打印集中監(jiān)管系統(tǒng)方案

1、局域網(wǎng)中打印機(jī)集中監(jiān)管系統(tǒng)方案中電 33 所第三事業(yè)部目錄1 打印機(jī)信息化監(jiān)管需求 42 Windows 系統(tǒng)下打印機(jī)監(jiān)管技術(shù)分析 42.1 通過(guò)活動(dòng)記錄管控局域網(wǎng)中打印機(jī) 42.2 打印事務(wù)控制 53 Windows 系統(tǒng)下打印機(jī)監(jiān)管技術(shù)方案 63.1 設(shè)計(jì)目標(biāo) 63.2 系統(tǒng)架構(gòu) 73.3 系統(tǒng)基本功能 83.4 詳細(xì)功能 93.4.1 用戶管理 103.4.2 權(quán)限管理 103.4.3 角色管理 103.4.4 權(quán)限控制 103.4.5 登錄認(rèn)證 103.4.6 打印機(jī)管理 113.4.7 打印過(guò)濾 113.4.8 打印監(jiān)控 113.4.9 打印審批 123.4.10 查看打印記錄 12

2、3.4.11 打印控制 12-可編輯修改 -1 打印機(jī)信息化監(jiān)管需求對(duì)于有保密要求的企事業(yè)單位， 由于監(jiān)管的技術(shù)手段不到位， 打印機(jī)成為一 個(gè)信息泄漏源。目前，多數(shù)單位對(duì)打印機(jī)的監(jiān)管還處于人工管理或無(wú)監(jiān)管狀態(tài)， 缺乏有效的信息化監(jiān)管工具，這種狀況存在以下問(wèn)題：不能對(duì)打印人員權(quán)限進(jìn)行認(rèn)證，不能禁止沒有權(quán)限的人員進(jìn)行打印。即 使非內(nèi)部人員打印了機(jī)密文檔也無(wú)法追查，造成涉密文檔的泄密。 不能對(duì)所有打印事務(wù)的相關(guān)信息進(jìn)行及時(shí)登記。 人工登記不能避免管理 漏洞，不能保證打印信息登記的完整和完備，對(duì)以后的打印信息核查、 統(tǒng)計(jì)造成困難。網(wǎng)絡(luò)環(huán)境中的資源共享也給打印機(jī)人工管理造成不便和困難。 不利于控制打印費(fèi)

3、用，容易造成浪費(fèi)現(xiàn)象。為了消除上述打印機(jī)監(jiān)管方面的問(wèn)題和困難， 建立一套行之有效的信息化打 印機(jī)監(jiān)管系統(tǒng)是必要的途徑。2 Windows 系統(tǒng)下打印機(jī)監(jiān)管技術(shù)分析2.1通過(guò)活動(dòng)記錄管控局域網(wǎng)中打印機(jī)在 Windows 2000/2003 中建立打印機(jī)時(shí)，打印機(jī)和活動(dòng)目錄通過(guò)缺省配置 成具有整體性，打印機(jī)將自動(dòng)在活動(dòng)目錄上發(fā)布。對(duì)于不是運(yùn)行 Windows 2000/2003 計(jì)算機(jī)（如 Windows NT 4.0 ）上的打印機(jī)，不能在 AD 中進(jìn)行自動(dòng) 發(fā)布，可利用活動(dòng)目錄管理工具或利用 system32 文件夾中提供的 pubprn.vbs 腳本在活動(dòng)目錄中進(jìn)行手動(dòng)發(fā)布。 發(fā)布打印機(jī)意味著

4、發(fā)布打印隊(duì)列， 活動(dòng)目錄中 的對(duì)象就是打印隊(duì)列。管理人員僅僅通過(guò)改變?nèi)笔√匦詠?lái)管理打印機(jī)?；顒?dòng)目錄允許組織機(jī)構(gòu)按照層次式的、 面向?qū)ο蟮姆绞酱鎯?chǔ)信息， 并且提供 支持分布式網(wǎng)絡(luò)環(huán)境的多主復(fù)制機(jī)制。它使用對(duì)象來(lái)代表諸如用戶、組、主機(jī)、 設(shè)備及應(yīng)用程序這樣的網(wǎng)絡(luò)資源，并使用容器來(lái)代表組織 （如市場(chǎng)部 ）或相關(guān)對(duì)象 的集合 （如打印機(jī) ）。它將信息組織成由這些對(duì)象和容器組成的樹結(jié)構(gòu)。在本 系統(tǒng) 開發(fā) 中需 要用 到的 包括 IADsContainer 、 IADsPrintQueue 、 IADsPrintQueueOperations 、IADsPrintJob 、IADsPrintJobOper

