21/11/2024

Stratégie de groupe

Windows : comment installer une imprimante par GPO ?

I. Présentation

L'installation des imprimantes sur les postes de travail, par l'intermédiaire de stratégie de groupe (GPO), c'est un grand classique et un besoin fréquent en entreprise ! Dans ce tutoriel, nous allons apprendre à déployer des imprimantes par GPO sur des machines Windows, que ce soit du Windows 10, du Windows 11 ou pourquoi pas un Windows Server.

Grâce aux stratégies de groupe, nous allons pouvoir installer l'imprimante à tous les utilisateurs appartenant à une unité d'organisation spécifique au niveau de l'annuaire Active Directory, voire même, installer l'imprimante A aux utilisateurs membres du groupe de sécurité A, et l'imprimante B aux utilisateurs membres du groupe de sécurité B. Les besoins et scénarios sont nombreux et les GPO vont permettre de répondre à ces différents cas de figure.

Je pars du principe que votre serveur d'impression est déjà en place, et que vous avez déjà une imprimante prêt à être déployée. Pour ma part, je vais utiliser le serveur d'impression "SRV-ADDS-01" sur lequel est partagée l'imprimante "IMPRIMANTE HP" que je souhaite déployer sur les postes de travail au travers d'une GPO.

Si vous avez besoin d'aide pour mettre en place un serveur d'impression sous Windows Server, suivez ce tutoriel :

II. GPO pour autoriser l'installation de pilotes d'imprimantes

Lorsqu'une imprimante est installée sur une machine Windows, le pilote d'impression associé à cette imprimante doit également être installé. Sinon, le système d'exploitation n'est pas en mesure de prendre en charge correctement l'imprimante, et notamment ses différentes fonctionnalités.

Normalement, l'installation des pilotes (appelés également drivers) est réservée aux administrateurs, ou en tout cas, cela nécessite un compte avec des privilèges élevés. Pour que l'on puisse automatiser le déploiement des imprimantes, y compris l'installation des pilotes, il y a des paramètres de GPO spécifiques à mettre en place. C'est d'autant plus vrai depuis que Microsoft a pris la décision de durcir la configuration par défaut, notamment en réponse aux vulnérabilités PrintNightmare.

Pour commencer, nous devons créer une première GPO qui va s'appliquer aux ordinateurs afin d'autoriser l'installation de pilotes pour les utilisateurs non-administrateurs. Pour ma part, je crée une GPO nommée "Impression Config" et je crée une liaison avec l'OU "PC" de mon Active Directory.

A. RestrictDriverInstallationToAdministrators

Par défaut, l'installation de pilotes d'impression nécessite les privilèges d’administrateur, que la clé de Registre "RestrictDriverInstallationToAdministrators" soit non définie ou définie et égale à 1. Bien que ce soit sécurisé, c'est contraignant lorsque l'on souhaite déployer des imprimantes par GPO et que les pilotes ne sont pas présents sur la machine.

Ainsi, pour contourner cette restriction, nous avons plusieurs possibilités :

  • Saisir les identifiants administrateurs quand le prompt apparaît (UAC) afin d'effectuer l'installation
  • Inclure les pilotes directement dans l'image système (faisable dans le cadre d'un déploiement avec un système tel que MDT)
  • Autoriser temporairement les utilisateurs à installer les pilotes d'impression

Nous allons opter pour la troisième solution puisque c'est la solution la plus pratique et la plus universelle, on va dire. Sur les ordinateurs, nous devons déployer la clé de Registre "RestrictDriverInstallationToAdministrators" avec la valeur 0.

Commençons par modifier la GPO "Impression Config" et à parcourir les paramètres de cette façon :

Configuration ordinateur > Préférences > Paramètres Windows > Registre

Ici, effectuez un clic droit : Nouveau > Élément Registre.

