Serveur d'impression

Attribuer un administrateur délégué et des paramètres d'autorisation d'imprimante dans Windows Server 2012 – Bien choisir son serveur d impression

Le 8 mars 2020 - 14 minutes de lecture

<! – ->

S'applique à: Windows Server 2012

Planifier la sécurité de vos serveurs d'impression et déterminer comment restreindre l'accès à ces serveurs est un élément important de l'administration du serveur d'impression. Sous Windows Vista® et Windows Server® 2008, seuls les administrateurs système complets ont pu effectuer des tâches administratives d'impression. Dans Windows Server 2008 R2 et Windows Server 2012, vous pouvez déléguer des tâches de gestion d'impression directement à des utilisateurs qui ne sont pas administrateurs système. Vous pouvez également définir des paramètres de sécurité d'imprimante par défaut qui sont hérités lorsque vous ajoutez de nouvelles imprimantes à votre serveur d'impression.

Ces modifications permettent les améliorations suivantes pour l'administration de l'imprimante et du serveur d'impression:

  • Vous pouvez contrôler l'accès aux ressources et équilibrer les charges de travail en déléguant des tâches administratives d'impression spécifiques aux utilisateurs sans les ajouter au groupe de sécurité Administrateurs.

  • Vous pouvez gérer les paramètres d'autorisation via l'interface utilisateur améliorée de l'onglet Sécurité dans la boîte de dialogue Propriétés du serveur d'impression.

  • Vous pouvez gérer votre infrastructure d'imprimantes en configurant les paramètres de sécurité d'imprimante par défaut que les nouvelles imprimantes héritent automatiquement lorsque vous les ajoutez. Vous pouvez configurer les paramètres par serveur afin de ne pas avoir à configurer les imprimantes individuellement.

Configuration des paramètres de sécurité

Cette section couvre les points suivants:

Remarque

La sécurité du serveur d'impression ne peut être configurée que par les membres du groupe Administrateurs.

L'interface utilisateur de sécurité du serveur d'impression

Dans Windows Server 2012, les utilisateurs du groupe Administrateurs peuvent configurer directement les paramètres de sécurité d'impression en modifiant les autorisations de liste de contrôle d'accès (ACL) du serveur d'impression dans le composant logiciel enfichable MMC (Print Management Microsoft Management Console). (Pour afficher les autorisations ACL pour votre serveur d'impression, ouvrez le Gestionnaire de serveur, cliquez sur Outils, puis cliquez sur Gestion de l'impression. Dans le volet gauche, cliquez sur Serveurs d'impression, cliquez avec le bouton droit sur le serveur d'impression applicable, puis cliquez sur Propriétés. dans le Propriétés du serveur d'impression boîte de dialogue, cliquez sur le Sécurité languette.)

La figure 1 montre l'interface utilisateur du Sécurité onglet ouvert par un utilisateur membre du groupe Administrateurs.

Figure 1: onglet Sécurité des propriétés du serveur d'impression

Dans un domaine, les membres du groupe Administrateurs peuvent configurer à distance les paramètres de sécurité du serveur d'impression. Pour ce faire, utilisez le composant logiciel enfichable Gestion de l'impression. La fonctionnalité à distance permettant aux utilisateurs d'afficher l'interface utilisateur de sécurité du serveur d'impression est prise en charge pour certains systèmes d'exploitation antérieurs, notamment Windows Server 2008, Windows Vista avec SP1 et Windows Vista avec SP2. Cependant, la fonctionnalité d'administrateur d'impression délégué n'est actuellement disponible que sur Windows Server 2008 R2 et Windows Server 2012.

Définition des autorisations dans les propriétés du serveur d'impression

Les autorisations de serveur d'impression contrôlent les niveaux d'accès des utilisateurs sur un serveur d'impression particulier. Les autorisations d'imprimante contrôlent les tâches d'impression que les utilisateurs peuvent effectuer sur les imprimantes nouvellement ajoutées qui sont gérées par le serveur d'impression. Les administrateurs doivent attribuer ces autorisations selon les besoins aux utilisateurs qui ne sont pas administrateurs système.

Une fois qu'un administrateur a personnalisé les paramètres de sécurité du serveur d'impression, toutes les imprimantes nouvellement ajoutées à ce serveur d'impression héritent automatiquement de ces paramètres de sécurité. (Les paramètres de sécurité des imprimantes existantes sur le serveur ne sont pas modifiés.)

