Attribuer un administrateur délégué et des paramètres d'autorisation d'imprimante dans Windows Server 2012 – Bien choisir son serveur d impression
<! –
S'applique à: Windows Server 2012
Planifier la sécurité de vos serveurs d'impression et déterminer comment restreindre l'accès à ces serveurs est un élément important de l'administration du serveur d'impression. Sous Windows Vista® et Windows Server® 2008, seuls les administrateurs système complets ont pu effectuer des tâches administratives d'impression. Dans Windows Server 2008 R2 et Windows Server 2012, vous pouvez déléguer des tâches de gestion d'impression directement à des utilisateurs qui ne sont pas administrateurs système. Vous pouvez également définir des paramètres de sécurité d'imprimante par défaut qui sont hérités lorsque vous ajoutez de nouvelles imprimantes à votre serveur d'impression.
Ces modifications permettent les améliorations suivantes pour l'administration de l'imprimante et du serveur d'impression:
-
Vous pouvez contrôler l'accès aux ressources et équilibrer les charges de travail en déléguant des tâches administratives d'impression spécifiques aux utilisateurs sans les ajouter au groupe de sécurité Administrateurs.
-
Vous pouvez gérer les paramètres d'autorisation via l'interface utilisateur améliorée de l'onglet Sécurité dans la boîte de dialogue Propriétés du serveur d'impression.
-
Vous pouvez gérer votre infrastructure d'imprimantes en configurant les paramètres de sécurité d'imprimante par défaut que les nouvelles imprimantes héritent automatiquement lorsque vous les ajoutez. Vous pouvez configurer les paramètres par serveur afin de ne pas avoir à configurer les imprimantes individuellement.
Configuration des paramètres de sécurité
Cette section couvre les points suivants:
Remarque
La sécurité du serveur d'impression ne peut être configurée que par les membres du groupe Administrateurs.
L'interface utilisateur de sécurité du serveur d'impression
Dans Windows Server 2012, les utilisateurs du groupe Administrateurs peuvent configurer directement les paramètres de sécurité d'impression en modifiant les autorisations de liste de contrôle d'accès (ACL) du serveur d'impression dans le composant logiciel enfichable MMC (Print Management Microsoft Management Console). (Pour afficher les autorisations ACL pour votre serveur d'impression, ouvrez le Gestionnaire de serveur, cliquez sur Outils, puis cliquez sur Gestion de l'impression. Dans le volet gauche, cliquez sur Serveurs d'impression, cliquez avec le bouton droit sur le serveur d'impression applicable, puis cliquez sur Propriétés. dans le Propriétés du serveur d'impression boîte de dialogue, cliquez sur le Sécurité languette.)
La figure 1 montre l'interface utilisateur du Sécurité onglet ouvert par un utilisateur membre du groupe Administrateurs.
Figure 1: onglet Sécurité des propriétés du serveur d'impression
Dans un domaine, les membres du groupe Administrateurs peuvent configurer à distance les paramètres de sécurité du serveur d'impression. Pour ce faire, utilisez le composant logiciel enfichable Gestion de l'impression. La fonctionnalité à distance permettant aux utilisateurs d'afficher l'interface utilisateur de sécurité du serveur d'impression est prise en charge pour certains systèmes d'exploitation antérieurs, notamment Windows Server 2008, Windows Vista avec SP1 et Windows Vista avec SP2. Cependant, la fonctionnalité d'administrateur d'impression délégué n'est actuellement disponible que sur Windows Server 2008 R2 et Windows Server 2012.
Définition des autorisations dans les propriétés du serveur d'impression
Les autorisations de serveur d'impression contrôlent les niveaux d'accès des utilisateurs sur un serveur d'impression particulier. Les autorisations d'imprimante contrôlent les tâches d'impression que les utilisateurs peuvent effectuer sur les imprimantes nouvellement ajoutées qui sont gérées par le serveur d'impression. Les administrateurs doivent attribuer ces autorisations selon les besoins aux utilisateurs qui ne sont pas administrateurs système.
Une fois qu'un administrateur a personnalisé les paramètres de sécurité du serveur d'impression, toutes les imprimantes nouvellement ajoutées à ce serveur d'impression héritent automatiquement de ces paramètres de sécurité. (Les paramètres de sécurité des imprimantes existantes sur le serveur ne sont pas modifiés.)
