需配置用户级权限策略以限制打印机共享访问:一、通过打印机属性安全选项卡设置管理/文档/打印权限;二、启用密码保护共享并限制防火墙规则;三、用secpol.msc禁用匿名访问;四、用gpedit.msc启用审核策略及默认权限控制。
如果您已在Windows 10主机上启用打印机共享,但希望限制特定用户访问权限或细化读写控制以保障打印安全,则需在默认共享基础上进一步配置用户级权限策略。以下是实现该目标的多种方法:
一、通过打印机属性设置安全权限
此方法直接修改打印机对象的安全描述符,可精确指定哪些用户或组拥有管理、打印或管理文档等权限,是本地级别最细粒度的控制方式。
1、按 Win + R 输入 control printers,打开“设备和打印机”。
2、右键需共享的打印机,选择 “打印机属性”。
3、切换至 “安全”选项卡(若不可见,请确认已以管理员身份运行控制面板或使用本地管理员账户登录)。
4、点击 “添加”,在弹出窗口中输入具体用户名或组名(如 DOMAIN\Alice 或 S-1-5-32-573 表示“打印机 Operators”组),点击“检查名称”后确定。
5、在下方权限列表中,为该用户/组勾选所需权限:“管理打印机”(允许更改共享设置)、“管理文档”(可暂停/取消他人作业)、“打印”(仅提交作业)。
二、利用高级共享设置配合网络策略隔离
此方法通过组合网络发现范围、密码保护状态与防火墙规则,在网络层缩小打印机暴露面,间接强化权限边界。
1、进入 “网络和共享中心” → “更改高级共享设置”。
2、在 “专用网络” 配置下:启用网络发现、启用文件和打印机共享,但 保持密码保护共享启用(禁用将导致Everyone无凭证访问)。
3、进入 “Windows Defender 防火墙” → “允许应用或功能通过防火墙”,仅勾选 “文件和打印机共享”,且仅在 “专用” 网络类型中启用。
4、返回“高级共享设置”,于 “所有网络” 区域,确保 “关闭密码保护共享”未被勾选(即保留密码验证机制)。
三、通过本地安全策略禁用匿名访问路径
此方法从系统底层阻断Guest账户及空会话对打印机共享资源的潜在调用,消除默认弱权限入口。
1、按 Win + R 输入 secpol.msc,打开本地安全策略。
2、依次展开 “本地策略” → “安全选项”。
3、定位并双击 “网络访问:不允许SAM账户和共享的匿名枚举”,设为 “已启用”。
4、再定位 “网络访问:不允许存储网络身份验证的凭据”,同样设为 “已启用”。
5、最后定位 “网络访问:共享的匿名访问”,设为 “不允许”。
四、使用组策略编辑器强制执行打印审核与权限继承
此方法适用于专业版/企业版系统,通过GPO统一部署打印机安全模板,并启用详细操作日志记录,便于事后审计。
1、按 Win + R 输入 gpedit.msc,打开本地组策略编辑器。
2、导航至 “计算机配置” → “Windows 设置” → “安全设置” → “本地策略” → “审核策略”。
3、双击 “审核对象访问”,勾选 “成功”和“失败”。
4、返回左侧树形菜单,进入 “计算机配置” → “管理模板” → “打印机”。
5、启用 “将打印机权限应用于所有连接的客户端”,并配置 “默认打印机权限” 为仅授予 “打印” 权限。
