Exporter (0) Imprimer
Développer tout

Affectation de paramètres d'autorisation pour l'administrateur d'impression délégué et les imprimantes dans Windows Server 2008 R2

Mis à jour: septembre 2009

S'applique à: Windows 7, Windows Server 2008 R2

Planifier la sécurité de vos serveurs d'impression et déterminer comment restreindre l'accès à ces derniers sont des aspects importants de l'administration des serveurs d'impression. Dans Windows Vista® et Windows Server® 2008, seuls les administrateurs système complets étaient en mesure d'exécuter des tâches d'administration en matière d'impression. Dans Windows Server 2008 R2, vous pouvez désormais déléguer directement les tâches de gestion de l'impression aux utilisateurs qui ne sont pas des administrateurs système. Vous pouvez également définir les paramètres de sécurité d'imprimante par défaut lorsque vous ajoutez de nouvelles imprimantes à votre serveur d'impression.

Ces modifications entraînent les améliorations suivantes pour l'administration des imprimantes et du serveur d'impression :

  • Vous pouvez contrôler l'accès aux ressources et équilibrer les charges de travail en déléguant des tâches d'administration d'impression spécifiques aux utilisateurs sans ajouter ces derniers au groupe de sécurité Administrateurs.

  • Vous pouvez gérer les paramètres d'autorisation via l'interface utilisateur améliorée de l'onglet Sécurité dans la boîte de dialogue Propriétés du serveur d'impression.

  • Vous pouvez gérer votre infrastructure d'imprimante en configurant les paramètres de sécurité d'imprimante par défaut dont les nouvelles imprimantes héritent automatiquement lorsque vous les ajoutez. Vous pouvez configurer les paramètres par serveur afin de ne pas avoir à configurer les imprimantes individuellement.

Configuration des paramètres de sécurité

Cette section aborde les points suivants :

noteRemarque
La sécurité du serveur d'impression ne peut être configurée que par les membres du groupe Administrateurs.

Interface utilisateur de la sécurité du serveur d'impression

Dans Windows Server 2008 R2, les utilisateurs du groupe Administrateurs peuvent configurer directement les paramètres de sécurité d'impression en modifiant les autorisations de la liste de contrôle d'accès du serveur d'impression dans le composant logiciel enfichable Microsoft Management Console (MMC) Gestion de l'impression. (Pour afficher les autorisations de la liste de contrôle d'accès de votre serveur d'impression, cliquez sur Démarrer, sur Outils d'administration, cliquez avec le bouton droit sur Gestion de l'impression, puis cliquez sur Exécuter en tant qu'administrateur. Dans le volet gauche, cliquez sur Serveurs d'impression, cliquez avec le bouton droit sur le serveur d'impression approprié, puis cliquez sur Propriétés. Dans la boîte de dialogue Propriétés du serveur d'impression, cliquez sur l'onglet Sécurité.)

La figure 1 montre l'interface utilisateur de l'onglet Sécurité qui est ouvert par un utilisateur membre du groupe Administrateurs.

Figure 1   Onglet Sécurité des Propriétés du serveur d'impression

Dans un domaine, les membres du groupe Administrateurs peuvent configurer à distance les paramètres de sécurité du serveur d'impression. Pour ce faire, il suffit d'utiliser le composant logiciel enfichable Gestion de l'impression. Les fonctionnalités distantes qui permettent aux utilisateurs d'afficher l'interface utilisateur de la sécurité du serveur d'impression sont prises en charge pour certains systèmes d'exploitation antérieurs, notamment Windows Server 2008, Windows Vista avec SP1 et Windows Vista avec SP2. Toutefois, les fonctionnalités d'administrateur d'impression délégué sont actuellement disponibles uniquement sur Windows Server 2008 R2.

Définition des autorisations dans les propriétés du serveur d'impression

Les autorisations du serveur d'impression permettent de contrôler les niveaux d'accès des utilisateurs à un serveur d'impression particulier. Les autorisations d'imprimante permettent de contrôler les tâches d'impression que les utilisateurs peuvent exécuter sur les dernières imprimantes ajoutées, qui sont gérées par le serveur d'impression. Selon les besoins, les administrateurs doivent attribuer ces autorisations aux utilisateurs qui ne sont pas des administrateurs système.

Une fois qu'un administrateur a personnalisé les paramètres de sécurité du serveur d'impression, les dernières imprimantes ajoutées à ce serveur d'impression héritent automatiquement de ces paramètres de sécurité. (Les paramètres de sécurité des imprimantes existantes sur le serveur ne sont pas modifiés.)