Les deux niveaux d'autorisations du serveur d'impression sont les suivants:
-
Afficher le serveur
L'autorisation Afficher le serveur attribue la possibilité d'afficher le serveur d'impression. Sans l'autorisation Afficher le serveur, les utilisateurs ne peuvent pas voir les imprimantes gérées par le serveur. Par défaut, cette autorisation est accordée aux membres du groupe Tout le monde.
-
Gérer le serveur
L'autorisation Gérer le serveur attribue la possibilité de créer et de supprimer des files d'attente d'impression (avec des pilotes déjà installés), d'ajouter ou de supprimer des ports et d'ajouter ou de supprimer des formulaires. Un utilisateur standard disposant de cette autorisation est appelé «administrateur d'impression délégué».
Remarque
Seuls les utilisateurs disposant d'un accès Gérer le serveur et membres du groupe Administrateurs peuvent ajouter des pilotes d'imprimante.
Les trois niveaux d'autorisations d'imprimante sont les suivants:
-
Impression
L'autorisation d'impression attribue aux utilisateurs la possibilité de se connecter aux imprimantes et d'imprimer, de suspendre, de reprendre, de démarrer et d'annuler leurs propres documents. Par défaut, cette autorisation est accordée aux membres du groupe Tout le monde lors de la création d'une file d'attente d'impression.
-
Gérer les documents
L'autorisation Gérer les documents attribue la possibilité de contrôler les paramètres de travail pour tous les documents et de suspendre, redémarrer et supprimer tous les documents.
-
Gérer les imprimantes
L'autorisation Gérer l'imprimante attribue la possibilité de suspendre et de redémarrer l'imprimante, de modifier les paramètres du spouleur, de partager une imprimante, de régler les autorisations d'imprimante et de modifier les propriétés de l'imprimante.
La possibilité d'attribuer l'accès à une imprimante par utilisateur ou par groupe permet de gérer les imprimantes à partir d'un emplacement central. Par exemple, un administrateur peut limiter l'accès à une imprimante dans un espace public tout en gérant l'imprimante à partir d'un emplacement central plus sécurisé.
Dans Windows Server 2012, les paramètres de sécurité du serveur d'impression et de l'imprimante par défaut sont les suivants:
Toutes les personnes |
Propriétaire créateur |
Administrateurs |
|
---|---|---|---|
Impression |
Autoriser |
Autoriser |
|
Gérer les documents |
Autoriser |
Autoriser |
|
Gérer les imprimantes |
Autoriser |
||
Afficher le serveur |
Autoriser |
Autoriser |
|
Gérer le serveur |
Autoriser |
Création d'un administrateur d'impression délégué
Les membres du groupe Administrateurs peuvent créer un administrateur d'impression délégué complet en attribuant l'autorisation Gérer le serveur à un utilisateur. Lorsque l'autorisation Gérer le serveur est attribuée, l'autorisation Afficher le serveur est également attribuée automatiquement. Vous pouvez également déléguer un sous-ensemble de ces autorisations pour créer un administrateur d'impression délégué partiel.
Pour créer un administrateur d'impression délégué complet
-
Ouvrez le Gestionnaire de serveur, cliquez sur Outils, puis cliquez sur Gestion de l'impression.
Dans le volet gauche, cliquez sur Serveurs d'impression, cliquez avec le bouton droit sur le serveur d'impression applicable, puis cliquez sur Propriétés.
Dans Propriétés du serveur d'impression, clique le Sécurité languette.
-
Pour configurer les autorisations pour un nouveau groupe ou utilisateur, cliquez sur Ajouter. Tapez le nom du groupe ou de l'utilisateur pour lequel vous souhaitez définir des autorisations en utilisant le format suivant: nom de domaineNom d'utilisateur. Cliquez sur D'accord pour fermer la boîte de dialogue.
Pointe
Avant d'ajouter des imprimantes au serveur, vous devez créer un groupe d'utilisateurs pouvant effectuer des tâches d'impression déléguées, puis configurer les autorisations appropriées. Si vous procédez ainsi, toutes les imprimantes nouvellement ajoutées héritent automatiquement de ces paramètres et vous n'avez pas à configurer individuellement les imprimantes existantes pour le serveur d'impression.
-
Mettez en surbrillance le nom d'utilisateur ou de groupe que vous venez d'ajouter et Autorisations pour <nom d'utilisateur ou de groupe>, cliquez sur Autoriser pour le Gérer le serveur autorisation. (Le Afficher le serveur l'autorisation est également attribuée.)
-
Sélectionnez le Autoriser cases à cocher pour le Impression, Gérer les documents, et Gérer les imprimantes autorisations.
