打印集中监管系统方案

1、局域网中打印机集中监管系统方案中电 33 所第三事业部目录1 打印机信息化监管需求 42 Windows 系统下打印机监管技术分析 42.1 通过活动记录管控局域网中打印机 42.2 打印事务控制 53 Windows 系统下打印机监管技术方案 63.1 设计目标 63.2 系统架构 73.3 系统基本功能 83.4 详细功能 93.4.1 用户管理 103.4.2 权限管理 103.4.3 角色管理 103.4.4 权限控制 103.4.5 登录认证 103.4.6 打印机管理 113.4.7 打印过滤 113.4.8 打印监控 113.4.9 打印审批 123.4.10 查看打印记录 12

2、3.4.11 打印控制 12-可编辑修改 -1 打印机信息化监管需求对于有保密要求的企事业单位， 由于监管的技术手段不到位， 打印机成为一 个信息泄漏源。目前，多数单位对打印机的监管还处于人工管理或无监管状态， 缺乏有效的信息化监管工具，这种状况存在以下问题：不能对打印人员权限进行认证，不能禁止没有权限的人员进行打印。即 使非内部人员打印了机密文档也无法追查，造成涉密文档的泄密。 不能对所有打印事务的相关信息进行及时登记。 人工登记不能避免管理 漏洞，不能保证打印信息登记的完整和完备，对以后的打印信息核查、 统计造成困难。网络环境中的资源共享也给打印机人工管理造成不便和困难。 不利于控制打印费

3、用，容易造成浪费现象。为了消除上述打印机监管方面的问题和困难， 建立一套行之有效的信息化打 印机监管系统是必要的途径。2 Windows 系统下打印机监管技术分析2.1通过活动记录管控局域网中打印机在 Windows 2000/2003 中建立打印机时，打印机和活动目录通过缺省配置 成具有整体性，打印机将自动在活动目录上发布。对于不是运行 Windows 2000/2003 计算机（如 Windows NT 4.0 ）上的打印机，不能在 AD 中进行自动 发布，可利用活动目录管理工具或利用 system32 文件夹中提供的 pubprn.vbs 脚本在活动目录中进行手动发布。 发布打印机意味着

4、发布打印队列， 活动目录中 的对象就是打印队列。管理人员仅仅通过改变缺省特性来管理打印机。活动目录允许组织机构按照层次式的、 面向对象的方式存储信息， 并且提供 支持分布式网络环境的多主复制机制。它使用对象来代表诸如用户、组、主机、 设备及应用程序这样的网络资源，并使用容器来代表组织 （如市场部 ）或相关对象 的集合 （如打印机 ）。它将信息组织成由这些对象和容器组成的树结构。在本 系统 开发 中需 要用 到的 包括 IADsContainer 、 IADsPrintQueue 、 IADsPrintQueueOperations 、IADsPrintJob 、IADsPrintJobOper

5、ations 等类容器。 2.2 打印事务控制在打印事务的具体监管中 , 关键是如何提取到每个打印事务中打印作业相 关的参数（如页数、用户名等）等信息，并能够根据打印事务的发生情况（如事 务来临、完成、正常进行、意外终止等）进行处理。本文给出一个解决这些问题 的框架，提出用多线程的方法监控打印机打印作业的发生情况， 然后通过消息处 理机制分别进行处理。 由于在 windows 系统中，打印事务是由 Spooling（ 假脱 机 ） 处理的，所以本文首先介绍 Spooling 框架，然后分析提出监控的重点，以 及在试验中要解决的关键问题。Windows2000 及其以后版本的打印框架包含打印假脱

6、机子系统（ pooler ） 和一系列打印驱动程序。通过调用与设备无关的 GDI 函数，应用程序可以创建 打印作业并能把它发送给激光打印机、 矢量绘图仪、 光栅打印机等不同的输出设 备。打印机驱动包含用户结构组件 , 允许用户控制一个打印机的设置项。应用程序调用的 GDI 函数被发送给 GDI 图形引擎 , 图形引擎把绘图的 GDI 指令转换为增强图元文件 （EMF） ，或者由打印驱动协助生成能够发送给假 脱机子系统的可打印图像 （ 通常为打印机控制器能够识别的打印机指令如 PCL） 。假脱机子系统解析 EMF 文件而且可以在 EMF 中插入页面布局信息和作业控制指令。然后假脱机子系统把它发送