Un assistant va s'ouvrir. Nous devons indiquer où créer la valeur dans le registre, avec quel nom et quelle valeur. Utilisez les valeurs suivantes :

  • Action : Mettre à jour
  • Ruche : HKEY_LOCAL_MACHINE
  • Chemin d'accès de la clé : Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint
  • Nom de valeur : RestrictDriverInstallationToAdministrators
  • Type de valeur : REG_DWORD
  • Données de valeur : 00000000
  • Base : Hexadécimal

En image, cela donne :

RestrictDriverInstallationToAdministrators

Validez, l'élément de Registre est prêt ! Nous pouvons passer à la suite.

B. Restrictions pointer et imprimer

Toujours dans la même GPO, nous devons configurer trois autres paramètres. En effet, nous venons d'autoriser l'installation de pilotes d'impression, mais il faut que l'on restreigne un peu le périmètre en autorisant uniquement l'installation de pilotes correspondants à un certain type, mais aussi en autorisant uniquement cette action à partir de serveurs approuvés.

Parcourez les paramètres comme ceci :

Configuration ordinateur > Stratégies > Modèles d'administration > Imprimantes

Nous allons configurer les deux paramètres suivants :

Commençons par le paramètre "Restrictions Pointer et imprimer" que vous devez configurer comme ceci :

  • 1 - Cochez l'option "Activé"
  • 2 - Cochez l'option "Les utilisateurs ne peuvent pointer et imprimer que sur ces serveurs"
  • 3 - Indiquez le nom complet du serveur d'impression (vous pouvez indiquer plusieurs noms, séparés par un point-virgule)
  • 4 - Sélectionnez "Ne pas afficher l'avertissement ou l'invite d'élévation" pour que le pilote s'installe silencieusement
  • 5 - Sélectionnez "Ne pas afficher l'avertissement ou l'invite d'élévation" pour que le pilote se mette à jour silencieusement
  • 6 - Cliquez sur "OK" pour valider

Restrictions Pointer et imprimer

Voilà pour ce paramètre, passons au suivant....

C. Autoriser uniquement les serveurs d'impression approuvés

Éditez le paramètre "Pointer et imprimer les packages - Serveurs approuvés", afin de l'activer, (1) puis cliquez sur le bouton "Afficher" afin d'indiquer le nom complet de votre serveur d'impression (3). Une fois que c'est fait, validez (4).

Pointer et imprimer les packages - Serveurs approuvés

Grâce à ces deux paramètres, on approuve et autorise uniquement notre serveur d'impression, ce qui est important.

D. Autoriser uniquement certaines classes de pilotes

Ce dernier paramètre nommé "Autoriser les non-administrateurs à installer des pilotes pour ces classes d'installation de périphériques" peut-être ajoutée à la même GPO, et il se situe à l'emplacement suivant :

Configuration ordinateur > Stratégies > Modèles d'administration > Système > Installation de pilotes

Vous devez l'éditer afin de l'activer (1), puis cliquer sur le bouton "Afficher" (2) pour gérer les classes de pilotes à autoriser. Pour les imprimantes, il y a deux classes à autoriser et à renseigner dans la fenêtre qui s'affiche (3) :

  • {4658ee7e-f050-11d1-b6bd-00c04fa372a7}
  • {4d36e979-e325-11ce-bfc1-08002be10318}

Une fois que vous obtenez le même résultat que sur l'image ci-dessous, cliquez sur OK (4).

Avant que les vulnérabilités PrintNightmare soient révélées, ce paramètre suffisait pour autoriser l'installation de pilotes. Désormais, il faut ajouter la valeur dans le Registre que nous avons créé précédemment.

Notre GPO pour configurer les ordinateurs est prête ! Nous pouvons passer à la suite : le déploiement de l'imprimante par GPO !

