Mappage imprimante : GPO et Script

Intro

Lors de la mise en place d’un annuaire Active Directory, l’une des choses que l’on souhaite mettre en place automatiquement est le mappage des imprimantes aux utilisateurs.

Prérequis :

Comme pour le mappage des lecteurs réseaux, je vais présenter deux façons de faire, la première à l’aide des stratégies de groupe (GPO) et à l’aide d’un script vbs qui doit s’exécuter à l’ouverture de session.

Mapper une imprimante par GPO

1. Ouvrir l’éditeur de stratégie de groupe sur un contrôleur de domaine.

mappage imprimante : ouvrir le gestionnaire de stratégie

2. Créer une nouvelle stratégie, faire un clic droit sur le nom domaine 1 ou sur une unité d’organisation et cliquer sur Créer un objet GPO dans ce domaine, et lier ici 2.

Mappage imprimante : nouvelle stratégie

3. Nommer la stratégie 1 et cliquer sur OK 2.

Nom de la stratégie

4. Modifier la stratégie, sélectionner la 1, faire un clic droit dessus et cliquer sur Modifier … 2.

Edition de la stratégie

5. Aller sur Configuration utilisateur > Préférences > Paramètres Windows > Imprimantes 1 et faire un clic droit Nouveau 2 > Imprimante partagée 3.

Stratégie imprimantes au niveau utilisateur

6. Entrer le chemin du partage 1 sous la forme \\SERVEUR\NOM_DU_PARTAGE_DE_L_IMPRIMANTE. Aller sur l’onglet Commun 2.

Chemin du partage

7. Facultatif : cocher la case Exécuter dans le contexte de sécurité de l’utilisateur connecté A. Appuyer sur le bouton Appliquer 1 puis OK 2.

Contexte utilisateur

8. L’imprimante 1 est ajoutée à la stratégie.

Imprimantes liste

9. Retourner sur la console des stratégies, sélectionner la stratégie 1, aller sur l’onglet Paramétrés 2, les détails devraient être visibles 3.

Résumé des parametres

Limiter le mappage de l’imprimante à un groupe

Dans cette partie nous allons voir comment limiter le mappage d’une imprimante à un groupe utilisateur à l’aide du Ciblage au niveau de l’élément.

Cette restriction ne change pas les droits d’impression, il sera toujours possible de monter l’imprimante à l’aide de l’explorateur Windows.

1. Dans la console Utilisateurs et ordinateurs Active Directory, ajouter un groupe si cela n’est pas déjà fait. Donner un nom explicite au groupe 1 et cliquer sur OK 2. Ensuite ajouter les utilisateurs dedans.

Groupe utilisateur pour le ciblage

2. Retourner sur la stratégie de votre imprimante 1 au niveau de la déclaration, faite un clic droit dessus et aller sur Propriétés 2.

Modification de l'imprimante

3. Aller sur l’onglet Commun, cocher la case Ciblage au niveau de l’élément 1 et appuyer sur le bouton Ciblage… 2.

Activation du ciblage

4. Cliquer sur Nouvel élément 1 puis Groupe de sécurité 2.

Selection de l'élément groupe de securité

5. Cliquer sur le bouton … 1.

Parcours de l'active directory

6. Entrer le nom du groupe 1, cliquer sur Vérifier les noms 2 pour valider la saisie puis sur OK 3.

Selection du groupe

7. Vérifier la prise en compte du groupe 1 et cliquer sur OK 2.

Vérification de la prise en compte

8. Cliquer sur Appliquer 1 et sur OK 2.

Validation des paramètres

9. Retourner sur la console de stratégies de groupe, sélectionner la GPO 1, aller sur l’onglet Paramètres 2 et vérifier les paramètres de ciblages soient bien présent 3.

Aperçu des paramètres

Si les paramètres ne sont pas à jour, faire un clic droit dans la zone et actualiser.

Mapper une imprimante par script

1. Créer un nouveau fichier texte avec vbs.

2. Éditer le fichier (Notepad++, bloc notes…) et ajouter les codes ci-dessous :

' En cas d erreur le script continu 
On error resume next 

' Declaration des variables 
Dim WshNetwork 

' Declaration des objets 
Set WshNetwork = WScript.CreateObject("WScript.Network")

' Mappage de l imprimante
WshNetwork.AddWindowsPrinterConnection "\\SRV-IMP\COPIEUR-ETAGE"

3. Ajouter le script à l’ouverture de session pour effectuer le mappage de l’imprimante.

Limiter le mappage de l’imprimante à un groupe Active Directory

Comme pour la GPO, nous allons maintenant modifier le script pour limiter le mappage de l’imprimante au groupe Grp_IMP_Copieur_Etage.

