Gestion des lecteurs connectés et des imprimantes partagées par les GPP (Group Policy Préférence).

Soumis par philippe le

La méthode la plus utilisée pour gérer  les connexions aux lecteurs partagés et aux imprimantes est de passer par les scripts d’ouverture de session.

Depuis Windows 2008 et Windows Vista il est possible de le gérer directement par les stratégies de groupe via GPP (Group Policy Preference). Sur Windows XP il est nécessaire d’installer une mise à jour : http://www.microsoft.com/fr-fr/download/details.aspx?id=3628.

 Commençons par présenter notre environnement de test. Nous disposons de 2 contrôleurs de domaines en Windows 2012R2 avec les rôles suivants :

-          W2012r2DC1 : AD, DNS, DHCP, Fichier, Impression

-          W2012r2DC2 : AD, DNS

Nous disposons également d’un poste client « client8.1 » avec Windows 8.1.

Note : en production j’évite de cumuler les rôles mais pour notre exemple ici et pour limiter les ressources nécessaires pour ce test, j’ai multiplié les rôles sur le DC1.

Des OU ont été créés afin de séparer les utilisateurs, les groupes et les ordinateurs : 

 

Pour cette démonstration des groupes locaux de sécurité sont utilisés pour les ressources et des groupes globaux pour les utilisateurs.

Pour comprendre la syntaxe :

SG , SL : S pour sécurité G pour global (utilisateurs) ou L pour local (ressources)

 CT pour Control Total, E : écriture, L :  Lecture.

Cet environnement de test utilise donc la méthode AGDLP et fait abstraction des groupes universels.

 

Dans la première partie nous allons  voir comment mapper des lecteurs pour certains utilisateurs avec l’aide des « Group Policy Preference ».

Pour cela nous configurons : « Configuration utilisateur \ Préférences \ Paramètres Windows \Mappages de lecteurs \ » avec les valeurs :

J: (ordre : 1)

Action : Mettre à jour

Emplacement : « \\ad1.local\fichier\compta » (le nom du patage DFS correspondant)

Reconnecter : Activé

Intituler : Compta

Masquer/Afficher ce lecteur : Afficher 

 

 

Au niveau de l’étendue dans la partie « filtrage de sécurité » nous supprimons « utilisateurs authentifiés » que nous remplaçons par le nom du groupe concerné. Il est possible d’utiliser le groupe « SG » de l’utilisateur ou les groupes « SL » dont l’utilisateur est membre indirectement.

 

Sur le poste client, lorsqu’un utilisateur membre du groupe ouvre sa session le lecteur « j : » est automatiquement connecté sur le partage.

 

Maintenant que nous avons mis en place un accès sur les partages, nous allons utiliser le même principe pour connecter les imprimantes partagées.

Il faut déjà comprendre que lorsqu’on se connecte la première fois à une imprimante partagée le driver de l’imprimante sera installé sur l’ordinateur. Par défaut il faut être administrateur pour avoir le droit d’installer le pilote lors de la première connexion à l’imprimante partagée. Pour éviter ce problème nous allons déjà créer une GPO qui s’applique à l’ensemble des postes permettant d’installer automatiquement les pilotes lors de la connexion à l’imprimante partagée et même si l’utilisateur n’est pas administrateur.

La GPO suivante doit s’appliquer à la fois sur l’OU contenant les utilisateurs et sur l’OU contenant les postes. Elle utilise les options « restrictions pointer et imprimer ».

http://technet.microsoft.com/fr-fr/library/cc753269.aspx.

Nous créons une GPO appelé « autorisé l’installation des pilotes » :

Configuration ordinateur\Stratégies\Modèles d’administration\Imprimantes\

Restrictions Pointer et imprimer : Activé 

Les utilisateurs ne peuvent pointer et imprimer que sur des imprimantes situées dans leur forêt : Activé

Lors de l’installation des pilotes pour une nouvelle connexion : Afficher l’avertissement et l’invite d’élévation

Lors de la mise à jour des pilotes pour une connexion existante : Afficher l’avertissement uniquement 

Et sur la partie utilisateur :

Configuration utilisateur\Stratégies\Modèles d’administration\Panneau de configuration/Imprimantes

Restrictions Pointer et imprimer : Activé 

Les utilisateurs ne peuvent pointer et imprimer que sur des imprimantes situées dans leur forêt Désactivé

Lors de l’installation des pilotes pour une nouvelle connexion : Ne pas afficher l’avertissement ou l’invite d’élévation

Lors de la mise à jour des pilotes pour une connexion existante : Afficher l’avertissement uniquement 

Nous créons maintenant une GPO pour chaque imprimante, dans laquelle nous utilisons la partie préférence :

.

Nous utilisons un filtrage afin de ne mettre à disposition l’imprimante que pour les utilisateurs qui se retrouvent inclus dans le groupe de ressource (DL) correspondant :

 

Enfin sur le poste client, nous ouvrons la session et nous constatons que l’utilisateur dispose bien de l’imprimante :