Configurer automatiquement les imprimantes partagées pour les utilisateurs d’un domaine peut s’avérer complexe. C’est particulièrement vrai si l’on cible des groupes ou des services spécifiques et que l’on souhaite leur fournir uniquement le type d’imprimantes requis. De plus, Windows a récemment complexifié la tâche, notamment avec les modifications de sécurité relatives à l’installation des pilotes (coucou, CVE-2021-34527, ou PrintNightmare).L’objectif est de permettre aux utilisateurs de se connecter automatiquement, sans avoir besoin de droits d’administrateur ni de configuration manuelle. Ce guide aborde deux points principaux : le déploiement fluide des imprimantes via la stratégie de groupe et l’installation des pilotes nécessaires par les utilisateurs non administrateurs, sans déclencher d’alertes de sécurité ni d’erreurs.
Comment corriger ou améliorer le déploiement automatisé des imprimantes à l’aide de la stratégie de groupe
Déploiement d’imprimantes partagées pour les utilisateurs du domaine via une stratégie de groupe
Cette étape est essentielle. Vous configurez des groupes de sécurité dans Active Directory pour chaque service, comme SharedPrinter_Sales, SharedPrinter_IT, etc. Ensuite, vous ajoutez vos utilisateurs à ces groupes. Vous pouvez le faire manuellement dans Utilisateurs et ordinateurs Active Directorydsa.msc ou créer des groupes automatiquement avec PowerShell, comme ceci :
New-ADGroup "SharedPrinter_Sales" -path 'OU=Groups, OU=Paris, DC=woshub, DC=com' -GroupScope Global –PassThru
Une fois vos groupes prêts, ouvrez la console de gestion des stratégies de groupe ( GPMC.msc) et créez une stratégie nommée print_AutoConnect. Liez-la à l’unité d’organisation (UO) cible où se trouvent vos utilisateurs. Si votre domaine n’est pas très étendu, une seule stratégie de groupe pour toutes les imprimantes peut suffire. En revanche, s’il est plus complexe et comprend différents sites ou UO, il est préférable de créer des stratégies distinctes.
Dans la stratégie de groupe, accédez à Configuration utilisateur > Préférences > Paramètres du Panneau de configuration > Imprimantes. Ajoutez ensuite une imprimante partagée via Nouveau > Imprimante partagée. Si vous vous connectez par IP, sélectionnez Imprimante TCP/IP.
Dans les propriétés, choisissez « Mettre à jour » comme action, puis indiquez le chemin UNC dans « Chemin partagé »\\srv-par-print\hpsales. Assurez-vous que le pilote d’impression est installé au préalable sur le client ou créez un package de pilote qui sera déployé avec la stratégie ; sinon, l’imprimante ne s’installera pas (Windows est désormais plus exigeant concernant la signature des pilotes).
Sous l’ onglet Général, cochez la case « Exécuter dans le contexte de sécurité de l’utilisateur connecté ». Si vous souhaitez cibler un groupe spécifique (par exemple, SharedPrinter_Sales ), accédez à Ciblage au niveau de l’élément, cliquez sur Ciblage et ajoutez un nouvel élément Groupe de sécurité avec le nom de votre groupe. Il est ainsi facile de restreindre l’accès aux imprimantes. Notez toutefois que cela n’empêche pas les utilisateurs de connecter manuellement des imprimantes ; pour cela, vous devrez modifier les autorisations de sécurité des imprimantes directement sur le serveur d’impression.
Une fois la configuration terminée, consultez les journaux. Lorsque cette stratégie de groupe s’exécute, elle tente de connecter les imprimantes. Si aucun pilote n’est installé sur le client, l’événement 4096 sera consigné dans le journal des événements (Application).Il arrive que Windows bloque l’installation de pilotes pour les utilisateurs non administrateurs, même si les restrictions Pointer et Imprimer sont activées, notamment avec les versions récentes de Windows. En principe, Windows exige des droits d’administrateur pour installer les pilotes, sauf solution de contournement.
Autoriser les utilisateurs non administrateurs à installer des pilotes d’imprimante (car Windows a rendu la tâche plus difficile)
Depuis 2021, Windows a discrètement renforcé la sécurité d’installation des pilotes, en référence à la vulnérabilité CVE-2021-34527, alias PrintNightmare. Désormais, les utilisateurs non administrateurs ne peuvent plus simplement télécharger et installer des pilotes depuis un serveur d’impression.À moins, bien sûr, de modifier certaines règles. Voici comment autoriser les utilisateurs non administrateurs à installer des pilotes ; attention cependant, cette opération peut exposer votre serveur d’impression à des failles de sécurité si vous n’êtes pas vigilant.
- Accédez à Configuration ordinateur > Paramètres Windows > Paramètres de sécurité > Stratégies locales > Options de sécurité et désactivez Périphériques : Empêcher les utilisateurs d’installer des pilotes d’imprimante.
- Accédez à Configuration ordinateur > Stratégies > Modèles d’administration > Système > Installation des pilotes. Ajoutez les GUID des classes de périphériques d’impression à la liste « Autoriser les utilisateurs non administrateurs à installer des pilotes pour ces classes de périphériques ».
{4658ee7e-f050-11d1-b6bd-00c04fa372a7}et
{4d36e979-e325-11ce-bfc1-08002be10318}Ainsi, les utilisateurs peuvent installer spécifiquement les pilotes d’impression.
- Dans Modèles d’administration > Imprimantes, activez les restrictions d’impression. Spécifiez vos serveurs d’impression de confiance (par exemple, leurs URL) et désactivez les avertissements ou les demandes d’élévation de privilèges en choisissant « Ne pas afficher d’avertissement ni de demande d’élévation de privilèges ».
- Ajoutez vos serveurs d’impression sous Package Point and Print — Serveurs approuvés.
- Cette dernière étape est cruciale : vous devrez autoriser l’installation de pilotes sans droits d’administrateur en modifiant la valeur de la clé de registre RestrictDriverInstallationToAdministrators à 0. Sur un système autonome, exécutez :
reg add "HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint" /v RestrictDriverInstallationToAdministrators /t REG_DWORD /d 0 /fOu mieux encore, utilisez les préférences de stratégie de groupe pour définir cette clé de registre à distance sur toutes les machines concernées, évitant ainsi les modifications manuelles du registre.
Cette modification permet aux utilisateurs non administrateurs d’installer des imprimantes et des pilotes partagés depuis des serveurs de confiance, sans que Windows ne demande systématiquement de privilèges élevés. Attention cependant : cette pratique affaiblit la sécurité et vous expose à des failles de sécurité si vous ne choisissez pas avec soin les serveurs d’impression de confiance.
Le plus étonnant, c’est que si vous ne rétablissez pas la valeur 1 à ce paramètre du registre par la suite, votre système devient vulnérable à PrintNightmare. L’idéal est donc d’automatiser cette procédure une fois le déploiement de l’imprimante terminé.
En résumé, l’utilisation des stratégies de groupe (GPP) simplifie considérablement la gestion des imprimantes par rapport aux scripts, notamment pour la gestion de plusieurs imprimantes et groupes. Il est important de surveiller la signature des pilotes, les politiques de sécurité et les journaux ; sans cela, Windows peut générer des erreurs ou refuser la connexion des imprimantes. C’est un exercice d’équilibrage, mais une fois correctement configuré, le fonctionnement des imprimantes distantes ou partagées au sein d’un domaine est généralement sans problème.