Pour créer un administrateur d'impression délégué partiel
-
Pour permettre à un administrateur d'ajouter des imprimantes:
Suivez les instructions précédentes, mais sélectionnez Autoriser cases à cocher pour le Gérer le serveur et Impression autorisations. (Afficher le serveur l'autorisation est également attribuée automatiquement.)
-
Pour permettre à un administrateur de gérer les files d'attente d'impression existantes:
Suivez les instructions précédentes, mais sélectionnez Autoriser cases à cocher pour le Afficher le serveur, Impression, Gérer les documents, et Gérer l'imprimante autorisations.
Le tableau suivant répertorie les tâches d'impression qu'un utilisateur peut effectuer lorsqu'il se voit attribuer les autorisations correspondantes à partir du Propriétés du serveur d'impression Sécurité languette.
Impression |
Gérer les imprimantes |
Gérer les documents |
Afficher le serveur |
Gérer le serveur |
|
---|---|---|---|---|---|
Afficher la file d'attente d'impression (sur le serveur local) |
Oui |
||||
Imprimer les documents appartenant à la file d'attente |
Oui |
||||
Afficher, suspendre, redémarrer et annuler tous les travaux d'impression dans une file d'attente |
Oui |
||||
Mettre à jour les pilotes installés ou inclus et les pilotes disponibles à partir de Windows Update vers une file d'attente existante Remarque Cela ne s'applique pas aux environnements d'impression en cluster. |
Oui |
||||
Ajouter ou supprimer un formulaire dans une file d'attente |
Oui |
||||
Afficher les propriétés de l'imprimante |
Oui |
||||
Afficher les propriétés du serveur d'impression |
Oui |
||||
Configurer les autorisations de sécurité de l'imprimante dans une file d'attente d'impression |
Oui |
||||
Gérer le descripteur de sécurité du serveur d'impression Indicateur setServerSecurityDescirptor |
|||||
Ajouter une file d'attente d'impression à un serveur d'impression |
Oui, lorsque les pilotes sont déjà installés. |
||||
Supprimer une file d'attente d'impression d'un serveur d'impression |
Oui, mais uniquement pour la file d'attente pour laquelle ils ont des autorisations. |
||||
Ajouter un pilote d'impression à un serveur d'impression |
Oui, mais localement uniquement. L'utilisateur doit être membre du groupe Administrateurs pour ajouter des pilotes (y compris à distance) au serveur d'impression. |
||||
Supprimer un pilote d'impression d'un serveur d'impression |
Oui, mais uniquement pour les pilotes (pas les packages de pilotes). |
||||
Ajouter, supprimer et configurer des ports sur un serveur d'impression |
Oui |
||||
Ajouter et supprimer un formulaire sur un serveur d'impression |
Un utilisateur auquel sont attribuées Gérer les imprimantes, mais pas Gérer le serveur, peut ajouter un formulaire lorsque AllowUserManageForms est défini dans le Registre Windows sur une valeur non nulle. Un utilisateur peut ajouter des formulaires jusqu'à la valeur spécifiée pour AllowUserManageForms. Un utilisateur peut uniquement ajouter des formulaires utilisateur et supprimer des formulaires utilisateur. Cependant, un utilisateur avec l'autorisation SERVER_ACCESS_ADMINISTER peut ajouter et supprimer des formulaires d'imprimante et d'utilisateur sans aucune limitation. |
Oui |
|||
Partager l'imprimante |
Oui, si vous disposez des autorisations Gérer l'imprimante sur le serveur d'impression et Partage de fichiers et d'imprimantes* des exceptions ont été activées dans le pare-feu Windows avec sécurité avancée. |
Oui, si vous disposez des autorisations Gérer l'imprimante sur le serveur d'impression et Partage de fichiers et d'imprimantes* des exceptions ont été activées dans le pare-feu Windows avec sécurité avancée. |
Conception et création de groupes de sécurité d'impression
Voici une liste des groupes de sécurité d'impression suggérés et leurs autorisations associées:
-
Groupe des administrateurs système: Se compose de membres du groupe de sécurité Administrateurs.
-
Groupe d'administrateurs d'impression: Se compose des membres du groupe Administrateurs système et des utilisateurs auxquels a été attribué un ensemble de droits d'administrateur d'impression délégués. Selon les droits que vous attribuez, les membres de ce groupe peuvent être considérés comme des administrateurs délégués complets ou des administrateurs délégués partiels.
