Serveur d'impression

PaperCut KB | PaperCut et Active Directory – Serveur d’impression

Le 27 octobre 2019 - 5 minutes de lecture

Tout PaperCut Les produits commercialisés après 2004 incluent une prise en charge native complète pour Active Directory, notamment:

  • Groupes imbriqués, et
  • Unités d'organisation

PaperCut continue de prendre en charge les anciens domaines de style NT.

Q comment PaperCut intégrer avec Active Directory?

PaperCut accède à Active Directory en lecture seule pour l'authentification de l'utilisateur et l'extraction des métadonnées du compte de l'utilisateur, telles que l'adresse de messagerie, le nom complet, le bureau, le service et l'appartenance à un groupe. L'accès en écriture ou l'accès aux droits élevés n'est pas requis. Lors de l'exécution sur un serveur Windows PaperCut utilise Active Directory natif APIs. Lors de l'exécution sur un système Linux ou Mac PaperCut accède à AD via l'interface LDAP distante.

PaperCut ne mettra jamais en cache les informations d'identification des droits utilisateur (par exemple, les mots de passe). Conformément aux meilleures pratiques en matière de sécurité, l'authentification de l'utilisateur est effectuée via une interrogation en temps réel au moment de l'authentification. Les métadonnées du compte utilisateur (nom complet, par exemple) sont mises en cache localement pour réduire la charge sur le serveur AD et ne sont interrogées que pendant:

  • Création initiale du compte
  • Pendant la synchronisation nocturne si activé
  • Pendant une synchronisation manuelle utilisateur / groupe

Q fait PaperCut supporte plusieurs domaines?

Oui. PaperCut prend en charge plusieurs domaines et est couramment utilisé dans les arrangements complexes arborescents / forestiers.

Q J'ai un environnement Active Directory «verrouillé» et PaperCut a des problèmes pour accéder à l'AD. Comment puis-je réparer cela?

Par défaut, PaperCut fonctionne comme Système local Compte. Ceci est généralement considéré comme la meilleure pratique pour les services. Le compte système local doit avoir le droit d'interroger l'AD (accès en lecture seule) dans la plupart des environnements de domaine par défaut. Si toutefois le serveur n'est pas membre du domaine (peut-être dans un autre domaine) ou si l'environnement AD a été verrouillé par défaut, une configuration supplémentaire peut être requise.

La solution consiste à élever les privilèges utilisés pour exécuter le PaperCut Service serveur d'applications. Ceci est fait sous:

Panneau de configurationOutils d'administrationPrestations de service

Sélectionnez le PaperCut Serveur d'application service, puis le Se connecter languette. Remplacez le compte de service par un compte disposant à la fois des droits d’administrateur local et d’au moins un accès en lecture à l’AD. La meilleure pratique vous suggère de créer un nouveau compte utilisateur (la convention habituelle est d'utiliser un nom tel que svcpapercut) et définissez le mot de passe du compte sur «n'expire jamais».

Q Mes utilisateurs dans AD ne figurent pas dans l'un de mes groupes. Quel est le problème?

Cela peut être dû à l'utilisation du champ de groupe principal hérité dans AD. Le problème est discuté en détail ci-dessous.

Limitations avec les groupes principaux Active Directory

Dans un domaine Active Directory, tous les utilisateurs ont un «groupe principal», utilisé uniquement pour des raisons héritées et pour la conformité POSIX. Par défaut, le groupe principal de tous les utilisateurs Active Directory est défini sur le groupe intégré «Utilisateurs du domaine». Il est recommandé de laisser les «utilisateurs du domaine» en tant que groupe principal (meilleure pratique suggérée par Microsoft) et d'utiliser des groupes standard pour la gestion.

En raison d'une limitation dans Active Directory, lorsqu'un utilisateur est membre d'un groupe en tant que groupe principal de l'utilisateur, il n'est pas signalé en tant que membre de ce groupe lors de l'utilisation des API Active Directory.

Par exemple, si le groupe principal d’un utilisateur est défini sur un groupe appelé «Personnel», l’utilisateur ne semblera pas être membre de «Personnel» lorsqu’il utilise les API Active Directory sélectionnées.

Cette limitation est décrite en détail dans l'article suivant de la base de connaissances Microsoft:
http://support.microsoft.com/?kbid=275523

Ce comportement peut affecter négativement PaperCutFonctionnalités basées sur les groupes (telles que l’allocation de quota ou les nouvelles règles de création d’utilisateurs), car l’utilisateur n’est pas correctement déclaré en tant que membre du groupe.

Pour cette raison, il est vivement recommandé de laisser les «utilisateurs du domaine» comme groupe principal pour tous les utilisateurs de votre domaine.

Solution de contournement:

Si vous devez utiliser un groupe dans PaperCut qui est également utilisé en tant que groupe principal, où les utilisateurs sont membres d'un groupe en raison de son statut de groupe principal, puis la solution consiste à créer un groupe miroir.

Par exemple, si vous avez un groupe appelé "Personnel" et que vous ne pouvez pas utiliser ce groupe en raison du problème de groupe principal, créez un nouveau groupe appelé StaffStandard et ajouter des membres du personnel à ce groupe. Vous pouvez tirer parti du système de recherche Active Directory pour identifier et ajouter rapidement les utilisateurs du personnel. Le nouveau groupe StaffStandard peut alors être utilisé avec précision dans PaperCut.

Support de groupe imbriqué avec le serveur principal Linux / Mac:

En raison des limitations imposées par les différentes implémentations du protocole LDAP, la fonctionnalité Groupe imbriqué n'est pas disponible si vous n'utilisez pas «Windows Active Directory» comme source de synchronisation. Vous devrez utiliser un «groupe plat» à la place. Nous vous recommandons d’en tenir compte lorsque vous choisissez d’utiliser Linux ou Mac OS X.


Catégories: Domaines


Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.