IT-Connect

Windows : comment installer une imprimante par GPO ?

mardi 3 mai 2022 à 17:00

I. Présentation

L'installation des imprimantes sur les postes de travail, par l'intermédiaire de stratégie de groupe (GPO), c'est un grand classique et un besoin fréquent en entreprise ! Dans ce tutoriel, nous allons apprendre à déployer des imprimantes par GPO sur des machines Windows, que ce soit du Windows 10, du Windows 11 ou pourquoi pas un Windows Server.

Grâce aux stratégies de groupe, nous allons pouvoir installer l'imprimante à tous les utilisateurs appartenant à une unité d'organisation spécifique au niveau de l'annuaire Active Directory, voire même, installer l'imprimante A aux utilisateurs membres du groupe de sécurité A, et l'imprimante B aux utilisateurs membres du groupe de sécurité B. Les besoins et scénarios sont nombreux et les GPO vont permettre de répondre à ces différents cas de figure.

Je pars du principe que votre serveur d'impression est déjà en place, et que vous avez déjà une imprimante prêt à être déployée. Pour ma part, je vais utiliser le serveur d'impression "SRV-ADDS-01" sur lequel est partagée l'imprimante "IMPRIMANTE HP" que je souhaite déployer sur les postes de travail au travers d'une GPO.

Si vous avez besoin d'aide pour mettre en place un serveur d'impression sous Windows Server, suivez ce tutoriel :

Tutoriel - Comment installer un serveur d'impression ?

II. GPO pour autoriser l'installation de pilotes d'imprimantes

Lorsqu'une imprimante est installée sur une machine Windows, le pilote d'impression associé à cette imprimante doit également être installé. Sinon, le système d'exploitation n'est pas en mesure de prendre en charge correctement l'imprimante, et notamment ses différentes fonctionnalités.

Normalement, l'installation des pilotes (appelés également drivers) est réservée aux administrateurs, ou en tout cas, cela nécessite un compte avec des privilèges élevés. Pour que l'on puisse automatiser le déploiement des imprimantes, y compris l'installation des pilotes, il y a des paramètres de GPO spécifiques à mettre en place. C'est d'autant plus vrai depuis que Microsoft a pris la décision de durcir la configuration par défaut, notamment en réponse aux vulnérabilités PrintNightmare.

Pour commencer, nous devons créer une première GPO qui va s'appliquer aux ordinateurs afin d'autoriser l'installation de pilotes pour les utilisateurs non-administrateurs. Pour ma part, je crée une GPO nommée "Impression Config" et je crée une liaison avec l'OU "PC" de mon Active Directory.

A. RestrictDriverInstallationToAdministrators

Par défaut, l'installation de pilotes d'impression nécessite les privilèges d’administrateur, que la clé de Registre "RestrictDriverInstallationToAdministrators" soit non définie ou définie et égale à 1. Bien que ce soit sécurisé, c'est contraignant lorsque l'on souhaite déployer des imprimantes par GPO et que les pilotes ne sont pas présents sur la machine.

Ainsi, pour contourner cette restriction, nous avons plusieurs possibilités :

Saisir les identifiants administrateurs quand le prompt apparaît (UAC) afin d'effectuer l'installation
Inclure les pilotes directement dans l'image système (faisable dans le cadre d'un déploiement avec un système tel que MDT)
Autoriser temporairement les utilisateurs à installer les pilotes d'impression

Nous allons opter pour la troisième solution puisque c'est la solution la plus pratique et la plus universelle, on va dire. Sur les ordinateurs, nous devons déployer la clé de Registre "RestrictDriverInstallationToAdministrators" avec la valeur 0.

Commençons par modifier la GPO "Impression Config" et à parcourir les paramètres de cette façon :

Configuration ordinateur > Préférences > Paramètres Windows > Registre

Ici, effectuez un clic droit : Nouveau > Élément Registre.