Remarque
Si vous souhaitez limiter la capacité des membres du groupe Administrateurs à effectuer des tâches de gestion d'impression, au lieu d'ajouter des groupes entiers à ces groupes de sécurité d'impression, vous pouvez ajouter des membres individuellement, puis attribuer les autorisations appropriées.
Le tableau suivant montre quelles actions peuvent être effectuées en fonction des autorisations attribuées:
Utilisateurs standard: peuvent se connecter à des imprimantes et imprimer leurs documents (Autorisations: Imprimer, Afficher le serveur) |
Administrateurs délégués partiels: peuvent ajouter des imprimantes (autorisations: impression, affichage du serveur, gestion du serveur) |
Administrateurs délégués partiels: peuvent gérer les files d'attente existantes (autorisations: impression, affichage du serveur, gestion des imprimantes, gestion des documents) |
Administrateurs délégués complets: peuvent effectuer toutes les tâches d'impression administratives (autorisations: impression, gestion des documents, gestion des imprimantes, affichage du serveur, gestion du serveur) |
Administrateurs système: peuvent administrer entièrement le système (Permissons: Imprimer, Gérer les documents, Gérer les imprimantes, Afficher le serveur, Gérer le serveur) |
|
---|---|---|---|---|---|
Afficher la file d'attente d'impression sur le serveur local |
Oui |
Oui |
Oui |
Oui |
Oui |
Imprimer dans la file d'attente |
Oui |
Oui |
Oui |
Oui |
Oui |
Afficher, suspendre, redémarrer ou annuler des travaux d'impression appartenant à l'utilisateur dans une file d'attente |
Oui |
Oui |
Oui |
Oui |
Oui |
Modifier tous les travaux d'impression dans une file d'attente |
Oui |
Oui |
Oui |
||
Mettre à jour un pilote installé ou inclus dans une file d'attente existante |
Oui |
Oui |
Oui |
||
Ajouter ou supprimer un formulaire dans la file d'attente |
Oui |
Oui |
Oui |
||
Afficher les propriétés de l'imprimante |
Oui |
Oui |
Oui |
Oui |
Oui |
Afficher les propriétés du serveur d'impression |
Oui |
Oui |
Oui |
Oui |
Oui |
Gérer les autorisations de sécurité sur la file d'attente d'impression |
Oui |
Oui |
Oui |
||
Gérer le descripteur de sécurité du serveur d'impression Indicateur setServerSecurityDescirptor |
Oui |
||||
Ajouter et supprimer la file d'attente d'impression sur un serveur |
Oui, mais vous pouvez ajouter une imprimante en utilisant uniquement un pilote préinstallé. |
Oui, mais vous ne pouvez supprimer la file d'attente d'impression qu'avec l'autorisation Gérer l'imprimante. |
Oui, mais vous pouvez ajouter une imprimante en utilisant uniquement un pilote préinstallé. |
Oui |
|
Ajouter et supprimer un pilote d'impression sur un serveur |
Oui, mais localement uniquement. L'utilisateur doit être membre du groupe Administrateurs pour ajouter des pilotes non inclus ou pour ajouter des pilotes à distance au serveur d'impression. |
Oui, mais localement uniquement. L'utilisateur doit être membre du groupe Administrateurs pour ajouter des pilotes non inclus ou pour ajouter des pilotes à distance au serveur d'impression. |
Oui |
||
Ajouter, supprimer et configurer des ports sur un serveur d'impression |
Oui |
Oui |
Oui |
||
Ajouter et supprimer un formulaire sur un serveur d'impression |
Oui |
Oui |
Oui |
||
Partager l'imprimante |
Oui, si vous disposez des autorisations Gérer l'imprimante sur le serveur d'impression et Partage de fichiers et d'imprimantes* des exceptions ont été activées dans le pare-feu Windows avec sécurité avancée. |
Oui, si le Partage de fichiers et d'imprimantes* des exceptions ont été activées dans le pare-feu Windows avec sécurité avancée. |
Oui |
Remarque
Nous recommandons que seul un membre du groupe Administrateurs système installe des pilotes. Si un administrateur d'impression délégué prévoit d'ajouter ou de gérer des files d'attente à distance, l'administrateur système doit installer le pilote dans le répertoire suivant à l'aide de Windows PowerShell® ou manuellement:
lecteur systèmeles fenêtresSystem32bobineConducteursarchitecture_processeur3
Pour plus d'informations sur les applets de commande de gestion de l'impression Windows PowerShell, voir Applets de commande de gestion de l'impression dans Windows PowerShell.
<! – ->
Commentaires
Laisser un commentaire