Por defecto Microsoft tiene un grupo que se llama "Operadores de impresión" a mi gusto con demasiados privilegios.
"Los miembros de este grupo pueden administrar, crear, compartir y eliminar impresoras que están conectadas a los controladores del dominio. También pueden administrar objetos de impresora de Active Directory en el dominio. Los miembros de este grupo pueden iniciar la sesión de forma local en los controladores del dominio y apagarlos. Este grupo no tiene ningún miembro predeterminado. Puesto que los miembros de este grupo pueden cargar y descargar controladores de dispositivos en todos los controladores del dominio, agregue los usuarios con cautela."
"Permitir el inicio de sesión local; Apagar el sistema."
Para limitar estos privilegios, que creo excesivos, he hecho lo siguiente:
Creo un grupo que se llama "PRN Operador TMP" y lo hago miembro de "Opers. Impresión"
En el nuevo grupo "PRN Operador TMP" añado al usuario "usr1" que es usuario que le concederemos los nuevos privilegios.
En la OU donde tengo el Servidor de impresión creo una GPO nueva, en este caso se llama "Test Impresion"
La edito con la siguiente configuración de GPO, denegando los siguientes derechos que ha heredado del grupo "Operadores de impresión"
Con lo que evitamos que acceda al servidor.
Ahora nos quedaría evitar que tenga el privilegio de instalarnos un driver:
Esta directiva no incluye a los administradores
Para gestionar las impresora tiene que poner \\nombre_del_servidor-> "Impresoras y faxes"
Y en Impresoras y Faxes ya tienes el control que buscábamos.
El comportamiento en Windows 2008 es diferente!!