Installazione stampante condivisa su Windows Server 2003 R2

[Dylan666]

Sto eseguendo dei test in ambiente workgroup con una rete che ha sia sistemi unix-derived sia XP e Vista.
Devo condividere una stamopante su Windows server 2003.

Per i sistemi OSX e Ubuntu non ho avuto problemi, ho aggiunto sul server il componente per le code LPR e sui client indicando l'IP del pc e la coda di stampa va tutto OK.

Invece su XP e 2003 non posso sfogliare il server perché mi chiede la password. Non posso chiamare la stampante con ip + nome coda. Se abilito l'utente guest posso sfogliare il server ma poi la stampa appare a nome guest

Invece installando il componente LPR pre sui win installa tutto e lancio col nome del client.

Non c'è modo di farlo con i protocolli di windows?

[piercing]

devi installarla direttamente con una porta TCP.. non puoi farlo sfogliando il server ovviamente... sennò che server sarebbe? vige sempre il discorso che per sfogliare un sistema NT based devi essere parte del gruppo di utenti autorizzati a farlo (e ti sconsiglio vivamente l'uso del guest...)

[Dylan666]

Il problema è questo: la stampante è di rete, ha un suo IP che diciamo sia 192.168.0.1 Il server ha 192.168.0.100 e ha installata e condivisa la stampante di rete. Per necessità di un certo e particolare programma la stampa dei client deve transitare per forza attraverso il server (non andare direttamente sulla stampante) e la coda della stampa richiesta (cioè questa) deve avere per forza il nome dell'utente che vuole stampare. Se abilito il Guest tutte le stampe mi arrivano a nome guest.

Se faccio fare impropriamente da server a un XP prima di tutto non mi viene chiesta la password per vedere le cartelle e le stampanti condivise e poi abilitando questa voce vedo pure il nome dell'user che lancia la stampa dai client (e NON sono stati creati anche sulla macchina "uso server"):

http://www.sepialine.com/kb/read/?1152

Non c'è una policy o un modo per far avere al 2003 lo stesso comportamento dell' XP PRO?

PS: la voce indicata nel link c'è anche sul 2003 ed è settata correttamente ma non pare avere effetto
PPS: il software che uso non è quello citato nel link

[piercing]

il comportamento che hai sull'XP Pro non è corretto... deve essere stata effettuata qualche modifica alle policies standard...

[Dylan666]

Un attimo fammi capire: su XP prendi e condividi una cartella e/o una stampante
Chi la vuole vedere deve digitare una password quando clicca sull'cona del tuo PC in Risorse di rete?
Questo è secondo te il comportamento normale?

O ti riferivi al nome nelle code?

[piercing]

esattamente come dici dylan... chi accede dalla rete ad un pc con XP o win 2003 deve immettere sempre le proprie credenziali (quantomeno al login del pc client se, e solo se, l'utenza del pc client è mappata sul pc server o viene effettuato l'accesso tra due pc nello stesso dominio, altrimenti DEVE comparire la richiesta di utenza e password)

[Dylan666]

Ricontrolla per favore, perché su almeno una trentina di PC a cui attualmente accedo più tutti quelli che ho nella memoria (e a casa) non funziona così; ovviamente sto parlando di macchine in cui l'XP Pro è settato per la "condivisione file semplice"

http://support.microsoft.com/kb/307874/it

La condivisione semplice consente di condividere cartelle con altri utenti del gruppo di lavoro o in rete in modo semplice e rende private le cartelle presenti nel profilo utente.
[...]
Disattivando la condivisione semplice, è possibile consentire a utenti e gruppi specifici di avere accesso a una cartella condivisa, ma tali utenti devono disporre di una password per l'accesso.

Ecco, mi servirebbe di settare la stessa cosa sul 2k3, o di poter avere un comportamento analogo almeno per le stampanti (cioè niente password per vederle e installarle se condivise dal server 2003)

[piercing]

non è un comportamento nativo dei sistemi NT e di NTFS... sinceramente non ho mai usato la condivisione di file semplice... e la guardo abbastanza come la peste... a meno non mi vengano dette esattamente quali sono le policies che vengono abilitate per farla funzionare!

ovviamente, in quanto server, non credo proprio che sia implementabile qualcosa del genere... a meno di massacrare tutta la sicurezza del file sistem del server...

[Dylan666]

Di massacrare mi importa poco, è un semplice print server!
Non mi pare possibile che a chi installa la stessa stampante da LPR ad esempio da Linux la password non venga chiesta mentre a chi usa windows sì

Un modo ci deve essere... ti viene in mente nulla smanettando con gli utenti NETWORK, Anonymus ecc?

[piercing]

nelle policies puoi abilitare l'utente anonimo o far evitare di chiedere le credenziali... ma di fatto non è un approccio corretto...

[Dylan666]

Se abilito il Guest puoi tutte le code partono a nome di Guest.
L'altra policy di cui mi parli invece dove sta? Come si chiama cioè esattamente?

