Déployer des imprimantes intelligemment par GPO

par

28/08/2012

Prèrequis

Point and print restrictions pour autoriser le déploiement automatique des drivers sur les postes clients.

Déployer des imprimantes intelligemment par GPO

Le système de GPO a pour but de personnaliser un environnement Windows. Les configurations par GPO peuvent être globales, ou en fonction de certains paramètres telles que le matériel, l’utilisateur ou la localisation.

Dans le cadre d’imprimantes, dès que vous dépassez cinq imprimantes installées sur un ordinateur, les utilisateurs perdent trop de temps et n’utilise donc plus que l’imprimante par défaut. Heureusement, le système de GPO dans un domaine Windows 2008/2008 R2 a été grandement amélioré et permet de nouvelles possibilités.
Une des solutions à ce problème est de déployer des imprimantes en fonction de différents paramètres pré définis.

Heureusement, le système de GPO dans un domaine Windows 2008/2008 R2 a été grandement amélioré et permet de nouvelles possibilités.

Cela peut se faire en fonction :

De l’utilisateur et des groupes auxquelles il appartient.
De l’ordinateur auquel l’utilisateur s’est connecté.
D’un certain nombre de paramètres de l’ordinateur tels que son adresse IP, du site…

Voici quelques exemples de déploiement :

Si vous gérez complètement la hiérarchisation des utilisateurs. Par exemple en ayant un groupe par service. Et que chaque service utilise là où les mêmes imprimantes.Vous pouvez dès lors utiliser les mêmes groupes pour cibler le déploiement des imprimantes. Ainsi, il suffit de maintenir un seul endroit à jour. Les utilisateurs auront ensuite automatiquement les imprimantes. Qu’ils utilisent toujours le même PC ou qu’ils en changent tous les jours. Pour mettre en œuvre cette façon de faire, rendez-vous dans outil d’administration, gestion des Group Policy. Créer une nouvelle ou éditer une existante et rendez-vous dans : Policy > User Configuration > Preferences > Control Panel Settings > PrintersAjouter une nouvelle imprimante partagée en cliquant avec le bouton droit de votre souris et en sélectionnant « Shared Printer » (par exemple via un serveur d’impression)
Dans la nouvelle fenêtre, indiquer le chemin réseau vers l’imprimante partagée au format : \\nom du serveur\nom de l’imprimante partagée.
Action à choisir est en fonction des besoins.
— « Create » pour en créer une nouvelle
— « Update » pour mettre à jour ou en créée une si elle n’existe pas encore. Rendez-vous ensuite dans l’onglet Common et cochez la case « Item-level targeting »
Cliquez ensuite sur « Targeting… » pour configurer les détails.
C’est ici que vous allez configurer les conditions de l’installation de l’imprimante. Cliquez sur « New Item » > « Security Group »
Vous allez ensuite introduire le nom du groupe, ou faire la recherche via « …. » à laquelle appartiendra l’utilisateur.
Les conditions peuvent bien sûr être multiples et gérables avec les opérateurs logiques « AND » et « OR ».
Dans le cas de figure d’un déploiement en fonction de l’ordinateur, le principe est fort proche du précédent. En fonction du nom ou du groupe auxquelles appartient l’ordinateur, vous pourrez déployer l’imprimante la plus adéquate pour l’utilisateur. La solution adaptée pour des utilisateurs qui travaillent tous les jours à des endroits différents, mais sans avoir un ordinateur qui lui est dédié. Suivez la même procédure que le point 1, changez seulement la condition en « Computer in group ».
Le dernier cas de figure est probablement le plus complexe à mettre en œuvre de par la nécessité d’avoir une approche globale. Prenez le cas d’un utilisateur ayant un ordinateur portable qui lui est dédié et qui voyage constamment dans un même bâtiment dans le cadre d’« open space ». Ou d’un utilisateur travaillant sur différentes implantations de la société. Une des solutions possibles est de tenir compte de paramètres locaux à l’endroit où se trouve l’utilisateur. Par rapport au site, mais là, on atteint vite la limite de par la structure nécessaire. Ou en fonction de l’adresse IP, si vous avez un range d’adresse IP par petite implantation, ou un range par étage ou même une partie d’un étage. Vous pouvez dès lors appliquer un certain nombre de choses, dont le déploiement fin d’une imprimante. Pour déployer en suivant les adresses IP, suivez la procédure comme au point 1. Mais au lieu de choisir « Security Group », choisissez « IP Address Range ».
Introduisez le ou les ranges d’adresse IP qui sont concernés pour l’imprimante.

Plus d’informatons sur le site de Microsoft : Déployer des imprimantes à l’aide de la stratégie de groupe

Commentaires

14 réponses à “Déployer des imprimantes intelligemment par GPO”

23/08/2013

MOTOT

Bonjour,

Je suis très intéresse par cet article, et je m’en inspire pour mettre en place le scénario N°2 : personnel itinérant sans bureau spécifique, ayant accès à une imprimante réseau par défaut et un copieur réseau dans une session RDP (w2k8r2).

