Exportar (0) Imprimir
Expandir todo

Asignar un administrador de impresión delegado y los permisos de impresora en Windows Server 2008 R2

Actualizado: septiembre de 2009

Se aplica a: Windows 7, Windows Server 2008 R2

Planear la seguridad de los servidores de impresión y determinar cómo restringir el acceso a ellos es una parte importante de la administración de los servidores de impresión. En Windows Vista® y Windows Server® 2008, solo los administradores del sistema completos podían realizar tareas administrativas de impresión. En Windows Server 2008 R2, ahora puede delegar tareas de administración de impresión directamente a usuarios que no son administradores del sistema. También puede definir la configuración de seguridad predeterminada de la impresora que se hereda al agregar nuevas impresoras al servidor de impresión.

Estos cambios hacen posibles las siguientes mejoras en la administración de impresoras y servidores de impresión:

  • Puede controlar al acceso a recursos y equilibrar cargas de trabajo delegando determinadas tareas administrativas de impresión a usuarios sin agregarlos al grupo de seguridad Administradores.

  • Puede administrar la configuración de permisos mediante la interfaz de usuario mejorada de la pestaña Seguridad en el cuadro de diálogo Propiedades del servidor de impresión.

  • Puede administrar la infraestructura de impresoras configurando las opciones de seguridad de impresora predeterminadas que las nuevas impresoras heredan automáticamente al agregarlas. Puede configurar las opciones por servidor para que no tenga que configurar las impresoras individualmente.

Configurar la seguridad

En esta sección se trata lo siguiente:

noteNota
La seguridad del servidor de impresión solo la pueden configurar los miembros del grupo Administradores.

La interfaz de usuario de seguridad del servidor de impresión

En Windows Server 2008 R2, los usuarios del grupo Administradores pueden configurar las opciones de seguridad de impresión directamente editando los permisos de la lista de control de acceso (ACL) del servidor de impresión en el complemento Administración de impresión de Microsoft Management Console (MMC). (Para ver los permisos de ACL para su servidor de impresión, haga clic en Inicio, haga clic en Herramientas administrativas, haga clic con el botón secundario en Administración de impresión y, a continuación, haga clic en Ejecutar como administrador. En el panel izquierdo, haga clic en Servidores de impresión, haga clic con el botón secundario en el servidor de impresión aplicable y, a continuación, haga clic en Propiedades. En el cuadro de diálogo Propiedades del servidor de impresión, haga clic en la pestaña Seguridad.)

La ilustración 1 muestra la interfaz de usuario de la pestaña Seguridad que abre un usuario que es miembro del grupo Administradores.

Ilustración 1   Pestaña Seguridad de Propiedades del servidor de impresión

En un dominio, los miembros del grupo Administradores pueden configurar de forma remota las opciones de seguridad del servidor de impresión. Puede hacerlo mediante el complemento Administración de impresión. La funcionalidad remota para que los usuarios vean la interfaz de usuario de seguridad del servidor de impresión se admite para ciertos sistemas operativos anteriores, incluidos Windows Server 2008, Windows Vista con SP1 y Windows Vista con SP2. Sin embargo, la funcionalidad de administrador de impresión delegado solo está disponible actualmente en Windows Server 2008 R2.

Configurar permisos en Propiedades del servidor de impresión

Los permisos del servidor de impresión controlan los niveles de acceso para los usuarios de un servidor de impresión determinado. Los permisos de impresora controlan qué tareas de impresión pueden realizar los usuarios en las impresoras agregadas recientemente que están administradas por el servidor de impresión. Los administradores deben asignar estos permisos cuando sea necesario a los usuarios que no sean administradores del sistema.

Una vez que un administrador personaliza la configuración de seguridad para el servidor de impresión, todas las impresoras recién agregadas a este servidor de impresión heredan esta configuración de seguridad automáticamente. (No se modifica la configuración de seguridad para las impresoras existentes en el servidor.)

Los dos niveles de permisos del servidor de impresión son:

  • Ver servidor

    El permiso Ver servidor asigna la capacidad de ver el servidor de impresión. Sin el permiso Ver servidor, los usuarios no pueden ver las impresoras administradas por el servidor. De forma predeterminada, este permiso se concede a los miembros del grupo Todos.

  • Administrar servidor

    El permiso Administrar servidor asigna la capacidad para crear y eliminar colas de impresión (con controladores ya instalados), agregar o eliminar puertos y agregar o eliminar formularios. Un usuario estándar con este permiso se denomina "administrador de impresión delegado".

    noteNota
    Solo los usuarios que tienen el permiso Administrar servidor y son miembros del grupo Administradores pueden agregar controladores de impresora.

Los tres niveles de permisos de impresora son los siguientes:

  • Imprimir

    El permiso Imprimir asigna a los usuarios la posibilidad de conectarse a impresoras e imprimir, pausar, reanudar, iniciar y cancelar sus propios documentos. De forma predeterminada, este permiso se concede a los miembros del grupo Todos cuando se crea una cola de impresión.