Les deux niveaux d'autorisation du serveur d'impression sont :

  • Afficher le serveur

    L'autorisation Afficher le serveur donne la possibilité d'afficher le serveur d'impression. Sans l'autorisation Afficher le serveur, les utilisateurs ne peuvent pas voir les imprimantes gérées par le serveur. Par défaut, cette autorisation est accordée aux membres du groupe Tout le monde.

  • Gérer le serveur

    L'autorisation Gérer le serveur donne la possibilité de créer et de supprimer les files d'attente à l'impression (avec des pilotes déjà installés), d'ajouter ou de supprimer des ports, et d'ajouter ou de supprimer des formulaires. Un utilisateur standard qui dispose de cette autorisation est appelé un « administrateur d'impression délégué ».

    noteRemarque
    Seuls les utilisateurs qui disposent de l'autorisation d'accès Gérer le serveur et qui sont membres du groupe Administrateurs peuvent ajouter des pilotes d'imprimantes.

Les trois niveaux des autorisations d'imprimante sont :

  • Imprimer

    L'autorisation Imprimer donne aux utilisateurs la possibilité de se connecter aux imprimantes et d'imprimer, d'interrompre, de reprendre, de démarrer ou d'annuler l'impression de leurs propres documents. Par défaut, cette autorisation est accordée aux membres du groupe Tout le monde lorsqu'une file d'attente à l'impression est créée.

  • Gérer les documents

    L'autorisation Gérer les documents donne la possibilité de contrôler les paramètres de travail pour tous les documents et d'interrompre, de redémarrer ou de supprimer l'ensemble des documents.

  • Gérer les imprimantes

    L'autorisation Gérer les imprimantes donne la possibilité d'interrompre et de redémarrer l'imprimante, de modifier les paramètres du spouleur, de partager une imprimante, de configurer les autorisations d'imprimante et de changer les propriétés d'imprimante.

L'attribution de l'accès à une imprimante pour un utilisateur ou un groupe spécifique rend possible la gestion des imprimantes à partir d'un emplacement central. Par exemple, un administrateur peut limiter l'accès à une imprimante dans une zone publique tout en gérant l'imprimante à partir d'un emplacement central, plus sécurisé.

Dans Windows Server 2008 R2, les paramètres de sécurité par défaut du serveur d'impression et des imprimantes sont les suivants :

 

 

  Tout le monde Créateur propriétaire Administrateurs

Imprimer

Autoriser

Autoriser

Gérer les documents

Autoriser

Autoriser

Gérer les imprimantes

Autoriser

Afficher le serveur

Autoriser

Autoriser

Gérer le serveur

Autoriser

Création d'un administrateur d'impression délégué

Les membres du groupe Administrateurs peuvent créer un administrateur d'impression délégué complet en attribuant l'autorisation Gérer le serveur à un utilisateur. Lorsque l'autorisation Gérer le serveur est attribuée, l'autorisation Afficher le serveur est également attribuée automatiquement. Vous pouvez également déléguer un sous-ensemble de ces autorisations pour créer un administrateur d'impression délégué partiel.

Pour créer un administrateur d'impression délégué complet

  1. Cliquez sur Démarrer, sur Outils d'administration, cliquez avec le bouton droit sur Gestion de l'impression, puis cliquez sur Exécuter en tant qu'administrateur.

    Dans le volet gauche, cliquez sur Serveurs d'impression, cliquez avec le bouton droit sur le serveur d'impression approprié, puis cliquez sur Propriétés.

    Dans la boîte de dialogue Propriétés du serveur d'impression, cliquez sur l'onglet Sécurité.

  2. Pour configurer les autorisations d'un nouveau groupe ou d'un nouvel utilisateur, cliquez sur Ajouter. Tapez le nom du groupe ou de l'utilisateur pour lequel vous souhaitez définir des autorisations en respectant le format suivant : nom de domaine\nom_utilisateur. Cliquez sur OK pour fermer la boîte de dialogue.

    TipConseil
    Avant d'ajouter des imprimantes au serveur, créez un groupe d'utilisateurs ayant la possibilité d'effectuer des tâches d'impression déléguées, puis configurez les autorisations appropriées. Si vous procédez ainsi, les nouvelles imprimantes ajoutées héritent automatiquement de ces paramètres ; en outre, vous n'avez pas à configurer individuellement les imprimantes existantes pour le serveur d'impression.

  3. Mettez en surbrillance le nom d'utilisateur ou de groupe que vous venez d'ajouter, puis dans Autorisations pour <nom d'utilisateur ou de groupe>, cliquez sur Autoriser pour l'autorisation Gérer le serveur. (L'autorisation Afficher le serveur est également attribuée.)