Un assistant va s'ouvrir. Nous devons indiquer où créer la valeur dans le registre, avec quel nom et quelle valeur. Utilisez les valeurs suivantes :

Action : Mettre à jour
Ruche : HKEY_LOCAL_MACHINE
Chemin d'accès de la clé : Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint
Nom de valeur : RestrictDriverInstallationToAdministrators
Type de valeur : REG_DWORD
Données de valeur : 00000000
Base : Hexadécimal

En image, cela donne :

RestrictDriverInstallationToAdministrators

Validez, l'élément de Registre est prêt ! Nous pouvons passer à la suite.

Plus d'information sur ce paramètre sur le site de Microsoft

B. Restrictions pointer et imprimer

Toujours dans la même GPO, nous devons configurer trois autres paramètres. En effet, nous venons d'autoriser l'installation de pilotes d'impression, mais il faut que l'on restreigne un peu le périmètre en autorisant uniquement l'installation de pilotes correspondants à un certain type, mais aussi en autorisant uniquement cette action à partir de serveurs approuvés.

Parcourez les paramètres comme ceci :

Configuration ordinateur > Stratégies > Modèles d'administration > Imprimantes

Nous allons configurer les deux paramètres suivants :

Commençons par le paramètre "Restrictions Pointer et imprimer" que vous devez configurer comme ceci :

1 - Cochez l'option "Activé"
2 - Cochez l'option "Les utilisateurs ne peuvent pointer et imprimer que sur ces serveurs"
3 - Indiquez le nom complet du serveur d'impression (vous pouvez indiquer plusieurs noms, séparés par un point-virgule)
4 - Sélectionnez "Ne pas afficher l'avertissement ou l'invite d'élévation" pour que le pilote s'installe silencieusement
5 - Sélectionnez "Ne pas afficher l'avertissement ou l'invite d'élévation" pour que le pilote se mette à jour silencieusement
6 - Cliquez sur "OK" pour valider

Restrictions Pointer et imprimer

Voilà pour ce paramètre, passons au suivant....

C. Autoriser uniquement les serveurs d'impression approuvés

Éditez le paramètre "Pointer et imprimer les packages - Serveurs approuvés", afin de l'activer, (1) puis cliquez sur le bouton "Afficher" afin d'indiquer le nom complet de votre serveur d'impression (3). Une fois que c'est fait, validez (4).

Pointer et imprimer les packages - Serveurs approuvés

Grâce à ces deux paramètres, on approuve et autorise uniquement notre serveur d'impression, ce qui est important.

D. Autoriser uniquement certaines classes de pilotes

Ce dernier paramètre nommé "Autoriser les non-administrateurs à installer des pilotes pour ces classes d'installation de périphériques" peut-être ajoutée à la même GPO, et il se situe à l'emplacement suivant :

Configuration ordinateur > Stratégies > Modèles d'administration > Système > Installation de pilotes

Vous devez l'éditer afin de l'activer (1), puis cliquer sur le bouton "Afficher" (2) pour gérer les classes de pilotes à autoriser. Pour les imprimantes, il y a deux classes à autoriser et à renseigner dans la fenêtre qui s'affiche (3) :

{4658ee7e-f050-11d1-b6bd-00c04fa372a7}
{4d36e979-e325-11ce-bfc1-08002be10318}

Une fois que vous obtenez le même résultat que sur l'image ci-dessous, cliquez sur OK (4).

Avant que les vulnérabilités PrintNightmare soient révélées, ce paramètre suffisait pour autoriser l'installation de pilotes. Désormais, il faut ajouter la valeur dans le Registre que nous avons créé précédemment.

Notre GPO pour configurer les ordinateurs est prête ! Nous pouvons passer à la suite : le déploiement de l'imprimante par GPO !

III. GPO "Préférences" : déployer une imprimante

À titre d'exemple, nous allons déployer l'imprimante "IMPRIMANTE HP" de mon serveur d'impression "SRV-ADDS-01" à tous les utilisateurs membres du groupe "GG-Imprimante-HP". Si vous souhaitez installer l'imprimante à tous les utilisateurs appartenant à une unité d'organisation spécifique, vous n'avez pas à gérer ce groupe de sécurité.

Cette fois-ci, nous allons utiliser une seconde GPO qui s'appliquera à des objets "utilisateurs". Pour ma part, ce sera sur l'unité d'organisation "Personnel".