  • Administrar documentos

    El permiso Administrar documentos asigna la posibilidad de controlar la configuración del trabajo para todos los documentos, así como pausar, reiniciar y eliminar todos los documentos.

  • Administrar impresoras

    El permiso Administrar impresora asigna la posibilidad de pausar y reiniciar la impresora, cambiar la configuración del administrador de trabajos en cola, compartir una impresora, ajustar los permisos de la impresora y cambiar las propiedades de la impresora.

La posibilidad de asignar acceso a una impresora por usuario o por grupo permite administrar impresoras desde una ubicación central. Por ejemplo, un administrador podría limitar el acceso a una impresora en un área pública para administrar la impresora desde una ubicación central más segura.

En Windows Server 2008 R2, la configuración de seguridad predeterminada para el servidor de impresión y la impresora es la siguiente:

 

 

  Todos Propietario de creadores Administradores

Imprimir

Permitir

Permitir

Administrar documentos

Permitir

Permitir

Administrar impresoras

Permitir

Ver servidor

Permitir

Permitir

Administrar servidor

Permitir

Crear un administrador de impresión delegado

Los miembros del grupo Administradores pueden crear un administrador de impresión delegado completo asignando el permiso Administrar servidor a un usuario. Cuando se asigna el permiso Administrar servidor, también se asigna automáticamente el permiso Ver servidor. También puede delegar un subconjunto de estos permisos para crear un administrador de impresión delegado parcial.

Para crear un administrador de impresión delegado completo

  1. Haga clic en Inicio, haga clic en Herramientas administrativas, haga clic con el botón secundario en Administrador de impresión y, a continuación, haga clic en Ejecutar como administrador.

    En el panel izquierdo, haga clic en Servidores de impresión, haga clic con el botón secundario en el servidor de impresión aplicable y, a continuación, haga clic en Propiedades.

    En Propiedades del servidor de impresión, haga clic en la pestaña Seguridad.

  2. Para configurar los permisos para un nuevo grupo o usuario, haga clic en Agregar. Escriba el nombre del grupo o del usuario para el que desee establecer permisos usando el siguiente formato: nombreDeDominio\nombreDeUsuario. Haga clic en Aceptar para cerrar el cuadro de diálogo.

    TipSugerencia
    Antes de agregar cualquier impresora al servidor, debe crear un grupo de usuarios que pueden realizar tareas de impresión delegadas y, a continuación, configurar los permisos apropiados. Si lo hace, todas las impresoras recién agregadas heredan automáticamente esta configuración y no tiene que configurar individualmente las impresoras existentes para el servidor de impresión.

  3. Resalte el nombre de usuario o de grupo recién agregado y después, en Permisos de <nombreDeUsuarioODeGrupo>, haga clic en Permitir para el permiso Administrar servidor. (El permiso Ver servidor también se asigna.)

  4. Active las casillas Permitir para los permisos Imprimir, Administrar documentos y Administrar impresoras.

Para crear un administrador de impresión delegado parcial

  • Para permitir que un administrador agregue impresoras:

    Siga las instrucciones anteriores, pero active las casillas Permitir para los permisos Administrar servidor e Imprimir. (El permiso Ver servidor también se asigna automáticamente.)

  • Para permitir que un administrador administre colas de impresión existentes:

    Siga las instrucciones anteriores, pero active las casillas Permitir para los permisos Ver servidor, Imprimir, Administrar documentos y Administrar impresora.

Permisos relacionados con la impresión y las tareas que permiten realizar

En la tabla siguiente se enumeran las tareas de impresión que un usuario puede realizar cuando tiene asignados los permisos correspondientes en la pestaña Seguridad de Propiedades del servidor de impresión.

 

  Imprimir Administrar impresoras Administrar documentos Ver servidor Administrar servidor

Ver la cola de impresión (en el servidor local)

Imprimir documentos propios en la cola

Ver, pausar, reiniciar y cancelar todos los trabajos de impresión de una cola

Actualizar controladores instalados o incluidos, y controladores disponibles en Windows Update, en una cola existente

noteNota
Esto no se aplica a los entornos de impresión en clúster.

Agregar o eliminar un formulario en una cola

Ver las propiedades de impresora

Ver las propiedades del servidor de impresión

Configurar los permisos de seguridad de impresora en una cola de impresión

Administrar el descriptor de seguridad marca setServerSecurityDescirptor del servidor de impresión

Agregar una cola de impresión a un servidor de impresión

Sí, cuando los controladores ya están instalados.

Eliminar una cola de impresión de un servidor de impresión

Sí, pero solo la cola para la que tiene permisos.

Agregar un controlador de impresión a un servidor de impresión

Sí, pero solo localmente. El usuario debe ser miembro del grupo Administradores para poder agregar controladores (incluso de forma remota) al servidor de impresión.

Eliminar un controlador de impresión de un servidor de impresión

Sí, pero solo para los controladores (no los paquetes de controladores).