  4. Activez les cases à cocher Autoriser pour les autorisations Imprimer, Gérer les documents et Gérer les imprimantes.

Pour créer un administrateur d'impression délégué partiel

  • Pour permettre à un administrateur d'ajouter des imprimantes :

    Suivez les instructions précédentes, mais activez les cases à cocher Autoriser pour les autorisations Gérer le serveur et Imprimer. (L'autorisation Afficher le serveur est également attribuée automatiquement.)

  • Pour permettre à un administrateur de gérer les files d'attente à l'impression existantes :

    Suivez les instructions précédentes, mais activez les cases à cocher Autoriser pour les autorisations Afficher le serveur, Imprimer, Gérer les documents et Gérer les imprimantes.

Autorisations relatives à l'impression et tâches qui en résultent

Le tableau suivant répertorie les tâches d'impression qu'un utilisateur peut effectuer lorsqu'il reçoit les autorisations correspondantes à partir de l'onglet Sécurité des Propriétés du serveur d'impression.

 

  Imprimer Gérer les imprimantes Gérer les documents Afficher le serveur Gérer le serveur

Afficher la file d'attente à l'impression (sur le serveur local)

Oui

Imprimer les documents détenus vers la file d'attente

Oui

Afficher, interrompre, redémarrer et annuler tous les travaux d'impression dans une file d'attente

Oui

Mettre à jour les pilotes installés ou inclus, ainsi que les pilotes disponibles à partir du site Windows Update, dans une file d'attente existante

noteRemarque
Cela ne s'applique pas aux environnements d'impression en cluster.

Oui

Ajouter ou supprimer un formulaire dans une file d'attente

Oui

Afficher les propriétés d'imprimante

Oui

Afficher les propriétés du serveur d'impression

Oui

Configurer les autorisations de sécurité des imprimantes dans une file d'attente à l'impression

Oui

Gérer le descripteur de sécurité balise setServerSecurityDescirptor du serveur d'impression

Ajouter une file d'attente à l'impression à un serveur d'impression

Oui, lorsque les pilotes sont déjà installés.

Supprimer une file d'attente à l'impression sur un serveur d'impression

Oui, mais uniquement la file d'attente pour laquelle l'utilisateur dispose d'autorisations.

Ajouter un pilote d'imprimante à un serveur d'impression

Oui, mais localement uniquement. L'utilisateur doit être membre du groupe Administrateurs pour pouvoir ajouter des pilotes (y compris à distance) au serveur d'impression.

Supprimer un pilote d'imprimante sur un serveur d'impression

Oui, mais uniquement les pilotes (pas les packages de pilotes).

Ajouter, supprimer et configurer des ports sur un serveur d'impression

Oui

Ajouter et supprimer un formulaire sur un serveur d'impression

Un utilisateur qui se voit attribuer l'autorisation Gérer les imprimantes, mais pas Gérer le serveur, peut ajouter un formulaire lorsque la valeur d'AllowUserManageForms est différente de zéro dans le Registre Windows. L'utilisateur peut ajouter un nombre maximal de formulaires correspondant à la valeur d'AllowUserManageForms. L'utilisateur peut uniquement ajouter et supprimer des formulaires utilisateur. Toutefois, l'utilisateur qui dispose de l'autorisation SERVER_ACCESS_ADMINISTER peut ajouter et supprimer une imprimante et des formulaires utilisateur sans restrictions.

Oui

Partager l'imprimante

Oui, si vous disposez de l'autorisation Gérer les imprimantes sur le serveur d'impression, et si les exceptions relatives au Partage de fichiers et d'imprimantes* ont été activées dans le Pare-feu Windows avec fonctions avancées de sécurité.

Oui, si vous disposez de l'autorisation Gérer les imprimantes sur le serveur d'impression, et si les exceptions relatives au Partage de fichiers et d'imprimantes* ont été activées dans le Pare-feu Windows avec fonctions avancées de sécurité.

Conception et création de groupes de sécurité d'impression

Voici une liste de groupes de sécurité d'impression suggérés avec leurs autorisations associées :

  • Groupe Administrateurs système : comprend les membres du groupe de sécurité Administrateurs.

  • Groupe Administrateurs d'impression : comprend les membres du groupe Administrateurs système et les utilisateurs ayant reçu une partie des droits d'administrateur d'impression délégué. Selon les droits que vous attribuez, les membres de ce groupe peuvent être considérés comme des administrateurs délégués complets ou des administrateurs délégués partiels.

noteRemarque
Si vous voulez limiter la capacité des membres du groupe Administrateurs à effectuer des tâches de gestion de l'impression, au lieu d'ajouter des groupes entiers à ces groupes de sécurité d'impression, vous pouvez ajouter des membres individuellement, puis attribuer les autorisations appropriées.

