多くの組織は、Windows Server にプリンターをインストールして共有しています。それは何の問題もありません。これは、プリンターを保守および配布するための優れたアプローチです。唯一の問題は、セキュリティ上の理由からドメイン コントローラーにプリンターをインストールすべきではないことです。この記事では、ドメイン コントローラーで印刷スプーラーを無効にする方法を説明します。
印刷スプーラー サービスとは何ですか?
Print Spooler は、印刷プロセスを管理するソフトウェア サービスです。スプーラはコンピュータから印刷ジョブを受け入れ、プリンタ リソースが利用可能であることを確認します。スプーラは、印刷ジョブが印刷のために印刷キューに送信される順序もスケジュールします。パーソナル コンピューターの初期の頃、ユーザーはファイルが印刷されるまで待ってから、他の操作を実行する必要がありました。最新の印刷スプーラーのおかげで、印刷がユーザー全体の生産性に与える影響は最小限に抑えられています。
ドメイン コントローラー上の印刷スプーラー サービスのリスク
一見無害に見えますが、認証されたユーザーはすべてドメイン コントローラーの印刷スプーラー サービスにリモートで接続し、新しい印刷ジョブの更新を要求できます。また、ユーザーはドメイン コントローラーに対して、制約のない委任を使用してシステムに通知を送信するように指示できます。これらのアクションは接続をテストし、ドメイン コントローラー コンピューター アカウントの資格情報を公開します (印刷スプーラーは SYSTEM によって所有されます)。
漏洩の可能性があるため、ドメイン コントローラーと Active Directory 管理システムでは印刷スプーラー サービスを無効にする必要があります。これを行うために推奨される方法は、グループ ポリシー オブジェクト (GPO) を使用することです。
注記:すべてのドメイン コントローラーで印刷スプーラーを無効にすることをお勧めします。
注記:ドメイン コントローラーで印刷スプーラー サービスを無効にすると、ユーザーはドメイン コントローラーにインストールされているプリンターで印刷できなくなります。専用のプリント サーバーを使用するか、プリンターを別のサーバーにインストールする必要があります。
Active Directory セキュリティ監査レポート
ドメイン コントローラーでプリンター スプーラーが有効になっているときに Active Directory セキュリティ監査レポートを実行すると、次のようになります。
セキュリティインジケーターは次のことを示します。
2021 年 6 月から 7 月にかけて、Windows 印刷スプーラー サービスでいくつかの重大な欠陥が見つかり、ドメイン コントローラー上の印刷スプーラーに直接影響を及ぼし、リモートでコードが実行される可能性がありました。
この例では、2 つのドメイン コントローラーで印刷スプーラーが有効になっています。
以下のいずれかの方法で印刷スプーラー サービスを無効にした後、Active Directory セキュリティ評価を再度実行すると、次のようになります。
すべてが良さそうです。
ドメイン コントローラーで印刷スプーラー サービスを無効にする方法
印刷スプーラー サービスをオフにする方法はいくつかあります。組織に最も適切な方法に従ってください。ただし、最初の方法である GPO が推奨される方法です。
方法 1. グループ ポリシー オブジェクト (GPO)
GPO を使用して印刷スプーラーを無効にするには、次の手順に従います。
- ドメイン コントローラーにサインインする
- 開けるグループポリシー管理
- を右クリックします。ドメインコントローラーOU
- 選択このドメインに GPO を作成し、ここにリンクします…
- GPO に名前を付けますDisablePrintSpoolerServiceそしてクリックしてくださいわかりました
- を右クリックします。GPOそしてクリックしてください編集
- に移動しますコンピュータの構成 > Windows 設定 > セキュリティ設定 > システム サービス
- ダブルクリックしてくださいプリントスプーラー
- 選択このポリシー設定を定義します
- 選択無効
- クリックわかりました
- 始めるコマンドプロンプトドメインコントローラー上で
- 以下のコマンドを実行して変更をすぐに適用します
gpupdate /force方法 2. サービスマネージャー
サービス マネージャーを使用して Print Spooler サービスを無効にするには、次の手順に従います。
- ドメイン コントローラーにサインインする
- 開けるWindows サービス マネージャー
- 右クリックして、プリントスプーラーサービス
- をクリックしてくださいプロパティ
- スタートアップの種類を次のように変更します。無効
- クリック停止サービスステータスの下で
- クリックわかりました
方法 3. PowerShell
PowerShell を使用してプリンター スプーラー サービスを無効にするには、次の手順に従います。
- ドメイン コントローラーにサインインする
- 始めるWindows PowerShell
- を実行します。スクリプト下に
# Stop the Print Spooler service
Stop-Service -Name Spooler
# Disable the Print Spooler service
Set-Service -Name Spooler -StartupType Disabledすべてのドメイン コントローラーでこれを無効にする場合は、以下のスクリプトを実行します。
# Retrieve all domain controllers in current domain
$DCs = Get-ADDomainController -Filter * | Select-Object -ExpandProperty HostName
# Loop through each domain controller
foreach ($DC in $DCs) {
# Connect to remote domain controller
$Session = New-PSSession -ComputerName $DC
# Stop Print Spooler service
Invoke-Command -Session $Session -ScriptBlock { Stop-Service -Name Spooler }
# Disable Print Spooler service
Invoke-Command -Session $Session -ScriptBlock { Set-Service -Name Spooler -StartupType Disabled }
# Close remote session
Remove-PSSession -Session $Session
}それでおしまい!
結論
ドメイン コントローラーで印刷スプーラー サービスを無効にする方法を学習しました。すべてのドメイン コントローラーでこれを行うことが重要です。プリンターがドメイン コントローラーにインストールされ共有されている場合は、まずプリンターを別のサーバーに移動します。その後、プリンターを削除し、印刷スプーラーを無効にします。印刷スプーラーを無効にすると、ユーザーは印刷できなくなります。
この記事は楽しかったですか? 「グループ ポリシーを使用して Microsoft Office を管理する」も気に入っていただけるでしょう。ぜひフォローしてこの記事をシェアしてください。
![OPPO を Mac にバックアップする 4 つの実証済みの方法 [実証済み]](https://elsefix.com/statics/image/placeholder.png)