Je suis en phase de conception, et il y a une information qui me manque : sur quelle OU appliquez vous cette GPO, sur les serveurs RDS, sur les utilisateurs ?

dans l’attente de votre réponse

Répondre
1. 23/08/2013
  
  Jonathan Estevez
  
  Bonjour,
  Les GPO doivent toujours être appliquée sur les clients. Après en fonction des règles cela peut se faire sur les utilisateurs ou les ordinateurs.
  Dans mon cas, 9 imprimantes sur 10 ont des règles via les OU ordinateurs.
  
  Répondre
23/08/2013

MOTOT

Merci pour ce retour d’information (je reprends un nouveau commentaire car celui-ci va etre long)… Je me dois de préciser un peu, car je ne suis pas certain de tout comprendre et d’avoir le bon vocabulaire :

SITUATION :
– J’ai un domaine sous 2008r2 (Niveau fonctionnel 2003).
– J’ai structuré les PC et Serveurs RDS dans différentes OU (pour l’application des GPO spécifiques et pour séparer les lieux géographiques).
– J’ai structuré les utilisateurs dans différentes OU (pour différencier les fonctions du personnel, et du coup les GPO nécessaires à des catégories de personnes spécifiques).
– Les utilisateurs (quelques soient leurs fonctions) sont nomades sur les différents sites géographiques (= mes OU qui regroupent les PC par site).
– J’ai un serveur d’impression avec les imprimantes réseaux et copieur réseaux, partagés et si besoins listés dans l’annuaire.

BUT :

Permettre à chaque utilisateur d’avoir 2 imprimantes (les plus proches de lui, donc accessibles à partir du PC sur lequel il est connecté) à sa disposition dans la session TSE (sur le PC sur lequel il est connecté).

Ma première tentative était d’utiliser le déploiement par GPO à partir du serveur d’impression. Mais cela ne me donnera pas le résultat attendu, car il n’y a pas assez de critère permettant cette dynamique (enfin je crois). En effet, ça créer une référence à une imprimante dans la GPO, mais comment configurer cette mobilité, je ne vois pas.

Apres quelques recherches, je tombe sur votre article… et voilà où j’en suis (d’après vos derniers conseils) dans ma conception :

Avant de créer les imprimantes, je souhaite lier la GPO (je vais reprendre ma question, désolé…) : dois-je lier la GPO aux serveurs TSE ou aux ordinateurs (sachant que c’est dans la session TSE que les imprimantes doivent être affectées dynamiquement, je pense que c’est sur les serveurs TSE, pouvez-vous confirmer ?)

Une fois lié, je travaille sur le filtrage de sécurité : cette GPO s’applique à des utilisateurs, ou à des ordinateurs, ou à des groupes d’utilisateurs ou groupe d’ordinateurs. Je pense qu’elle s’applique à des utilisateurs ou des groupes d’utilisateurs, pouvez-vous confirmer ?

Puis, je crée l’imprimante. Mais dans votre article, vous créez des imprimantes dans la partie « user configurationshared Printer ». Pour mon cas n’est-ce pas plus logique (si cela fonctionne) de le faire sur la partie « computer configuration »… Les point précédents me font penser que NON, mais je voulais être certain de partir dans la bonne direction. En effet, si l’ GPO s’applique sur les serveurs TSE, il me parait difficile de configurer la partie « computer configuration » puisque cela ne concernera pas les PC. Puis par hasard, je pense qu’il faudra que le loopback soit activé.

Enfin, je cible : et là c’est plus compliqué. Je dois faire remonter l’imprimante associée à l’ordinateur à partie duquel la session TSE a été ouverte. Je pense donc faire un ciblage sur l’élément « Terminal serveur », et comme type : n’importe quel protocole, et comme paramètre : nom du client.

Par avance, je m’excuse du roman que vous venez de lire. Je suis à la recherche de confirmation dans ma réflexion. Car les différentes expérimentations des GPO dans le passé ont été très mauvaise, pour ne pas dire nulle…et très chronophages…

Quel est votre avis, suis-je bon dans la démarche ?

Cordialement

Répondre
1. 23/08/2013
  
  Jonathan Estevez
  
  Première chose, la GPO est à appliqué quand l’utilisateur se connecte. Donc il faut le mettre sur l’utilisateur.
  La seconde chose à faire, c’est mettre un filtre sur cette GPO pour qu’elle ne s’applique en plus que sur la/les machines TSE.
  
  Ensuite, dans la règle pour l’imprimante, l’utilisation du nom est bien mais avec la limitation qu’il faut soit faire un règle par machine, ou alors que les machines ait un nom qui permet de déterminer ou il se trouve.
  L’utilisation de l’adresse IP peut-être aussi une alternative. Le problème est dans tous les cas si un des éléments permet de savoir par exemple l’étage de façon logique.
  