5、ations 等類容器。 2.2 打印事務(wù)控制在打印事務(wù)的具體監(jiān)管中 , 關(guān)鍵是如何提取到每個(gè)打印事務(wù)中打印作業(yè)相 關(guān)的參數(shù)（如頁(yè)數(shù)、用戶名等）等信息，并能夠根據(jù)打印事務(wù)的發(fā)生情況（如事 務(wù)來(lái)臨、完成、正常進(jìn)行、意外終止等）進(jìn)行處理。本文給出一個(gè)解決這些問(wèn)題 的框架，提出用多線程的方法監(jiān)控打印機(jī)打印作業(yè)的發(fā)生情況， 然后通過(guò)消息處 理機(jī)制分別進(jìn)行處理。 由于在 windows 系統(tǒng)中，打印事務(wù)是由 Spooling（ 假脫 機(jī) ） 處理的，所以本文首先介紹 Spooling 框架，然后分析提出監(jiān)控的重點(diǎn)，以 及在試驗(yàn)中要解決的關(guān)鍵問(wèn)題。Windows2000 及其以后版本的打印框架包含打印假脫

6、機(jī)子系統(tǒng)（ pooler ） 和一系列打印驅(qū)動(dòng)程序。通過(guò)調(diào)用與設(shè)備無(wú)關(guān)的 GDI 函數(shù)，應(yīng)用程序可以創(chuàng)建 打印作業(yè)并能把它發(fā)送給激光打印機(jī)、 矢量繪圖儀、 光柵打印機(jī)等不同的輸出設(shè) 備。打印機(jī)驅(qū)動(dòng)包含用戶結(jié)構(gòu)組件 , 允許用戶控制一個(gè)打印機(jī)的設(shè)置項(xiàng)。應(yīng)用程序調(diào)用的 GDI 函數(shù)被發(fā)送給 GDI 圖形引擎 , 圖形引擎把繪圖的 GDI 指令轉(zhuǎn)換為增強(qiáng)圖元文件 （EMF） ，或者由打印驅(qū)動(dòng)協(xié)助生成能夠發(fā)送給假 脫機(jī)子系統(tǒng)的可打印圖像 （ 通常為打印機(jī)控制器能夠識(shí)別的打印機(jī)指令如 PCL） 。假脫機(jī)子系統(tǒng)解析 EMF 文件而且可以在 EMF 中插入頁(yè)面布局信息和作業(yè)控制指令。然后假脫機(jī)子系統(tǒng)把它發(fā)送

7、給串口、并口或網(wǎng)絡(luò)口相連的打印I/O 端口。負(fù)責(zé)打印作業(yè)產(chǎn)生及其管理的關(guān)鍵組件是假脫機(jī)子系統(tǒng)。客戶端中的 winspool.drv 和服務(wù)端共同構(gòu)成了假脫機(jī)的核心組件，共同處理打印任務(wù)。 Spoolsv.exe 是假脫機(jī)子程序服務(wù)器， windows 系統(tǒng)通過(guò)它公開了假脫機(jī)模塊， 與客戶端交 互部分 包含 winspool.drv（ 完 成本 地打印 任務(wù) 處理）和 win32spl.dll（ 完成遠(yuǎn)程打印任務(wù)處理 ） ，該模塊實(shí)現(xiàn)了部分的假脫機(jī)函數(shù) , 但其 余絕大部分假脫機(jī)子函數(shù)借助于 spoolss.dll 交給打印提供者實(shí)現(xiàn)。圖 2 中，格 式轉(zhuǎn)換后的打印作業(yè)文件流經(jīng) spoolsv.