III. GPO "Préférences" : déployer une imprimante

À titre d'exemple, nous allons déployer l'imprimante "IMPRIMANTE HP" de mon serveur d'impression "SRV-ADDS-01" à tous les utilisateurs membres du groupe "GG-Imprimante-HP". Si vous souhaitez installer l'imprimante à tous les utilisateurs appartenant à une unité d'organisation spécifique, vous n'avez pas à gérer ce groupe de sécurité.

Cette fois-ci, nous allons utiliser une seconde GPO qui s'appliquera à des objets "utilisateurs". Pour ma part, ce sera sur l'unité d'organisation "Personnel".

A. Déployer l'imprimante partagée

Pour déployer une imprimante partagée sur un serveur d'impression, il faut accéder à :

Configuration utilisateur > Préférences > Paramètres du Panneau de configuration

Ensuite, il faut effectuer un clic droit : Nouveau > Imprimante partagée.

Un assistant s'ouvre... La première étape consiste à rechercher l'imprimante partagée. Pour cela, on clique sur "..." afin de rechercher l'imprimante dans l'annuaire Active Directory (dans les propriétés de l'imprimante, sur le serveur d'impression, l'option "Lister dans l'annuaire" est cochée). On peut également définir cette imprimante par défaut en cochant la case "Définir en tant qu'imprimante par défaut".

Si vous souhaitez déployer l'imprimante à tous les utilisateurs qui sont dans le périmètre de la GPO, et que vous souhaitez laisser l'imprimante installée dans la session même si la GPO n'est plus appliquée (liaison retirée, par exemple), vous pouvez valider et c'est terminé !

Par contre, si vous souhaitez que l'imprimante soit supprimée si la GPO ne s'applique plus sur l'utilisateur, cliquez sur l'onglet "Commun" puis cochez l'option "Supprimer l'élément lorsqu'il n'est plus appliqué". Ainsi le paramètre de préférence (GPP) va fonctionner comme un paramètre de GPO classique.

B. Déployer l'imprimante uniquement aux membres

L'option "Supprimer l'élément lorsqu'il n'est plus appliqué" est d'autant plus intéressante si l'on s'appuie sur un groupe de sécurité Active Directory pour installer ou non l'imprimante. Si l'utilisateur est membre du groupe, alors l'imprimante sera ajoutée, mais si vous le retirez du groupe de sécurité, alors l'imprimante sera supprimée de sa session.

Prenons un exemple avec l'utilisateur "Guy Mauve" qui est membre du groupe "GG-Imprimante-HP". Comme ceci :

Toujours dans l'onglet "Commun" (1) dans les propriétés de notre imprimante dans la GPO, cochez l'option "Ciblage au niveau de l'élément" (2) puis cliquez sur "Ciblage" (3). Ici, cliquez sur "Nouvel élément" puis "Groupe de sécurité" et indiquez le groupe "IT-CONNECT\GG-Imprimante-HP". Cliquez sur "OK". Grâce à cette condition, il n'y a que les membres de ce groupe qui auront l'imprimante dans leur session.

Ce filtrage pourrait être appliqué au niveau de la GPO directement, via le "Filtrage de sécurité". L'intérêt de le faire comme ci-dessus, c'est que vous pouvez déployer plusieurs imprimantes avec la même GPO, et pour chaque imprimante préciser un groupe de sécurité différent grâce à une règle de ciblage. Bien sûr, vous pouvez ne pas utiliser de règle de ciblage et déployer plusieurs imprimantes : dans ce cas, tous les utilisateurs auront les différentes imprimantes.

IV. Tester la GPO

Avant de passer au test, voici un aperçu de la console "Gestion des stratégies de groupe" de mon serveur où l'on voit bien les deux GPO et les deux OU où elles sont liées.

Ensuite, je me connecte sur une machine concernée par la GPO "Impression Config" afin d'effectuer un "gpupdate /force" et de redémarrer. D'ailleurs, si la GPO imprimante ne s'applique pas, c'est peut-être parce que vous n'avez pas fait ce "gpupdate".