Les deux niveaux d'autorisations du serveur d'impression sont les suivants:

  • Afficher le serveur

    L'autorisation Afficher le serveur attribue la possibilité d'afficher le serveur d'impression. Sans l'autorisation Afficher le serveur, les utilisateurs ne peuvent pas voir les imprimantes gérées par le serveur. Par défaut, cette autorisation est accordée aux membres du groupe Tout le monde.

  • Gérer le serveur

    L'autorisation Gérer le serveur attribue la possibilité de créer et de supprimer des files d'attente d'impression (avec des pilotes déjà installés), d'ajouter ou de supprimer des ports et d'ajouter ou de supprimer des formulaires. Un utilisateur standard disposant de cette autorisation est appelé «administrateur d'impression délégué».

    Remarque

    Seuls les utilisateurs disposant d'un accès Gérer le serveur et membres du groupe Administrateurs peuvent ajouter des pilotes d'imprimante.

Les trois niveaux d'autorisations d'imprimante sont les suivants:

  • Impression

    L'autorisation d'impression attribue aux utilisateurs la possibilité de se connecter aux imprimantes et d'imprimer, de suspendre, de reprendre, de démarrer et d'annuler leurs propres documents. Par défaut, cette autorisation est accordée aux membres du groupe Tout le monde lors de la création d'une file d'attente d'impression.

  • Gérer les documents

    L'autorisation Gérer les documents attribue la possibilité de contrôler les paramètres de travail pour tous les documents et de suspendre, redémarrer et supprimer tous les documents.

  • Gérer les imprimantes

    L'autorisation Gérer l'imprimante attribue la possibilité de suspendre et de redémarrer l'imprimante, de modifier les paramètres du spouleur, de partager une imprimante, de régler les autorisations d'imprimante et de modifier les propriétés de l'imprimante.

La possibilité d'attribuer l'accès à une imprimante par utilisateur ou par groupe permet de gérer les imprimantes à partir d'un emplacement central. Par exemple, un administrateur peut limiter l'accès à une imprimante dans un espace public tout en gérant l'imprimante à partir d'un emplacement central plus sécurisé.

Dans Windows Server 2012, les paramètres de sécurité du serveur d'impression et de l'imprimante par défaut sont les suivants:

Toutes les personnes

Propriétaire créateur

Administrateurs

Impression

Autoriser

Autoriser

Gérer les documents

Autoriser

Autoriser

Gérer les imprimantes

Autoriser

Afficher le serveur

Autoriser

Autoriser

Gérer le serveur

Autoriser

Création d'un administrateur d'impression délégué

Les membres du groupe Administrateurs peuvent créer un administrateur d'impression délégué complet en attribuant l'autorisation Gérer le serveur à un utilisateur. Lorsque l'autorisation Gérer le serveur est attribuée, l'autorisation Afficher le serveur est également attribuée automatiquement. Vous pouvez également déléguer un sous-ensemble de ces autorisations pour créer un administrateur d'impression délégué partiel.

Pour créer un administrateur d'impression délégué complet

  1. Ouvrez le Gestionnaire de serveur, cliquez sur Outils, puis cliquez sur Gestion de l'impression.

    Dans le volet gauche, cliquez sur Serveurs d'impression, cliquez avec le bouton droit sur le serveur d'impression applicable, puis cliquez sur Propriétés.

    Dans Propriétés du serveur d'impression, clique le Sécurité languette.

  2. Pour configurer les autorisations pour un nouveau groupe ou utilisateur, cliquez sur Ajouter. Tapez le nom du groupe ou de l'utilisateur pour lequel vous souhaitez définir des autorisations en utilisant le format suivant: nom de domaineNom d'utilisateur. Cliquez sur D'accord pour fermer la boîte de dialogue.

    Pointe

    Avant d'ajouter des imprimantes au serveur, vous devez créer un groupe d'utilisateurs pouvant effectuer des tâches d'impression déléguées, puis configurer les autorisations appropriées. Si vous procédez ainsi, toutes les imprimantes nouvellement ajoutées héritent automatiquement de ces paramètres et vous n'avez pas à configurer individuellement les imprimantes existantes pour le serveur d'impression.

  3. Mettez en surbrillance le nom d'utilisateur ou de groupe que vous venez d'ajouter et Autorisations pour <nom d'utilisateur ou de groupe>, cliquez sur Autoriser pour le Gérer le serveur autorisation. (Le Afficher le serveur l'autorisation est également attribuée.)

