Lors de la mise en place d’un annuaire Active Directory, l’une des choses que l’on souhaite mettre en place automatiquement est le mappage des imprimantes aux utilisateurs.
Prérequis :
- Avoir un serveur avec le rôle Service d’impression (facultatif). Il est possible de partager une imprimante depuis le panneau de configuration.
- Avoir une ou plusieurs imprimantes partagées.
Comme pour le mappage des lecteurs réseaux, je vais présenter deux façons de faire, la première à l’aide des stratégies de groupe (GPO) et à l’aide d’un script vbs qui doit s’exécuter à l’ouverture de session.
Mapper une imprimante par GPO
1. Ouvrir l’éditeur de stratégie de groupe sur un contrôleur de domaine.
2. Créer une nouvelle stratégie, faire un clic droit sur le nom domaine 1 ou sur une unité d’organisation et cliquer sur Créer un objet GPO dans ce domaine, et lier ici 2.
3. Nommer la stratégie 1 et cliquer sur OK 2.
4. Modifier la stratégie, sélectionner la 1, faire un clic droit dessus et cliquer sur Modifier … 2.
5. Aller sur Configuration utilisateur > Préférences > Paramètres Windows > Imprimantes 1 et faire un clic droit Nouveau 2 > Imprimante partagée 3.
6. Entrer le chemin du partage 1 sous la forme \\SERVEUR\NOM_DU_PARTAGE_DE_L_IMPRIMANTE. Aller sur l’onglet Commun 2.
7. Facultatif : cocher la case Exécuter dans le contexte de sécurité de l’utilisateur connecté A. Appuyer sur le bouton Appliquer 1 puis OK 2.
8. L’imprimante 1 est ajoutée à la stratégie.
9. Retourner sur la console des stratégies, sélectionner la stratégie 1, aller sur l’onglet Paramétrés 2, les détails devraient être visibles 3.
Limiter le mappage de l’imprimante à un groupe
Dans cette partie nous allons voir comment limiter le mappage d’une imprimante à un groupe utilisateur à l’aide du Ciblage au niveau de l’élément.
Cette restriction ne change pas les droits d’impression, il sera toujours possible de monter l’imprimante à l’aide de l’explorateur Windows.
1. Dans la console Utilisateurs et ordinateurs Active Directory, ajouter un groupe si cela n’est pas déjà fait. Donner un nom explicite au groupe 1 et cliquer sur OK 2. Ensuite ajouter les utilisateurs dedans.
2. Retourner sur la stratégie de votre imprimante 1 au niveau de la déclaration, faite un clic droit dessus et aller sur Propriétés 2.
3. Aller sur l’onglet Commun, cocher la case Ciblage au niveau de l’élément 1 et appuyer sur le bouton Ciblage… 2.
4. Cliquer sur Nouvel élément 1 puis Groupe de sécurité 2.
5. Cliquer sur le bouton … 1.
6. Entrer le nom du groupe 1, cliquer sur Vérifier les noms 2 pour valider la saisie puis sur OK 3.
7. Vérifier la prise en compte du groupe 1 et cliquer sur OK 2.
8. Cliquer sur Appliquer 1 et sur OK 2.
9. Retourner sur la console de stratégies de groupe, sélectionner la GPO 1, aller sur l’onglet Paramètres 2 et vérifier les paramètres de ciblages soient bien présent 3.
Si les paramètres ne sont pas à jour, faire un clic droit dans la zone et actualiser.
Mapper une imprimante par script
Avertissement
Dans les prochaines version de Windows 11, le langage VBS va devenir une fonctionnalité facultative car le langage VBS est maintenant déprécié.
Vous trouverez dans l’article suivant : Script d’ouverture de session (Logon Script) en PowerShell, un exemple de script écrit en PowerShell.
Source : Resources for deprecated features
1. Créer un nouveau fichier texte avec vbs.
2. Éditer le fichier (Notepad++, bloc notes…) et ajouter les codes ci-dessous :
3. Ajouter le script à l’ouverture de session pour effectuer le mappage de l’imprimante.
Limiter le mappage de l’imprimante à un groupe Active Directory
Comme pour la GPO, nous allons maintenant modifier le script pour limiter le mappage de l’imprimante au groupe Grp_IMP_Copieur_Etage.
1. Éditer le fichier avec le code ci-après :
Comme on peut le voir, deux fonctions ont été ajoutées à la fin du code, qui permettent la vérification de l’appartenance au groupe de l’utilisateur connecté. Le mappage de l’imprimante est maintenant soumit à condition (if).
Problèmes et Solutions
Si les imprimantes ne remontent pas correctement ceci peut être dû à plusieurs raisons.
La principale est liée à un risque de sécurité, il faut désactiver le paramètre Restrictions Pointer et imprimer ou configurer le(s) serveur(s) autorisé(s) pour l’impression et l’installation des pilotes.
S’il y a des postes en 32bits, il faut installer également les drivers dans cette version.
Dans le cadre d’un serveur RDS, les non-administrateurs ne sont pas autorisés à installer des drivers.
Désactiver Restriction Pointer et imprimer
Le paramètre se trouve dans Configuration ordinateur et Configuration utilisateur, en fonction du contexte d’application, il faut désactiver à un ou plusieurs endroits.
Si vous avez coché la case « Exécuter dans le contexte de sécurité de l’utilisateur connecté », la GPO est appliqué dans le contexte utilisateur. Les scripts d’ouverture de session sont également exécuter dans le contexte utilisateur.
- Contexte ordinateur : Configuration ordinateur > Stratégie > Modèles d’administration > Imprimante > Restriction Pointer et imprimer.
- Contexte utilisateur : Configuration utilisateur > Stratégie > Modèles d’administration > Panneau de configuration > Imprimantes > Imprimante > Restriction Pointer et imprimer.
1. Créer une nouvelle GPO.
2. Aller sur la configuration ordinateur ou utilisateur au niveau paramètre Restriction Pointer et imprimer et doubler cliquer dessus.
3. Cocher Désactiver 1, puis Appliquer 2 et cliquer sur OK 3.
4. Aller sur l’onglet Paramètres de la GPO.
Autoriser les non-administrateurs à installer des pilotes
1. Créer une nouvelle GPO.
2. Aller au paramètre Périphériques empêcher les utilisateurs d’installer des pilotes d’imprimante 1 qui se trouve dans : Configuration ordinateur > Stratégies > Paramètres Windows > Stratégies locales > Option de sécurité.
3. Cocher Définir ce paramètre de stratégie 1, sélectionner Désactiver 2 puis appliquer 3 et cliquer sur OK 4.
4. Aller sur l’onglet Paramètres de la GPO.