Agregar, eliminar y configurar puertos en un servidor de impresión

Agregar y eliminar un formulario en un servidor de impresión

Un usuario que tiene asignados los permisos Administrar impresoras, pero no Administrar servidor, puede agregar un formulario cuando AllowUserManageForms está establecido en el Registro de Windows en un valor distinto de cero. Un usuario puede agregar formularios hasta el valor especificado para AllowUserManageForms. Un usuario solo puede agregar y eliminar formularios de usuario. Sin embargo, un usuario con el permiso SERVER_ACCESS_ADMINISTER puede agregar y eliminar formularios de impresora y de usuario sin ninguna limitación.

Compartir la impresora

Sí, si tiene los permisos Administrar impresora en el servidor de impresión y se han habilitado las excepciones Compartir impresoras y archivos* en Firewall de Windows con seguridad avanzada.

Sí, si tiene los permisos Administrar impresora en el servidor de impresión y se han habilitado las excepciones Compartir impresoras y archivos* en Firewall de Windows con seguridad avanzada.

Diseñar y crear grupos de seguridad de impresión

A continuación se muestra una lista de grupos de seguridad de impresión sugeridos y sus permisos asociados:

  • Grupo Administradores del sistema: consta de los miembros del grupo de seguridad Administradores.

  • Grupo Administradores de impresión: consta de los miembros del grupo Administradores del sistema y los usuarios a los que se ha asignado algún conjunto de derechos de administrador de impresión delegado. Dependiendo de los derechos que asigne, los miembros de este grupo se pueden considerar administradores delegados completos o administradores delegados parciales.

noteNota
Si desea mitigar la capacidad de los miembros del grupo Administradores para realizar tareas de administración de impresión, en lugar de agregar grupos enteros a estos grupos de seguridad de impresión, puede agregar miembros individualmente y, a continuación, asignar los permisos apropiados.

En la tabla siguiente se muestra qué acciones se pueden realizar dependiendo de los permisos asignados:

 

  Usuarios estándar: pueden conectarse a impresoras e imprimir sus documentos (Permisos: Imprimir, Ver servidor) Administradores delegados parciales: pueden agregar impresoras (Permisos: Imprimir, Ver servidor, Administrar servidor) Administradores delegados parciales: pueden administrar colas existentes (Permisos: Imprimir, Ver servidor, Administrar impresoras, Administrar documentos) Administradores delegados completos: pueden realizar todas las tareas de impresión administrativas (Permisos: Imprimir, Administrar documentos, Administrar impresoras, Ver servidor, Administrar servidor) Administradores del sistema: pueden administrar el sistema totalmente (Permisos: Imprimir, Administrar documentos, Administrar impresoras, Ver servidor, Administrar servidor)

Ver la cola de impresión en el servidor local

Imprimir en la cola

Ver, pausar, reiniciar o cancelar trabajos de impresión que sean propiedad del usuario en una cola

Modificar todos los trabajos de impresión de una cola

Actualizar un controlador instalado o incluido en una cola existente

Agregar o eliminar un formulario en la cola

Ver las propiedades de impresora

Ver las propiedades del servidor de impresión

Administrar el permiso de seguridad en la cola de impresión

Administrar el descriptor de seguridad marca setServerSecurityDescirptor del servidor de impresión

Agregar y eliminar la cola de impresión en un servidor

Sí, pero puede agregar una impresora usando solo un controlador preinstalado.

Sí, pero solo puede eliminar la cola de impresión con el permiso Administrar impresora.

Sí, pero puede agregar una impresora usando solo un controlador preinstalado.

Agregar y eliminar un controlador de impresión en un servidor

Sí, pero solo localmente. El usuario debe ser miembro del grupo Administradores para poder agregar controladores no incluidos o para agregar controladores al servidor de impresión de forma remota.

Sí, pero solo localmente. El usuario debe ser miembro del grupo Administradores para poder agregar controladores no incluidos o para agregar controladores al servidor de impresión de forma remota.

Agregar, eliminar y configurar puertos en un servidor de impresión

Agregar y eliminar un formulario en un servidor de impresión

Compartir la impresora

Sí, si tiene los permisos Administrar impresora en el servidor de impresión y se han habilitado las excepciones Compartir impresoras y archivos* en Firewall de Windows con seguridad avanzada.

Sí, si se han habilitado las excepciones Compartir impresoras y archivos* en Firewall de Windows con seguridad avanzada.

noteNota
Se recomienda que solo un miembro del grupo Administradores del sistema instalen controladores. Si un administrador de impresión delegado piensa agregar o administrar colas de forma remota, el Administrador del sistema debe instalar el controlador en el siguiente directorio mediante scripts (por ejemplo, el comando Prmdrvr) o manualmente:

unidadDelSistema\Windows\System32\spool\drivers\arquitecturaDelProcesador\3

¿Te ha resultado útil?
(Caracteres restantes: 1500)
Gracias por sus comentarios

Adiciones de comunidad

AGREGAR
Mostrar:
© 2014 Microsoft