8、exe 組件交給了本地打印提供程序 , 通 過(guò)配置本地打印提供程序可以設(shè)定是否緩存打印文件 （該文件中包含打印作業(yè)的 詳細(xì)信息），最后由監(jiān)視線程交給打印機(jī)。3 Windows 系統(tǒng)下打印機(jī)監(jiān)管技術(shù)方案3.1 設(shè)計(jì)目標(biāo)針對(duì)打印機(jī)監(jiān)管需求， 打印機(jī)監(jiān)控系統(tǒng)是一套能夠?qū)钟蚓W(wǎng)內(nèi)打印機(jī)進(jìn)行打 印監(jiān)控、審核和遠(yuǎn)程控制的軟件系統(tǒng)。其設(shè)計(jì)目標(biāo)如下： 系統(tǒng)提供監(jiān)控整個(gè)局域網(wǎng)內(nèi)所有打印機(jī)的功能， 監(jiān)控過(guò)程中自動(dòng)記錄各 次打印的相關(guān)信息（打印時(shí)間、打印所在機(jī)器名、打印用戶、打印內(nèi)容 圖片和打印紙張數(shù)目等） ； 系統(tǒng)提供查詢打印歷史記錄功能；系統(tǒng)提供打印審批功能； 系統(tǒng)提供根據(jù)打印文檔名中關(guān)鍵詞進(jìn)行過(guò)濾的功能。如：

9、設(shè)置文檔名中包含“技術(shù)”關(guān)鍵詞的文檔打印時(shí)均需要審批；系統(tǒng)提供打印機(jī)遠(yuǎn)程控制功能，包括：是否開啟打印機(jī)監(jiān)控、遠(yuǎn)程暫停 打印機(jī)、遠(yuǎn)程啟動(dòng)打印機(jī)等； 系統(tǒng)提供用戶帳戶登錄驗(yàn)證功能； 系統(tǒng)在用戶進(jìn)行打印時(shí)提示用戶輸入用戶名和密碼進(jìn)行驗(yàn)證， 系統(tǒng)根據(jù) 帳戶權(quán)限決定該用戶發(fā)起的打印請(qǐng)求是否需要審批； 系統(tǒng)提供用戶帳戶管理功能（新建、修改、刪除等） ； 系統(tǒng)提供權(quán)限管理功能，權(quán)限以用戶組為單位進(jìn)行分配，系統(tǒng)能夠修改 用戶組的權(quán)限，且用戶組可以新建、修改和刪除。用戶權(quán)限包括打印權(quán) 限和管理權(quán)限，打印權(quán)限包括有效打印日期范圍、一次打印最大頁(yè)數(shù)、 總共打印最大頁(yè)數(shù)和可打印次數(shù)等參數(shù)； 管理權(quán)限是指對(duì)系統(tǒng)管理軟件

10、 的操作權(quán)限，其包括：用戶管理權(quán)限、權(quán)限管理權(quán)限、查看打印記錄權(quán) 限、打印審批權(quán)限、遠(yuǎn)程打印機(jī)控制權(quán)限等。具有不同管理權(quán)限的用戶 登錄系統(tǒng)后要根據(jù)其權(quán)限在圖形界面上開啟和禁用相關(guān)功能； 系統(tǒng)提供友好的圖形用戶界面；系統(tǒng)能夠運(yùn)行在 Windows XP 以上版本的 Windows 操作系統(tǒng)上；3.2 系統(tǒng)架構(gòu)為了對(duì)局域網(wǎng)內(nèi)的打印機(jī)進(jìn)行集中式監(jiān)管，系統(tǒng)采用 C/S 架構(gòu)，使用打印 功能的計(jì)算機(jī)都要安裝監(jiān)管客戶端，監(jiān)管客戶端通過(guò)局域網(wǎng)與監(jiān)管服務(wù)器通信。 系統(tǒng)基本架構(gòu)如圖 3-1 。圖3-1局域網(wǎng)打印機(jī)集中監(jiān)管系統(tǒng)架構(gòu)通過(guò)該架構(gòu)，實(shí)現(xiàn)中心服務(wù)器對(duì)打印機(jī)的監(jiān)管，具體實(shí)現(xiàn)：1）監(jiān)管客戶端要求用戶先登錄再打