[piercing]

Ripeto... il guest lascialo perdere...

allora.. tempo fa scrissi un topic con le differenze tra windows 2000 e le versioni nuove di NT... che di fatto si estrinsecano unicamente con l'adozione di un diverso concetto dell'utente everyone...

per le versioni <= di 2000 "everyone" vuol dire "tutti gli utenti" senza distinzione... quindi in pratica non viene verificata alcuna login

per le versioni > di 2000 "everyone" vuol dire invece "tutti gli utenti autenticati" dove le liste di autenticazione sono o gli utenti del pc (in caso di workgroup) o gli utenti di active directory (in caso di dominio)


in altre parole quindi:

o installi un sistema server 2000 (ma perchè una licenza server per una problematica così "stupida"?)

o usi una lista di autenticazione

o cambi il comportamento di default rendendo l'everyone del 2003 uguale a quello del 2000 (e da quanto intuisco seguirai questa strada...)


nell'ultimo caso quindi.... devi giocare con le policies... e visto che a quanto ho capito... il server 2003 non è un domain controller e non è messo a dominio, devi giocare con le policies di macchina... quindi... da "criteri di protezione locali" "Accesso di rete: consenti l'accesso libero agli utenti anonimi" e lo attivi...

ti aggiungo la spiegazione della policies che microsoft scrive:

Questa impostazione di protezione specifica le autorizzazioni aggiuntive concesse alle connessioni anonime al computer.

In Windows agli utenti anonimi è consentita l'esecuzione di determinate operazioni, quale l'enumerazione dei nomi degli account di dominio e delle condivisioni di rete. Questo è utile ad esempio quando l'amministratore desidera consentire l'accesso agli utenti di un dominio trusted che non mantiene una relazione di trust reciproca. Per impostazione predefinita, l'identificatore di protezione (SID) del gruppo Everyone viene rimosso dal token creato per le connessioni anonime. Le autorizzazioni concesse al gruppo Everyone non vengono pertanto applicate agli utenti anonimi. Se questa opzione è impostata, gli utenti anonimi potranno accedere solo alle risorse per cui sono stati esplicitamente autorizzati.

Se questo criterio è attivato, il SID del gruppo Everyone verrà aggiunto al token creato per le connessioni anonime. In questo caso, gli utenti anonimi potranno accedere a tutte le risorse accessibili al gruppo Everyone.

Impostazione predefinita: disattivata

permettimi comunque di dire che è un architettura assolutamente "insulsa"... e - dimmi se sbaglio - è dovuta unicamente al software di gestione delle stampe... di pessima qualità e non certificato da microsoft.

[Dylan666]

Il software non è di pessima di qualità, anzi, e l'integrazione con la roba di Microsoft è più un ostacolo che altro.
Ne è la dimostrazione il fatto che con code LPR da Linux e Mac il problema non si pone. Mi spiego: da questi due sistemi opertivi installare la stampante del 2003 server indicandone IP macchina e nome della coda è la cosa più semplice del mondo, niente password ne utenti creati all'interno di Windows.

Una volta installata la stampante sui client questi possono stampare senza problemi e quando lo fanno vedo nelle code del 2003 la stampa che hanno lanciato accompagnata dal nome dell'utente (di Ubuntu o del Mac) e del suo IP.

A me bastano queste due semplicissime cose... a tutto il resto ci pensa il programma che sto cercando di far funzionare.
Capisco che nel 99% dei casi è windows stessa che gestisce chi stampa e chi non in base agli utenti creati sulla macchina o nel dominio, ma mi pare strano che volendo non si possa emulare lo stesso tipo di "easy sharing" che offrono le code LPR.

Appena posso provo la policy che mi hai segnalato, anche se mi pareva di averlo provato...

[Dylan666]

Pier, l'opzione che mi dicevi in inglese come diventa? Per caso è questa?
Network Access: Let Everyone permissions apply to anonymous users.
http://technet.microsoft.com/en-us/libr ... 78182.aspx

Mi pare di sì mettendo a confronto la traduzione di questo articolo:
http://support.microsoft.com/?scid=kb%3 ... &x=11&y=15
http://support.microsoft.com/kb/324040/it

Facendolo mi chiede comunque la password per sfogliare il server da "Risorse di rete"... devo aggungere permessi particolari alla stampante e eventuali cartelle?

[piercing]

devi aggiungere il permesso everyone a tutto quello che vuoi far vedere...

PS: ogni volta che fai queste modifiche sul server restartalo...

[Dylan666]

Messa la policy e condivisa una cartella del desktop chiamata "shared". L'utente Everyone è presente di default in Sharing > Permission ed è stato aggiunto anche nel tab "Security". Ho resettato e poi ho provato ad aprire la directory da un client usando \\nome_server\shared ma mi viene sempre chiesta la coppia username/password. Manca qualcosa?

[piercing]

Crea la condivisione sotto C:
Rimuovi espressamente tutti i permessi preesistenti
Rimuovi l'ereditarietà dei permessi
Aggiungi solo la permission sullo sharing e sulla security ad everyone

La policy che hai attivato è locale?

[Dylan666]

La policy attivata è locale.
La cartella è stata creata in C:\
Poi è stata resa condivisa
Tutti permessi preesistenti sono stati tolti ed in elenco c'è solo l'utente Everyone (con permessi di lettura a scrittura e tutto il resto)
Il server è stato poi resettato.





Sempre utilizzando \\nome_server\Shared o \\IP_server\Shared da un client XP cerco di aprire la cartella ma ottengo la solita maschera di autenticazione
Ci sono altre veriche che posso fare?

[piercing]

prova ad attivare anche questa e riavvia...

Accesso di rete: consenti l'accesso libero agli utenti anonimi

[Dylan666]

prova ad attivare anche questa e riavvia...

Accesso di rete: consenti l'accesso libero agli utenti anonimi

Come "anche questa"?
Non è la stessa di prima che corrisponde in inglese a "Network Access: Let Everyone permissions apply to anonymous users"?

nell'ultimo caso quindi.... devi giocare con le policies... e visto che a quanto ho capito... il server 2003 non è un domain controller e non è messo a dominio, devi giocare con le policies di macchina... quindi... da "criteri di protezione locali" "Accesso di rete: consenti l'accesso libero agli utenti anonimi" e lo attivi...