tab Sharing để có thể tăng bảo mật của máy in. Một tùy chọn cho phép không liệt kê máy in trong Active Directory. Việc không liệt danh sách máy in trong Active Directory sẽ làm cho máy in không thể nhìn thấy được bởi người khác, chính vì vậy mà người dùng vẫn có thể duyệt mạng máy in (sử dụng kiểu NetBIOS, không bằng duyệt Active Directory). Nó giảm những trường hợp nhiều người dùng vô tình nhảy vào máy in.

Nếu bạn để ý trong hình A, sẽ thấy được nút Additional Drivers. Windows được thiết kế để khi người dùng gắn máy in thông qua sự chia sẻ, các driver cần thiết sẽ được cài đặt tự động vào máy tính người dùng. Nếu ở trong tình huống này, tình huống mà bạn biết rằng ai đó cần máy in đang chạy trên một hệ điều hành riêng thì bạn có thể cài đặt các driver chỉ cho hệ điều hành đó. Đây không đúng là một giải pháp bảo mật vì một người dùng hoàn toàn có thể cài đặt một driver lên máy tính của họ bằng cách tải nó về từ Internet (cho rằng họ có sự cho phép làm điều đó). Việc không tự động trao cho người dùng một driver khi họ gắn máy in chỉ cần đơn giản bằng cách bắt người dùng phải nhảy qua các kiểm tra.

Không có thiết lập nào trên tab Sharing đạt những gì cho là các thiết lập bảo mật thực sự, chúng là những thứ đơn giản nhưng có thể cải thiện bảo mật ở một mức độ thứ yếu trong một số trường hợp, vì vậy mà chúng tôi vẫn đề cập đến.

Tab Advanced

Tab Advanced thực sự không có nhiều thiết lập bảo mật, nhưng nó có một thiết lập mà chúng tôi muốn giới thiệu cho các bạn. Nếu nhìn vào hình B thì bạn sẽ thấy tab Advanced gồm có một thiết lập cho phép kiểm soát máy in khi in hoặc không in. Nếu bạn biết không có ai trong công ty cần đến việc in ấn ngoài giờ thì có thể thiết lập máy in để nó chỉ có tác dụng in trong giờ làm việc của công ty.

Hình B: Tab Advanced gồm một thiết lập cho phép bạn điều khiển thời gian in.

Tab Security

Tab Security được thể hiện như trong hình C, cho phép bạn kiểm soát chuỗi in. Ở đây bạn có thể điều khiển được cả người dùng và nhóm người dùng giống như việc bảo mật hệ thống file. Tuy nhiên chúng ta nên sử dụng bảo mật nhóm trong trường hợp này.

Hình C: Tab Security cho phép kiểm soát người dùng hoặc nhóm

Nếu nhìn vào hình, bạn có thể thấy được 4 tùy chọn khác nhau ứng với những chức năng bảo mật khác nhau có thể thiết lập cho máy in. Cửa sổ này thực sự không nói hết được các tính năng bảo mật, chúng chỉ đưa ra các cho phép có sẵn. Nếu bạn thực sự muốn nâng cao hơn nữa tính năng bảo mật cho máy in thì hãy nhấn vào nút Advanced.

Khi nhấn vào đó, Windows sẽ hiển thị cho bạn các thuộc tính bảo mật nâng cao. Các thuộc tính này cho phép thiết lập cho phép cho người dùng và nhóm theo cách giống như màn hình hiển thị trong hình C. Tuy nhiên sự khác nhau ở đây là màn hình này cho phép bạn có khả năng can thiệp vào sâu hơn nữa về các thuộc tính máy in. Hình D dưới đây cho bạn thấy rõ điều này.

Hình D: Các thuộc tính bảo mật nâng cao cho phép bạn có những tính năng
bảo mật nâng cao hơn so với các chức năng sẵn có trong tab Security.

Ở đây, bạn có thể cho phép hoặc hạn chế sự cho phép, việc này tạo điều kiện thuận tiện trong sử dụng. Nếu người dùng là một thành viên của hai nhóm khác nhau thì những cho phép của nhóm sẽ được kết hợp để tạo thành cho phép hiệu quả đối với người dùng. Thông thường tình huống tương tự như vậy thường áp dụng cho những cho phép hạn chế mức thấp nhất. Tuy nhiên ngoại trừ trường hợp người dùng có hạn chế đặc biệt thì hạn chế này sẽ có quyền ưu tiên cao nhất. Bạn có thể sử dụng khái niệm này để tăng kiểm soát đối với các cho phép. Trước khi giới thiệu cho bạn cách làm, chúng ta hãy xem qua các cho phép khác nhau đó có những chức năng gì.

Print – Nếu một người dùng được cho phép in thì người này sẽ được phép sử dụng máy in.

Manage Printers (Quản lý các máy in) – Với cho phép này, người dùng có thể thay đổi các thuộc tính của máy in và thay đổi các cho phép để áp dụng đối với người dùng khác.

Manage Documents (Quản lý tài liệu) – Tính năng này cho phép người dùng thực hiện một số công việc như là dừng, khởi động lại, hay xóa một nhiệm vụ in nào đó.

Read Permissions – Nếu người dùng được gán cho chức năng này thì họ có thể xem các cho phép được gán tới mỗi người dùng.

Change Permissions – Chức năng này cho phép người dùng thay đổi các cho phép đối với người dùng khác.

Take Ownership – Tính năng này cho phép người dùng có được quyền sở hữu máy in.

Bạn có thể sử dụng các cho phép khác nhau để kết hợp (giữa cho phép và hạn chế) để tạo ra các thiết lập bảo mật mức cao.

Kết luận

Như đã giới thiệu, có nhiều thiết lập mà bạn có thể sử dụng để kiểm soát máy in trong công ty bạn. Trong phần 3 của bài viết này, chúng tôi sẽ tiếp tục giới thiệu cho các bạn cách làm thế nào để kiểm định việc sử dụng máy in.