11、印，未登錄該系統(tǒng)的計(jì)算機(jī)被禁止打印 服務(wù)；登錄該系統(tǒng)的打印機(jī)允許使用打印服務(wù)。2）用戶登錄系統(tǒng)并進(jìn)行打印的過(guò)程中，監(jiān)管客戶端將用戶信息、打印的文 件信息傳回服務(wù)器，由服務(wù)器錄入數(shù)據(jù)庫(kù)，以備后續(xù)審計(jì)。3）監(jiān)管服務(wù)器接收監(jiān)管客戶端發(fā)來(lái)的用戶登錄信息，并進(jìn)行驗(yàn)證。驗(yàn)證通 過(guò)后通知監(jiān)管客戶端開啟打印服務(wù)。3.3系統(tǒng)基本功能基于前面的技術(shù)分析，建立局域網(wǎng)環(huán)境中的打印機(jī)監(jiān)管系統(tǒng)方案。 本系統(tǒng)的 主要任務(wù)是對(duì)企事業(yè)單位局域網(wǎng)內(nèi)部的共享打印機(jī)進(jìn)行管理。 要實(shí)現(xiàn)的功能基本 上分為幾部分：1）首先，用戶打印時(shí)需要注冊(cè)，沒有注冊(cè)的用戶無(wú)權(quán)進(jìn)行打印，如果系統(tǒng) 檢測(cè)到是非法用戶，將會(huì)自動(dòng)刪除打印任務(wù)，并記錄打印日志；2

12、）對(duì)合法用戶，系統(tǒng)不作任何的提示，但不論是打印成功還是不成功均會(huì) 以日志的形式被記錄進(jìn)數(shù)據(jù)庫(kù)中3）系統(tǒng)提供對(duì)打印記錄的遠(yuǎn)程查詢，通過(guò)網(wǎng)絡(luò)用戶可以方便地對(duì)打印日志記錄進(jìn)行查詢。管理員還可以遠(yuǎn)程地對(duì)打印戶進(jìn)行管理。 對(duì)打印機(jī)的管理提供了極 大的方便。3.4詳細(xì)功能系統(tǒng)功能詳細(xì)設(shè)計(jì)如圖 3-2所示。攔截打印請(qǐng)求打印機(jī)監(jiān)管系統(tǒng)記錄打印請(qǐng)求修改過(guò)濾規(guī)則刪除過(guò)濾規(guī)則遠(yuǎn)程禁止打印遠(yuǎn)程開啟打印-可編輯修改-圖3-2局域網(wǎng)打印機(jī)集中監(jiān)管系統(tǒng)功能圖341用戶管理用戶管理是指系統(tǒng)具有新建、修改和刪除用戶帳戶的功能。用戶通過(guò)客戶端管理 軟件進(jìn)行用戶管理的相關(guān)操作。3.4.2 權(quán)限管理權(quán)限管理包括角色管理和權(quán)限控制。角

13、色代表一個(gè)權(quán)限集合，通過(guò)將用戶帳戶賦 予角色實(shí)現(xiàn)對(duì)用戶帳戶權(quán)限的管理。3.4.3 角色管理角色管理是指系統(tǒng)具有新建、修改和刪除角色的功能。系統(tǒng)初始角色包括：系統(tǒng) 管理員、打印管理員和普通用戶。系統(tǒng)管理員：系統(tǒng)管理員具有系統(tǒng)的所有權(quán)限，包 括對(duì)任意文檔的無(wú)限制打印權(quán)限和對(duì)系統(tǒng)的所有管理權(quán)限。打印管理員：打印管理員 具有對(duì)任意文檔的無(wú)限制打印權(quán)限，但是其具有受限的管理權(quán)限，不能進(jìn)行用戶管理、 權(quán)限管理、打印過(guò)濾、打印審批和打印控制等功能。普通用戶：普通用戶不具有打印 權(quán)限且只具有受限的管理權(quán)限。3.4.4 權(quán)限控制權(quán)限控制是指通過(guò)為用戶帳戶指定角色來(lái)設(shè)置其權(quán)限以及通過(guò)開啟和禁用軟件相 關(guān)功能實(shí)現(xiàn)用