  4. Sélectionnez le Autoriser cases à cocher pour le Impression, Gérer les documents, et Gérer les imprimantes autorisations.

Pour créer un administrateur d'impression délégué partiel

  • Pour permettre à un administrateur d'ajouter des imprimantes:

    Suivez les instructions précédentes, mais sélectionnez Autoriser cases à cocher pour le Gérer le serveur et Impression autorisations. (Afficher le serveur l'autorisation est également attribuée automatiquement.)

  • Pour permettre à un administrateur de gérer les files d'attente d'impression existantes:

    Suivez les instructions précédentes, mais sélectionnez Autoriser cases à cocher pour le Afficher le serveur, Impression, Gérer les documents, et Gérer l'imprimante autorisations.

Le tableau suivant répertorie les tâches d'impression qu'un utilisateur peut effectuer lorsqu'il se voit attribuer les autorisations correspondantes à partir du Propriétés du serveur d'impression Sécurité languette.

Impression

Gérer les imprimantes

Gérer les documents

Afficher le serveur

Gérer le serveur

Afficher la file d'attente d'impression (sur le serveur local)

Oui

Imprimer les documents appartenant à la file d'attente

Oui

Afficher, suspendre, redémarrer et annuler tous les travaux d'impression dans une file d'attente

Oui

Mettre à jour les pilotes installés ou inclus et les pilotes disponibles à partir de Windows Update vers une file d'attente existante

Remarque

Cela ne s'applique pas aux environnements d'impression en cluster.

Oui

Ajouter ou supprimer un formulaire dans une file d'attente

Oui

Afficher les propriétés de l'imprimante

Oui

Afficher les propriétés du serveur d'impression

Oui

Configurer les autorisations de sécurité de l'imprimante dans une file d'attente d'impression

Oui

Gérer le descripteur de sécurité du serveur d'impression Indicateur setServerSecurityDescirptor

Ajouter une file d'attente d'impression à un serveur d'impression

Oui, lorsque les pilotes sont déjà installés.

Supprimer une file d'attente d'impression d'un serveur d'impression

Oui, mais uniquement pour la file d'attente pour laquelle ils ont des autorisations.

Ajouter un pilote d'impression à un serveur d'impression

Oui, mais localement uniquement. L'utilisateur doit être membre du groupe Administrateurs pour ajouter des pilotes (y compris à distance) au serveur d'impression.

Supprimer un pilote d'impression d'un serveur d'impression

Oui, mais uniquement pour les pilotes (pas les packages de pilotes).

Ajouter, supprimer et configurer des ports sur un serveur d'impression

Oui

Ajouter et supprimer un formulaire sur un serveur d'impression

Un utilisateur auquel sont attribuées Gérer les imprimantes, mais pas Gérer le serveur, peut ajouter un formulaire lorsque AllowUserManageForms est défini dans le Registre Windows sur une valeur non nulle. Un utilisateur peut ajouter des formulaires jusqu'à la valeur spécifiée pour AllowUserManageForms. Un utilisateur peut uniquement ajouter des formulaires utilisateur et supprimer des formulaires utilisateur. Cependant, un utilisateur avec l'autorisation SERVER_ACCESS_ADMINISTER peut ajouter et supprimer des formulaires d'imprimante et d'utilisateur sans aucune limitation.

Oui

Partager l'imprimante

Oui, si vous disposez des autorisations Gérer l'imprimante sur le serveur d'impression et Partage de fichiers et d'imprimantes* des exceptions ont été activées dans le pare-feu Windows avec sécurité avancée.

Oui, si vous disposez des autorisations Gérer l'imprimante sur le serveur d'impression et Partage de fichiers et d'imprimantes* des exceptions ont été activées dans le pare-feu Windows avec sécurité avancée.

Conception et création de groupes de sécurité d'impression

Voici une liste des groupes de sécurité d'impression suggérés et leurs autorisations associées:

  • Groupe des administrateurs système: Se compose de membres du groupe de sécurité Administrateurs.

  • Groupe d'administrateurs d'impression: Se compose des membres du groupe Administrateurs système et des utilisateurs auxquels a été attribué un ensemble de droits d'administrateur d'impression délégués. Selon les droits que vous attribuez, les membres de ce groupe peuvent être considérés comme des administrateurs délégués complets ou des administrateurs délégués partiels.