Une fois que c'est fait, je me connecte avec l'utilisateur "Guy Mauve", membre du groupe de sécurité "GG-Imprimante-HP" et dans la liste des imprimantes, j'ai bien "IMPRIMANTE HP sur SRV-ADDS-01" : nos GPO fonctionnent à merveille !

Imprimante déployée par GPO

Si je le supprime du groupe "GG-Imprimante-HP" et que je ferme puis rouvre sa session, l'imprimante n'apparaît plus !

Dans ce tutoriel, nous venons de voir comment déployer dans les sessions des utilisateurs une imprimante partagée sur un serveur d'impression ! Vous n'avez plus qu'à tester de votre côté et à gérer vos imprimantes de cette façon !

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

15 commentaires sur “Windows : comment installer une imprimante par GPO ?

  • Bonjour Florian,

    Super tuto qui a le mérite de clarifier le déploiement post-PrintNightmare! Merci beaucoup je pense qu’il va être partagé pas mal de fois!

    Petite question concernant la GPO de déploiement de des imprimantes, pour ma part je le fait via :
    Configuration utilisateur -> Stratégies -> Paramètres Windows -> Connexions aux imprimantes
    C’est d’ailleurs la GPO générée depuis la console de Gestion d’Impression quand on utilise la fonction « Déployer cette Imprimante ».
    Tu utilises :
    Configuration utilisateur > Préférences > Paramètres du Panneau de configuration -> Imprimantes
    Les deux semblent fonctionner, mais j’avoue ne pas comprendre pourquoi conserver ces deux méthodes? Est-ce qu’il y en a une à préférer?

    Répondre
    • Hello Fabien,
      Merci 🙂
      Les deux méthodes fonctionnement en effet, personnellement je préfère la méthode via les GPP (Préférences) car je la trouve plus flexible : plus de paramètres et la présence du ciblage.

      Répondre
      • Bonjour Florian,
        Est-ce que l’option de ciblage qu’on retrouve dans les GPP peut être remplacé par le « Filtrage de Securité » directement présent au niveau de la GPO en indiquant « Ordinateurs du domaine » + « Le-Groupe-Cible-Pour-Les-Imprimantes » ?

        Répondre
  • Super tutoriel en prenant en compte le print nightmare!

    Il est possible de déployer une imprimante par GPP à des ordinateurs en ajoutant , en configuration utilisateur , un mode de traitement par bouclage (fusionner)

    Répondre
  • Bonjour,

    Je suis dans un config identique et j’ai bien suivi tout le tutoriel. En revanche coté serveur d’impression j’ai du CUPS/SAMBA.
    Le paramétrage via gpo ne fonctionne pas pour des postes a jour windows 10 (c’est lié au mise à jour printnightmare apparement). Sur des version d’os non patché ça fonctionne idem sur windows 7.

    Sur une version à jour de W10 quand j’installe manuellement l’imprimante à partir du partage en étant admin du poste j’ai le message suivant : « Une stratégie en application sur votre ordinateur et vous empêche de vous connecter à cette file d’attente d’impression. Contactez votre administrateur ».

    J’ai pas l’impression que le pb vienne de mon serveur cups/samba (qui fonctionne sur des version ancienne de W10 et windows 7) mais bien des patchs de securité windows qui a un moment empêchent de connecter la file d’impression. J’ai essayé pas mal de paramètre mais sans succès. Avez vous fait fonctionner ces paramètres des GPO avec un serveur d’impression CUPS/SAMBA ?

    Merci pour votre retour.

    Répondre
    • Je susi dans le même cas que toi, quand je suis sur un systeme inferieur ou egale a windows 7 cela fontionne mais windows 10/11 non. As tu trouver une solution ?

      Répondre
  • Bonjour,

    Super tuto, par contre j’ai vu qu’il n’est pas possible de mettre plusieurs groupes de sécurité, car le deuxième prend le dessus sur le premier groupe. Il faut donc faire plusieurs GPP, ce qu’y est dommage.

