共享列印機拒絕列印分配給 AD 安全組的 ACL 不起作用

我有三台伺服器。

• 伺服器 1 - 列印伺服器，Windows Server 2008 Standard
• 伺服器 2 - 域控制器，Windows Server 2008 R2 標準
• 伺服器 3 - 終端服務伺服器，Windows Server 2008 R2 Standard

在伺服器 1 上，我安裝了 5 台列印機。所有列印機都是 TCP/IP 列印機。應限制一台列印機，以便只有指定 AD 組的成員才能對其進行列印。因此，在列印管理中，在受限列印機的安全選項卡中，AD 安全組受限列印機*- 授權域使用者*被授予列印允許權限。具有列印允許權限的預設所有人組已被刪除。

RESTRICTED Printers - Authorized Domain Users的唯一成員是 Domain\TestAllowed。

所有 5 台列印機都通過伺服器 2 上的 GPO 安裝在伺服器 3 上，該 GPO 會自動添加列印機。這可以正常工作。

然後我以 Domain\TestProhibited 身份登錄到伺服器 3 並嘗試列印到受限列印機並列印頁面。

為什麼要列印頁面，我需要做些什麼來確保只有RESTRICTED 列印機的成員 - 授權域使用者能夠列印到受限列印機？

我已經閱讀（並確認我正確配置了 ACL）Microsoft 的 TechNet 頁面上設置列印伺服器權限。

我什至明確拒絕了伺服器 1 上受限列印機上 Domain\TestProhibited 的列印權限。我從伺服器 3 註銷，重新登錄，並且 Domain\TestProhibited 仍然能夠列印到受限列印機。

即使列印機是通過共享列印機名稱安裝在終端服務伺服器上的，在列印伺服器上更改列印機的安全權限似乎是不夠的。

如果我登錄到終端服務伺服器，我發現使用組策略安裝列印機時，列印機的安全權限不會被轉移。在我登錄終端服務伺服器並更改列印機的安全權限後，我註銷並重新登錄，現在列印機已正確限制。

引用自：https://serverfault.com/questions/755375