  Il reste sinon la solution de connecter l’imprimante sur le PC client et de le connecter à travers le RDP au TSE.
  
  Répondre
  1. 26/08/2013
    
    MOTOT
    
    Bonjour,
    
    Merci pour votre retour, après quelques expérimentations sans succès, je me suis rendu compte que je me trompais dans le ciblage (PB d’orthographe….Donc la GPO devait bien marcher, mais j’avais le nez dans le guidon, et je ne voyais plus mon problème).
    
    Ce Matin, tout fonctionne nickel. Une GPO sur L’OU de la ferme RDS. le filtrage : utilisateurs authentifiés, suffisant, car c’est le ciblage qui fait tout le reste. Ajout des imprimantes avec pour ciblage le nom de PC (bien distincts et structurés) comme Nom de client de session RDS. Certaines imprimantes sont partagées par plusieurs PC, donc mise en place de collections dans le ciblage. Et parfois doublage des imprimantes car par défaut pour certaines personnes et par pour d’autres, comme le ciblage est disjoint, il n’y a pas d’interférence.
    
    Voilà pour mon retour d’expérience, et encore, merci.
    
    cordialement
    
    .
    
    Répondre
11/10/2013

Alexandre

Bonjour,

J’ai essayé le déploiement via la localisation de mon DC, pour que les gens aient des imprimantes en fonction du site géographique sur lequel ils se trouvent.
Or, j’ai eu pas mal de souçis, sur des postes Win7 x64, qui aléatoirement, n’avaient pas les imprimantes de déployées, bien que la GPO fut déployée.

J’applique donc côté utilisateur la GPO, en fonction des OU et du lieu géographique donc.

Quelqu’un a-t’il une idée d’ou peu provenir ce problème (il survient en moyenne 1 fois par semaine sur un poste aléatoire …) ? Je pense à un démarrage un peu lent ou l’ordinateur n’a pas le temps d’identifier son DC.

Merci !

Répondre
30/10/2013

Francois

Bonjour.

Merci pour ce tuto bien utile.

En ce qui me concerne, mes GPO sont dans la configuration ordinateur.
Dans mon cas, j’ai dû en plus désactiver le paramètre « Restrictions Pointer et Imprimer » (Point and Print Restrictions) qui se trouve dans Configuration Ordinateur-Modèles d’administration-Imprimantes.
A défaut, la GPO s’appliquait mais les postes clients ne pouvaient pas installer les drivers depuis le serveur d’impression.

Autre chose: un simple gpupdate sur le poste concerné (ou à distance) installe les imprimantes définies dans la GPO même si l’utilisateur a déja ouvert une session.

Répondre
19/11/2013

Lilian BAUDRY

Super Tuto, toutefois les imprimantes ne semblent pas se « créer » si les drivers ne sont pas présent sur le poste client en amont de l’application de la GPO… Quelqu’un peux me confirmer ?

Merci.

Répondre
1. 19/11/2013
  
  Jonathan Estevez
  
  J’ai oublier de l’indiquer, et le précédent commentaire contient également la réponse. Il faut gérer dans la GPO les paramètres « Point and Print Restrictions ». Cela résoudra le problème d’installation de driver depuis le serveur d’impression.
  
  Répondre
23/06/2014

david

Bonjour,
Est il possible de paramétrer une imprimante locale via un port TCP (imprimante autonome sur le réseau sans serveur d’impression) ?

Merci

Répondre
30/06/2017

fabrice

Bonjour, Merci pour ce tuto sur le ciblage.. J’ai donc mis en place un ciblage au niveau de groupes utilisateurs pour leur affecter une imprimante en fonction de leur appartenance à un service.
Cela fonctionne quand l’utilisateur est dans le groupe.
Cependant si j’enlève l’utilisateur dur groupe l’imprimante est toujours présente..Existe t’il un moyen d’y remédier ?
Je souhaite que l’imprimante RH apparaissent pour tous les utilisateurs membres du groupe RH.
Si un utilisateur du groupe RH s’en va (change de service) et qu’il devient membre du groupe DF il ne doit plus avoir l’imprimante RH dans ses imprimantes disponibles mais celle du groupe DF.

Merci.

Répondre
08/01/2018

rico

Si Jonathan pouvait répondre à la question de Fabrice car cela m’intéresse aussi fortement 🙂
merci (et bonne année)

Répondre
08/01/2018

rico

J’oubliais ma question mais y a t-il une différence entre ajouter une imprimante partagée ou l’ajouter via son adresse IP ?

Répondre
08/02/2018

Reagan MANDIYA

j’ai installé et configuré un serveur d’impréssion en utlisant windows serveur 2012 R2, ma question est celle ci, je veux à ce que lors de deployement je puisse deployement un groupe ou un service de chaque niveau de mon serveur d’impression pour que utilisateur puisse avoir que l’imprimante de leur service ou departement et qu’il ne puisse pas voir d’autres. comment déployer ce groupe en utilisant le gpo ou y-t-il un autre moyen de le faire?

Répondre