7、给串口、并口或网络口相连的打印I/O 端口。负责打印作业产生及其管理的关键组件是假脱机子系统。客户端中的 winspool.drv 和服务端共同构成了假脱机的核心组件，共同处理打印任务。 Spoolsv.exe 是假脱机子程序服务器， windows 系统通过它公开了假脱机模块， 与客户端交 互部分 包含 winspool.drv（ 完 成本 地打印 任务 处理）和 win32spl.dll（ 完成远程打印任务处理 ） ，该模块实现了部分的假脱机函数 , 但其 余绝大部分假脱机子函数借助于 spoolss.dll 交给打印提供者实现。图 2 中，格 式转换后的打印作业文件流经 spoolsv.

8、exe 组件交给了本地打印提供程序 , 通 过配置本地打印提供程序可以设定是否缓存打印文件 （该文件中包含打印作业的 详细信息），最后由监视线程交给打印机。3 Windows 系统下打印机监管技术方案3.1 设计目标针对打印机监管需求， 打印机监控系统是一套能够对局域网内打印机进行打 印监控、审核和远程控制的软件系统。其设计目标如下： 系统提供监控整个局域网内所有打印机的功能， 监控过程中自动记录各 次打印的相关信息（打印时间、打印所在机器名、打印用户、打印内容 图片和打印纸张数目等） ； 系统提供查询打印历史记录功能；系统提供打印审批功能； 系统提供根据打印文档名中关键词进行过滤的功能。如：

9、设置文档名中包含“技术”关键词的文档打印时均需要审批；系统提供打印机远程控制功能，包括：是否开启打印机监控、远程暂停 打印机、远程启动打印机等； 系统提供用户帐户登录验证功能； 系统在用户进行打印时提示用户输入用户名和密码进行验证， 系统根据 帐户权限决定该用户发起的打印请求是否需要审批； 系统提供用户帐户管理功能（新建、修改、删除等） ； 系统提供权限管理功能，权限以用户组为单位进行分配，系统能够修改 用户组的权限，且用户组可以新建、修改和删除。用户权限包括打印权 限和管理权限，打印权限包括有效打印日期范围、一次打印最大页数、 总共打印最大页数和可打印次数等参数； 管理权限是指对系统管理软件

10、 的操作权限，其包括：用户管理权限、权限管理权限、查看打印记录权 限、打印审批权限、远程打印机控制权限等。具有不同管理权限的用户 登录系统后要根据其权限在图形界面上开启和禁用相关功能； 系统提供友好的图形用户界面；系统能够运行在 Windows XP 以上版本的 Windows 操作系统上；3.2 系统架构为了对局域网内的打印机进行集中式监管，系统采用 C/S 架构，使用打印 功能的计算机都要安装监管客户端，监管客户端通过局域网与监管服务器通信。 系统基本架构如图 3-1 。图3-1局域网打印机集中监管系统架构通过该架构，实现中心服务器对打印机的监管，具体实现：1）监管客户端要求用户先登录再打

11、印，未登录该系统的计算机被禁止打印 服务；登录该系统的打印机允许使用打印服务。2）用户登录系统并进行打印的过程中，监管客户端将用户信息、打印的文 件信息传回服务器，由服务器录入数据库，以备后续审计。3）监管服务器接收监管客户端发来的用户登录信息，并进行验证。验证通 过后通知监管客户端开启打印服务。3.3系统基本功能基于前面的技术分析，建立局域网环境中的打印机监管系统方案。 本系统的 主要任务是对企事业单位局域网内部的共享打印机进行管理。 要实现的功能基本 上分为几部分：1）首先，用户打印时需要注册，没有注册的用户无权进行打印，如果系统 检测到是非法用户，将会自动删除打印任务，并记录打印日志；2