    De plus, j’ai l’impression que la GPO pour l’autorisation des pilotes au non admin elle ne fonctionne pas, j’ai pourtant bien suivi le tuto et quand je déploie la GPO sur une machine et utilisateur non admin les imprimantes s’affichent comme ci elles s’installaient alors que sur mon compte qui est admin les imprimantes s’affichent bien directement sans attente. la clé de registre apparait bien sur l’ordinateur en question. Je ne sais pas comment faire pour qu’il y est bien l’autorisation sans être admin.

    Si vous pouvez m’apporter plus d’éclaircissement à ce sujet, je vous en remercie par avance.

    Ps : J’utilise un serveur 2016 avec des machines sous Windows 11 et Windows 10 avec les dernières mises à jour.

    Répondre
    • Bonjour,

      Finalement ça bien fonctionné, il fallu juste que je soit un peu plus patient pour les postes non admin.

      Désolé pour mon précèdent poste.

      Répondre
  • Super Florian, merci !
    Il y a un autre moyen de déployer une imprimante depuis le gestionnaire du serveur d’impression, qui crée automatiquement une GPO, mais différente.
    Quelles différences entre les deux méthodes selon toi ?

    Répondre
  • Bonjour,

    Merci, super tuto comme d’habitude.

    Partie II.D, est-ce que ces paramètres permettront l’installation de pilotes d’imprimantes personnelles dans le cadre du télétravail par exemple ?

    Répondre
  • Bonjour Florian,
    je suis en train d’appliquer ce GPO dans mon serveur 2019 en suivant votre tuto. sauf que dans la partie où il faut créer la valeur dans le registre, le chemin d’accès à la clé (Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint) ne se présente de la même façon Software\Policies\Microsoft\Windows NT\terminal Services\Client….
    Pouvez-vous s’il vouplaît vérifier le chemin d’accès sous Win server 2019

    Répondre
  • Bonjour,

    j’ai également la même problématique.
    Je suis également sur un Windows server 2019

    Répondre
  • Bonjour Florian,

    Merci pour cette vidéo tuto qui est vraiment bien détaillé et expliqué.
    Je suis sur un Windows server 2019 et lorsque que je suis dans la partie registre le chemin d’accès à la clé (Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint) n’est pas le bon, seriez vous quelle chemin dois-je mettre afin que l’installation puis se faire?

    Cordialement,
    Germain

    Répondre
  • Bonjour Florian, et merci pour ce super tutoriel !

    J’aurais 2 questions :

    – Admettons qu’un utilisateur change de poste (et donc d’imprimante), l’option « Supprimer l’élément lorsqu’il n’est plus appliqué » est nécessaire, mais le mode GPP passe en « Remplacer »…. On peut le laisser comme ça ?

    – Concernant les noms d’imprimante, y-at’il des « best practices » ? Le nom sur le serveur peut-il être « convivial », et contenir des caractères tels que des espaces et des accents ?
    Ou est-il mieux d’utiliser un nommage plus restrictif à l’instar du nom de partage ?

    Merci d’avance !

    Répondre
  • Bonjour Florian,

    Merci beaucoup pour ce tuto.

    Je trouve l’option « Supprimer l’élément lorsqu’il n’est plus appliqué » intéressante car cela permet de nettoyer les imprimantes sur les postes au fur et à mesure.
    Lorsque je force l’application de la GPO avec la commande « gpupdate /force », on remarque que l’imprimante disparaît et s’installe à nouveau.

    La GPO fonctionne donc correctement, mais l’utilisateur perd les paramétrages que celui-ci à défini.

    Par exemple, sur notre serveur, l’impression est définie en recto-verso alors que l’utilisateur souhaite une impression en recto
    A chaque application de la GPO, ce paramètre est perdu

    Est-ce que tu constates le même comportement sur tes postes ?

    Cdt,

    Alan

    Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.