Home Cómo deshabilitar la cola de impresión en el controlador de dominio

Cómo deshabilitar la cola de impresión en el controlador de dominio

Muchas organizaciones instalan y comparten impresoras en Windows Server. No hay nada malo en eso. Es una excelente manera de mantener y distribuir impresoras. El único problema es que no debes instalar impresoras en los controladores de dominio por razones de seguridad. En este artículo, aprenderá cómo desactivar la cola de impresión en un controlador de dominio.

¿Qué es un servicio de cola de impresión?

Print Spooler es un servicio de software que gestiona los procesos de impresión. La cola de impresión acepta trabajos de impresión desde computadoras y garantiza que los recursos de la impresora estén disponibles. La cola de impresión también programa el orden en que se envían los trabajos de impresión a la cola de impresión para su impresión. En los primeros días de las computadoras personales, los usuarios tenían que esperar hasta que se imprimieran los archivos antes de realizar otras acciones. Gracias a las modernas colas de impresión, la impresión ahora tiene un impacto mínimo en la productividad general del usuario.

El riesgo del servicio Print Spooler en los controladores de dominio

Aunque parezca inofensivo, cualquier usuario autenticado puede conectarse de forma remota al servicio de cola de impresión de un controlador de dominio y solicitar una actualización sobre nuevos trabajos de impresión. Además, los usuarios pueden indicarle al controlador de dominio que envíe la notificación al sistema con delegación sin restricciones. Estas acciones prueban la conexión y exponen la credencial de la cuenta de la computadora del controlador de dominio (la cola de impresión es propiedad del SISTEMA).

Debido a la posibilidad de exposición, los controladores de dominio y los sistemas de administración de Active Directory deben tener el servicio de cola de impresión deshabilitado. La forma recomendada de hacerlo es utilizar un objeto de política de grupo (GPO).

Nota:Se recomienda deshabilitar la cola de impresión en todos los controladores de dominio.

Nota:Deshabilitar el servicio Print Spooler en el controlador de dominio significa que los usuarios no pueden imprimir en las impresoras instaladas en los controladores de dominio. Debe utilizar un servidor de impresión dedicado o instalar la impresora en otro servidor.

Informe de auditoría de seguridad de Active Directory

Así es como se ve cuando ejecutamos un informe de auditoría de seguridad de Active Directory mientras el administrador de trabajos de impresión está habilitado en el controlador de dominio.

El indicador de seguridad muestra:

Durante junio-julio de 2021, se encontraron varias fallas críticas en los servicios de Print Spooler de Windows que afectan directamente a Print Spoolers en los controladores de dominio, lo que permite la ejecución remota de código:

En nuestro ejemplo, dos controladores de dominio tienen habilitada la cola de impresión.

Después de deshabilitar el servicio Print Spooler con uno de los métodos siguientes, ejecutamos nuevamente la Evaluación de seguridad de Active Directory y así es como se ve.

Todo se ve bien.

Existen diferentes métodos para desactivar el servicio Print Spooler. Siga el método que sea más relevante para su organización. Sin embargo, el primer método, el GPO, es el método recomendado.

Método 1. Objeto de política de grupo (GPO)

Para deshabilitar la cola de impresión usando GPO, siga estos pasos:

  1. Iniciar sesión en el controlador de dominio
  2. AbiertoGestión de políticas de grupo
  1. Haga clic derecho en elUnidad organizativa de controladores de dominio
  2. SeleccionarCree un GPO en este dominio y vincúlelo aquí...
  1. Nombra el GPODeshabilitar el servicio PrintSpoolery haga clicDE ACUERDO
  1. Haga clic derecho en elGPOy haga clicEditar
  1. Navegar aConfiguración de la computadora> Configuración de Windows> Configuración de seguridad> Servicios del sistema
  2. Haga doble clic enCola de impresión
  1. SeleccionarDefinir esta configuración de política
  2. SeleccionarDesactivado
  3. Hacer clicDE ACUERDO
  1. ComenzarSímbolo del sistemaen el controlador de dominio
  2. Ejecute el siguiente comando para aplicar los cambios inmediatamente
gpupdate /force

Método 2. Administrador de servicios

Para deshabilitar el servicio Print Spooler usando el Administrador de servicios, siga estos pasos:

  1. Iniciar sesión en el controlador de dominio
  2. AbiertoAdministrador de servicios de Windows
  1. Haga clic derecho enCola de impresiónservicio
  2. Hacer clic enPropiedades
  1. Cambie el tipo de inicio aDesactivado
  2. Hacer clicDetenerbajo el estado del servicio
  3. Hacer clicDE ACUERDO

Método 3. PowerShell

Para deshabilitar el servicio de cola de impresión mediante PowerShell, siga estos pasos:

  1. Iniciar sesión en el controlador de dominio
  2. ComenzarWindowsPowerShell
  3. Ejecute elguionabajo
# Stop the Print Spooler service
Stop-Service -Name Spooler

# Disable the Print Spooler service
Set-Service -Name Spooler -StartupType Disabled

Si desea desactivarlo en todos los controladores de dominio, ejecute el siguiente script.

# Retrieve all domain controllers in current domain
$DCs = Get-ADDomainController -Filter * | Select-Object -ExpandProperty HostName

# Loop through each domain controller
foreach ($DC in $DCs) {
    # Connect to remote domain controller
    $Session = New-PSSession -ComputerName $DC

    # Stop Print Spooler service
    Invoke-Command -Session $Session -ScriptBlock { Stop-Service -Name Spooler }

    # Disable Print Spooler service
    Invoke-Command -Session $Session -ScriptBlock { Set-Service -Name Spooler -StartupType Disabled }

    # Close remote session
    Remove-PSSession -Session $Session
}

¡Eso es todo!

Conclusión

Aprendió a deshabilitar el servicio Print Spooler en un controlador de dominio. Es fundamental hacer esto en todos los controladores de dominio. Si hay impresoras instaladas y compartidas en el controlador de dominio, muévalas primero a otro servidor. Después de eso, retire las impresoras y desactive la cola de impresión. Una vez que deshabilita la cola de impresión, el usuario ya no podrá imprimir.

¿Disfrutaste este artículo? También te puede interesar Administrar Microsoft Office con política de grupo. No olvides seguirnos y compartir este artículo.

Más lectura:Cómo deshabilitar la caducidad de la contraseña en el controlador de dominio de Windows Server 2008

Related Posts

Cómo borrar los archivos recientes en Windows 10 Explorer

Cómo borrar los archivos recientes en Windows 10 Explorer

2025-04-30
9 Métodos sin traque: omitir el código de contraseña del tiempo de pantalla en iPhone/iPad sin contraseña

9 Métodos sin traque: omitir el código de contraseña del tiempo de pantalla en iPhone/iPad sin contraseña

2025-04-30
Estrabas comunes de eBay: cómo detectarlas y prevenirlas

Estrabas comunes de eBay: cómo detectarlas y prevenirlas

2024-09-12
Cómo forzar reiniciar cualquier iPhone/iPad

Cómo forzar reiniciar cualquier iPhone/iPad

2025-04-30
25 cosas que hacer en Canggu que te harán querer quedarte en Bali ... para siempre ...

25 cosas que hacer en Canggu que te harán querer quedarte en Bali ... para siempre ...

2025-05-17
iPhone 17 demuestra su valía, enviando a Apple Stock a la pista

iPhone 17 demuestra su valía, enviando a Apple Stock a la pista

2025-09-23
Cómo reparar el código de error 0x0 0x0 en una PC con Windows

Cómo reparar el código de error 0x0 0x0 en una PC con Windows

2024-01-08
Cómo descifrar el archivo ZIPX protegido con Passowrd con GPU

Cómo descifrar el archivo ZIPX protegido con Passowrd con GPU

2025-05-07
Inteligencia artificial

Inteligencia artificial

2025-01-20
Dónde encontrar el plano de Combat Mk.3 (flanqueo) Arc Raiders: guía de ubicación y uso

Dónde encontrar el plano de Combat Mk.3 (flanqueo) Arc Raiders: guía de ubicación y uso

2025-11-10
Cómo instalar tu propio UniFi Cloud Controller

Cómo instalar tu propio UniFi Cloud Controller

2023-07-04
Arreglar el permiso de GCLOUD CLI Denegado Error al mover el proyecto entre las organizaciones

Arreglar el permiso de GCLOUD CLI Denegado Error al mover el proyecto entre las organizaciones

2025-05-06
Eliminar ONEDRive de la barra lateral del explorador de archivos

Eliminar ONEDRive de la barra lateral del explorador de archivos

2025-04-28
Artículos de oficina

Artículos de oficina

2025-01-04
Probador de teclado

Probador de teclado

2025-03-15