12、）对合法用户，系统不作任何的提示，但不论是打印成功还是不成功均会 以日志的形式被记录进数据库中3）系统提供对打印记录的远程查询，通过网络用户可以方便地对打印日志记录进行查询。管理员还可以远程地对打印户进行管理。 对打印机的管理提供了极 大的方便。3.4详细功能系统功能详细设计如图 3-2所示。拦截打印请求打印机监管系统记录打印请求修改过滤规则删除过滤规则远程禁止打印远程开启打印-可编辑修改-图3-2局域网打印机集中监管系统功能图341用户管理用户管理是指系统具有新建、修改和删除用户帐户的功能。用户通过客户端管理 软件进行用户管理的相关操作。3.4.2 权限管理权限管理包括角色管理和权限控制。角

13、色代表一个权限集合，通过将用户帐户赋 予角色实现对用户帐户权限的管理。3.4.3 角色管理角色管理是指系统具有新建、修改和删除角色的功能。系统初始角色包括：系统 管理员、打印管理员和普通用户。系统管理员：系统管理员具有系统的所有权限，包 括对任意文档的无限制打印权限和对系统的所有管理权限。打印管理员：打印管理员 具有对任意文档的无限制打印权限，但是其具有受限的管理权限，不能进行用户管理、 权限管理、打印过滤、打印审批和打印控制等功能。普通用户：普通用户不具有打印 权限且只具有受限的管理权限。3.4.4 权限控制权限控制是指通过为用户帐户指定角色来设置其权限以及通过开启和禁用软件相 关功能实现用

14、户的权限控制。用户的权限控制精确到菜单项和按钮级别。3.4.5 登录认证登录认证包括打印登录认证和客户端管理软件登录认证。（1）打印登录认证是指 用户在发起打印请求时需要输入帐户信息，系统根据帐户的打印权限以及过滤规则确 定该文档直接进行打印或者发起审批流程。（2）客户端管理软件登录认证是指用户登 录客户端管理软件时需要提供帐户信息，系统根据帐户的管理权限开启和禁用管理软 件中的相关功能。3.4.6打印机管理由于客户端管理软件不能自动获得网络内待管理的打印机，因此软件提供了打印 机管理功能。管理用户通过客户端管理软件向系统注册、删除、修改待管理的打印几打印机通 过与其相连接的计算机IP地址进行

15、定位。一旦打印机在系统中注册，各客户端均能获 得打印机列表。3.4.7 打印过滤打印过滤是指系统具有根据关键词对打印文档进行过滤的功能，具体为若指定的 关键词在待打印文档名称中出现则拦截该文档打印请求并启动打印审批流程否则该文 档直接打印。例如：关键词“技术”在待打印文档技术xx”中出现则拦截该文档打印请 求并启动审批流程。一个过滤规则可应用于多个用户帐户。3.4.8 打印监控打印监控是指系统具有显示被监控打印机状态及拦截该打印机上用户打印请求的 功能。系统通过安装在与打印机连接的 PC机上的虚拟打印机及监控服务实现对 打印机的监控功能，提供打印机状态查询接口并拦截打印请求，记录打印请求的 打印时间、打印所在机器名、打印用户、打印内容图片和打印纸张数目等参数并 保存至数据库。打印拦截时考虑用户的打印权限以及应用于该用户的过滤规则， 若用户具有对该打印文档的打印权限且该文档没有被该用户的过滤规则过滤则 系统不进行拦截。系统通过客户端管理软件查看被监控打印机列表、打印机状态、 打印请求及内容并进行审批操作3.4.9 打印审批打印审批是指系统具有对拦截到的打印请求进行审批的功能。 审批用户通过查看打印请求的相关信息（包括：打印时间、打印所在机器名、打印用户、打印 内容图片和打印纸张数目等）决定是否允许该打印请求或者拒绝打