Le tableau suivant montre les actions pouvant être effectuées selon les autorisations attribuées :

 

  Utilisateurs standard : peut se connecter aux imprimantes et imprimer ses documents (autorisations : Imprimer, Afficher le serveur) Administrateurs délégués partiels : peut ajouter des imprimantes (autorisations : Imprimer, Afficher le serveur, Gérer le serveur) Administrateurs délégués partiels : peut gérer les files d'attente existantes (autorisations : Imprimer, Afficher le serveur, Gérer les imprimantes, Gérer les documents) Administrateurs délégués complets : peut effectuer toutes les tâches d'administration de l'impression (autorisations : Imprimer, Gérer les documents, Gérer les imprimantes, Afficher le serveur, Gérer le serveur) Administrateurs système : peut administrer le système en totalité (autorisations : Imprimer, Gérer les documents, Gérer les imprimantes, Afficher le serveur, Gérer le serveur)

Afficher la file d'attente à l'impression sur le serveur local

Oui

Oui

Oui

Oui

Oui

Imprimer vers la file d'attente

Oui

Oui

Oui

Oui

Oui

Afficher, interrompre, redémarrer ou annuler les travaux d'impression détenus par l'utilisateur dans une file d'attente

Oui

Oui

Oui

Oui

Oui

Modifier tous les travaux d'impression dans une file d'attente

Oui

Oui

Oui

Mettre à jour un pilote installé ou inclus dans une file d'attente existante

Oui

Oui

Oui

Ajouter ou supprimer un formulaire dans la file d'attente

Oui

Oui

Oui

Afficher les propriétés d'imprimante

Oui

Oui

Oui

Oui

Oui

Afficher les propriétés du serveur d'impression

Oui

Oui

Oui

Oui

Oui

Gérer l'autorisation de sécurité de la file d'attente à l'impression

Oui

Oui

Oui

Gérer le descripteur de sécurité balise setServerSecurityDescirptor du serveur d'impression

Oui

Ajouter et supprimer la file d'attente à l'impression sur un serveur

Oui, mais vous ne pouvez ajouter une imprimante qu'à l'aide d'un pilote préinstallé.

Oui, mais vous ne pouvez supprimer la file d'attente à l'impression qu'avec l'autorisation Gérer les imprimantes.

Oui, mais vous ne pouvez ajouter une imprimante qu'à l'aide d'un pilote préinstallé.

Oui

Ajouter et supprimer un pilote d'imprimante sur un serveur

Oui, mais localement uniquement. L'utilisateur doit être membre du groupe Administrateurs pour pouvoir ajouter des pilotes non inclus ou pour pouvoir ajouter des pilotes à distance sur le serveur d'impression.

Oui, mais localement uniquement. L'utilisateur doit être membre du groupe Administrateurs pour pouvoir ajouter des pilotes non inclus ou pour pouvoir ajouter des pilotes à distance sur le serveur d'impression.

Oui

Ajouter, supprimer et configurer des ports sur un serveur d'impression

Oui

Oui

Oui

Ajouter et supprimer un formulaire sur un serveur d'impression

Oui

Oui

Oui

Partager l'imprimante

Oui, si vous disposez de l'autorisation Gérer les imprimantes sur le serveur d'impression, et si les exceptions relatives au Partage de fichiers et d'imprimantes* ont été activées dans le Pare-feu Windows avec fonctions avancées de sécurité.

Oui, si les exceptions relatives au Partage de fichiers et d'imprimantes* ont été activées dans le Pare-feu Windows avec fonctions avancées de sécurité.

Oui

noteRemarque
Il est recommandé que seul un membre du groupe Administrateurs système puisse installer des pilotes. Si un administrateur d'impression délégué envisage d'ajouter ou de gérer à distance des files d'attente, l'administrateur système doit installer le pilote dans le répertoire suivant à l'aide de scripts (par exemple, avec la commande Prmdrvr) ou manuellement :

systemdrive\Windows\System32\spool\drivers\architecture_processeur\3

Cela vous a-t-il été utile ?
(1500 caractères restants)
Merci pour vos suggestions.

Ajouts de la communauté

AJOUTER
Microsoft réalise une enquête en ligne pour recueillir votre opinion sur le site Web de MSDN. Si vous choisissez d’y participer, cette enquête en ligne vous sera présentée lorsque vous quitterez le site Web de MSDN.

Si vous souhaitez y participer,
Afficher:
© 2014 Microsoft