14、戶的權(quán)限控制。用戶的權(quán)限控制精確到菜單項(xiàng)和按鈕級(jí)別。3.4.5 登錄認(rèn)證登錄認(rèn)證包括打印登錄認(rèn)證和客戶端管理軟件登錄認(rèn)證。（1）打印登錄認(rèn)證是指 用戶在發(fā)起打印請(qǐng)求時(shí)需要輸入帳戶信息，系統(tǒng)根據(jù)帳戶的打印權(quán)限以及過(guò)濾規(guī)則確 定該文檔直接進(jìn)行打印或者發(fā)起審批流程。（2）客戶端管理軟件登錄認(rèn)證是指用戶登 錄客戶端管理軟件時(shí)需要提供帳戶信息，系統(tǒng)根據(jù)帳戶的管理權(quán)限開啟和禁用管理軟 件中的相關(guān)功能。3.4.6打印機(jī)管理由于客戶端管理軟件不能自動(dòng)獲得網(wǎng)絡(luò)內(nèi)待管理的打印機(jī)，因此軟件提供了打印 機(jī)管理功能。管理用戶通過(guò)客戶端管理軟件向系統(tǒng)注冊(cè)、刪除、修改待管理的打印幾打印機(jī)通 過(guò)與其相連接的計(jì)算機(jī)IP地址進(jìn)行

15、定位。一旦打印機(jī)在系統(tǒng)中注冊(cè)，各客戶端均能獲 得打印機(jī)列表。3.4.7 打印過(guò)濾打印過(guò)濾是指系統(tǒng)具有根據(jù)關(guān)鍵詞對(duì)打印文檔進(jìn)行過(guò)濾的功能，具體為若指定的 關(guān)鍵詞在待打印文檔名稱中出現(xiàn)則攔截該文檔打印請(qǐng)求并啟動(dòng)打印審批流程否則該文 檔直接打印。例如：關(guān)鍵詞“技術(shù)”在待打印文檔技術(shù)xx”中出現(xiàn)則攔截該文檔打印請(qǐng) 求并啟動(dòng)審批流程。一個(gè)過(guò)濾規(guī)則可應(yīng)用于多個(gè)用戶帳戶。3.4.8 打印監(jiān)控打印監(jiān)控是指系統(tǒng)具有顯示被監(jiān)控打印機(jī)狀態(tài)及攔截該打印機(jī)上用戶打印請(qǐng)求的 功能。系統(tǒng)通過(guò)安裝在與打印機(jī)連接的 PC機(jī)上的虛擬打印機(jī)及監(jiān)控服務(wù)實(shí)現(xiàn)對(duì) 打印機(jī)的監(jiān)控功能，提供打印機(jī)狀態(tài)查詢接口并攔截打印請(qǐng)求，記錄打印請(qǐng)求的 打印時(shí)間、打印所在機(jī)器名、打印用戶、打印內(nèi)容圖片和打印紙張數(shù)目等參數(shù)并 保存至數(shù)據(jù)庫(kù)。打印攔截時(shí)考慮用戶的打印權(quán)限以及應(yīng)用于該用戶的過(guò)濾規(guī)則， 若用戶具有對(duì)該打印文檔的打印權(quán)限且該文檔沒有被該用戶的過(guò)濾規(guī)則過(guò)濾則 系統(tǒng)不進(jìn)行攔截。系統(tǒng)通過(guò)客戶端管理軟件查看被監(jiān)控打印機(jī)列表、打印機(jī)狀態(tài)、 打印請(qǐng)求及內(nèi)容并進(jìn)行審批操作3.4.9 打印審批打印審批是指系統(tǒng)具有對(duì)攔截到的打印請(qǐng)求進(jìn)行審批的功能。 審批用戶通過(guò)查看打印請(qǐng)求的相關(guān)信息（包括：打印時(shí)間、打印所在機(jī)器名、打印用戶、打印 內(nèi)容圖片和打印紙張數(shù)目等）決定是否允許該打印請(qǐng)求或者拒絕打