1. Éditer le fichier avec le code ci-après :

' En cas d erreur le script continu 
On error resume next 

' Declaration des variables 
Dim WshNetwork 

' Declaration des objets 
Set WshNetwork = WScript.CreateObject("WScript.Network")

' Mappage de l imprimante
If isMember("Grp_IMP_Copieur_Etage") Then
	WshNetwork.AddWindowsPrinterConnection "\\SRV-IMP\COPIEUR-ETAGE"
End If

'#####################################################
'	Functions secondaires
'#####################################################
Function IsMember(groupName)
    If IsEmpty(groupListD) then
        Set groupListD = CreateObject("Scripting.Dictionary")
        groupListD.CompareMode = 1
        ADSPath = EnvString("userdomain") & "/" & EnvString("username")
        Set userPath = GetObject("WinNT://" &; ADSPath & ",user")
        For Each listGroup in userPath.Groups
            groupListD.Add listGroup.Name, "-"
        Next
    End if
    IsMember = CBool(groupListD.Exists(groupName))
End Function

 Function EnvString(variable)     
     variable = "%" & variable & "%"
     EnvString = oShell.ExpandEnvironmentStrings(variable)
 End Function

Comme on peut le voir, deux fonctions ont été ajoutées à la fin du code, qui permettent la vérification de l’appartenance au groupe de l’utilisateur connecté. Le mappage de l’imprimante est maintenant soumit à condition (if).

Problèmes et Solutions

Si les imprimantes ne remontent pas correctement ceci peut être dû à plusieurs raisons.

La principale est liée à un risque de sécurité, il faut désactiver le paramètre Restrictions Pointer et imprimer ou configurer le(s) serveur(s) autorisé(s) pour l’impression et l’installation des pilotes.

S’il y a des postes en 32bits, il faut installer également les drivers dans cette version.

Dans le cadre d’un serveur RDS, les non-administrateurs ne sont pas autorisés à installer des drivers.

Désactiver Restriction Pointer et imprimer

Le paramètre se trouve dans Configuration ordinateur et Configuration utilisateur, en fonction du contexte d’application, il faut désactiver à un ou plusieurs endroits.

Si vous avez coché la case « Exécuter dans le contexte de sécurité de l’utilisateur connecté », la GPO est appliqué dans le contexte utilisateur. Les scripts d’ouverture de session sont également exécuter dans le contexte utilisateur.

  • Contexte ordinateur : Configuration ordinateur > Stratégie > Modèles d’administration > Imprimante > Restriction Pointer et imprimer.
  • Contexte utilisateur : Configuration utilisateur > Stratégie > Modèles d’administration > Panneau de configuration > Imprimantes > Imprimante > Restriction Pointer et imprimer.

1. Créer une nouvelle GPO.

2. Aller sur la configuration ordinateur ou utilisateur au niveau paramètre Restriction Pointer et imprimer et doubler cliquer dessus.

3. Cocher Désactiver 1, puis Appliquer 2 et cliquer sur OK 3.

Désactions Restriction Pointer et imprimer

4. Aller sur l’onglet Paramètres de la GPO.

Résumé Restriction Pointer et imprimer

Autoriser les non-administrateurs à installer des pilotes

1. Créer une nouvelle GPO.

2. Aller au paramètre Périphériques empêcher les utilisateurs d’installer des pilotes d’imprimante 1 qui se trouve dans : Configuration ordinateur > Stratégies > Paramètres Windows > Stratégies locales > Option de sécurité.

Accès au paramètre

3. Cocher Définir ce paramètre de stratégie 1, sélectionner Désactiver 2 puis appliquer 3 et cliquer sur OK 4.

Paramètre

4. Aller sur l’onglet Paramètres de la GPO.

Aperçu de la GPO


Related Posts


MDT : exécuter un script PowerShell lors d’un déploiement

Dans ce tutoriel, je vais vous expliquer comment exécuter un script PowerShell (fichier .ps1) lors d'un déploiement avec MDT. Copier le fichier ps1 <<1>> dans le dossier Scripts du dossier

Les rôles FSMO

SommairePrésentation des rôles FSMOMaître d'attribution de noms de domaines Maître de schémaMaître RIDÉmulateur de contrôleur principal de domaine (PDC)Maître infrastructureAfficher les rôles FSMOTran

Active Directory Right Management Services : installation et configuration

AD RMS ( Active Directory Right Management ) est un service Windows Server qui permet une gestion des droits étendus sur certains fichiers. Le système est similaire à la protection DRM qui permet de p

Retour haut de page