Remarque

Si vous souhaitez limiter la capacité des membres du groupe Administrateurs à effectuer des tâches de gestion d'impression, au lieu d'ajouter des groupes entiers à ces groupes de sécurité d'impression, vous pouvez ajouter des membres individuellement, puis attribuer les autorisations appropriées.

Le tableau suivant montre quelles actions peuvent être effectuées en fonction des autorisations attribuées:

Utilisateurs standard: peuvent se connecter à des imprimantes et imprimer leurs documents (Autorisations: Imprimer, Afficher le serveur)

Administrateurs délégués partiels: peuvent ajouter des imprimantes (autorisations: impression, affichage du serveur, gestion du serveur)

Administrateurs délégués partiels: peuvent gérer les files d'attente existantes (autorisations: impression, affichage du serveur, gestion des imprimantes, gestion des documents)

Administrateurs délégués complets: peuvent effectuer toutes les tâches d'impression administratives (autorisations: impression, gestion des documents, gestion des imprimantes, affichage du serveur, gestion du serveur)

Administrateurs système: peuvent administrer entièrement le système (Permissons: Imprimer, Gérer les documents, Gérer les imprimantes, Afficher le serveur, Gérer le serveur)

Afficher la file d'attente d'impression sur le serveur local

Oui

Oui

Oui

Oui

Oui

Imprimer dans la file d'attente

Oui

Oui

Oui

Oui

Oui

Afficher, suspendre, redémarrer ou annuler des travaux d'impression appartenant à l'utilisateur dans une file d'attente

Oui

Oui

Oui

Oui

Oui

Modifier tous les travaux d'impression dans une file d'attente

Oui

Oui

Oui

Mettre à jour un pilote installé ou inclus dans une file d'attente existante

Oui

Oui

Oui

Ajouter ou supprimer un formulaire dans la file d'attente

Oui

Oui

Oui

Afficher les propriétés de l'imprimante

Oui

Oui

Oui

Oui

Oui

Afficher les propriétés du serveur d'impression

Oui

Oui

Oui

Oui

Oui

Gérer les autorisations de sécurité sur la file d'attente d'impression

Oui

Oui

Oui

Gérer le descripteur de sécurité du serveur d'impression Indicateur setServerSecurityDescirptor

Oui

Ajouter et supprimer la file d'attente d'impression sur un serveur

Oui, mais vous pouvez ajouter une imprimante en utilisant uniquement un pilote préinstallé.

Oui, mais vous ne pouvez supprimer la file d'attente d'impression qu'avec l'autorisation Gérer l'imprimante.

Oui, mais vous pouvez ajouter une imprimante en utilisant uniquement un pilote préinstallé.

Oui

Ajouter et supprimer un pilote d'impression sur un serveur

Oui, mais localement uniquement. L'utilisateur doit être membre du groupe Administrateurs pour ajouter des pilotes non inclus ou pour ajouter des pilotes à distance au serveur d'impression.

Oui, mais localement uniquement. L'utilisateur doit être membre du groupe Administrateurs pour ajouter des pilotes non inclus ou pour ajouter des pilotes à distance au serveur d'impression.

Oui

Ajouter, supprimer et configurer des ports sur un serveur d'impression

Oui

Oui

Oui

Ajouter et supprimer un formulaire sur un serveur d'impression

Oui

Oui

Oui

Partager l'imprimante

Oui, si vous disposez des autorisations Gérer l'imprimante sur le serveur d'impression et Partage de fichiers et d'imprimantes* des exceptions ont été activées dans le pare-feu Windows avec sécurité avancée.

Oui, si le Partage de fichiers et d'imprimantes* des exceptions ont été activées dans le pare-feu Windows avec sécurité avancée.

Oui

Remarque

Nous recommandons que seul un membre du groupe Administrateurs système installe des pilotes. Si un administrateur d'impression délégué prévoit d'ajouter ou de gérer des files d'attente à distance, l'administrateur système doit installer le pilote dans le répertoire suivant à l'aide de Windows PowerShell® ou manuellement:
lecteur systèmeles fenêtresSystem32bobineConducteursarchitecture_processeur3

Pour plus d'informations sur les applets de commande de gestion de l'impression Windows PowerShell, voir Applets de commande de gestion de l'impression dans Windows PowerShell.

<! – ->

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.