A. Déployer l'imprimante partagée

Pour déployer une imprimante partagée sur un serveur d'impression, il faut accéder à :

Configuration utilisateur > Préférences > Paramètres du Panneau de configuration

Ensuite, il faut effectuer un clic droit : Nouveau > Imprimante partagée.

Un assistant s'ouvre... La première étape consiste à rechercher l'imprimante partagée. Pour cela, on clique sur "..." afin de rechercher l'imprimante dans l'annuaire Active Directory (dans les propriétés de l'imprimante, sur le serveur d'impression, l'option "Lister dans l'annuaire" est cochée). On peut également définir cette imprimante par défaut en cochant la case "Définir en tant qu'imprimante par défaut".

Si vous souhaitez déployer l'imprimante à tous les utilisateurs qui sont dans le périmètre de la GPO, et que vous souhaitez laisser l'imprimante installée dans la session même si la GPO n'est plus appliquée (liaison retirée, par exemple), vous pouvez valider et c'est terminé !

Par contre, si vous souhaitez que l'imprimante soit supprimée si la GPO ne s'applique plus sur l'utilisateur, cliquez sur l'onglet "Commun" puis cochez l'option "Supprimer l'élément lorsqu'il n'est plus appliqué". Ainsi le paramètre de préférence (GPP) va fonctionner comme un paramètre de GPO classique.

B. Déployer l'imprimante uniquement aux membres

L'option "Supprimer l'élément lorsqu'il n'est plus appliqué" est d'autant plus intéressante si l'on s'appuie sur un groupe de sécurité Active Directory pour installer ou non l'imprimante. Si l'utilisateur est membre du groupe, alors l'imprimante sera ajoutée, mais si vous le retirez du groupe de sécurité, alors l'imprimante sera supprimée de sa session.

Prenons un exemple avec l'utilisateur "Guy Mauve" qui est membre du groupe "GG-Imprimante-HP". Comme ceci :

Toujours dans l'onglet "Commun" (1) dans les propriétés de notre imprimante dans la GPO, cochez l'option "Ciblage au niveau de l'élément" (2) puis cliquez sur "Ciblage" (3). Ici, cliquez sur "Nouvel élément" puis "Groupe de sécurité" et indiquez le groupe "IT-CONNECT\GG-Imprimante-HP". Cliquez sur "OK". Grâce à cette condition, il n'y a que les membres de ce groupe qui auront l'imprimante dans leur session.

Ce filtrage pourrait être appliqué au niveau de la GPO directement, via le "Filtrage de sécurité". L'intérêt de le faire comme ci-dessus, c'est que vous pouvez déployer plusieurs imprimantes avec la même GPO, et pour chaque imprimante préciser un groupe de sécurité différent grâce à une règle de ciblage. Bien sûr, vous pouvez ne pas utiliser de règle de ciblage et déployer plusieurs imprimantes : dans ce cas, tous les utilisateurs auront les différentes imprimantes.

IV. Tester la GPO

Avant de passer au test, voici un aperçu de la console "Gestion des stratégies de groupe" de mon serveur où l'on voit bien les deux GPO et les deux OU où elles sont liées.

Ensuite, je me connecte sur une machine concernée par la GPO "Impression Config" afin d'effectuer un "gpupdate /force" et de redémarrer. D'ailleurs, si la GPO imprimante ne s'applique pas, c'est peut-être parce que vous n'avez pas fait ce "gpupdate".

Une fois que c'est fait, je me connecte avec l'utilisateur "Guy Mauve", membre du groupe de sécurité "GG-Imprimante-HP" et dans la liste des imprimantes, j'ai bien "IMPRIMANTE HP sur SRV-ADDS-01" : nos GPO fonctionnent à merveille !

Imprimante déployée par GPO

Si je le supprime du groupe "GG-Imprimante-HP" et que je ferme puis rouvre sa session, l'imprimante n'apparaît plus !

Dans ce tutoriel, nous venons de voir comment déployer dans les sessions des utilisateurs une imprimante partagée sur un serveur d'impression ! Vous n'avez plus qu'à tester de votre côté et à gérer vos imprimantes de cette façon !

The post Windows : comment installer une imprimante par GPO ? first appeared on IT-Connect.