Mon PC Sécurisé

Déployer une ou plusieurs polices d’impression sur les machines de votre parc et sans que les utilisateurs soient administrateur de leur poste !

J’ai récemment été confronté à une problématique de déploiement de polices d’impression.
En effet à ma grand surprise, il n’existe pas de stratégie de groupe qui gère le déploiement d’une police d’impression.

Je devais déployer plusieurs police d’impression sur plusieurs centaines de stations de travail tout en respectant les contraintes suivantes :
* La procédure devait être complètement automatique.
* Les utilisateurs ne devaient pas être administrateur de leur poste.

Pour rappel, une police d’impression se présente sous la forme d’un fichier .TTF que l’on ajoute dans le panneau de configuration | Polices.

La solution :

La solution ci dessous fonctionnent avec des postes Windows XP Pro, Windows 2000 et Windows 2003 Server.
Elle nécessite la présence d’un domaine Active Directory (dans notre cas lab.fr) et que tous les postes soient dans le domaine Active Directory.
Pour que cela fonctionne, il faut aussi déployer le fichier reg.exe sur les postes Windows 2000 Pro.
Dans l’exemple ci dessous, les polices d’impression  s’appelle “police1.ttf” et “police2.ttf”.

L’idée générale est d’installer la police à l’aide d’un script.
Comme les utilisateurs ne sont pas administrateur et qu’installer une police nécessite des droits administrateur, on va utiliser le composant script de démarrage (stratégie ordinateur) de la stratégie de groupe. Le script s’exécute alors sous le compte SYSTEM (administrateur local).

Etape 1 : copie des polices et du fichier reg.exe dans le répertoire netlogon
Créer un répertoire « polices » au niveau du partage netlogon \\lab.fr\Netlogon.
Dans ce répertoire, copier le fichier police1.ttf et police2.ttf et le fichier reg.exe (vous pouvez trover ce fichier dans les supports tools sur le CD de WIndows 2000 Server).

Etape 2 : création du script (fichier script.bat)

@echo off
rem Test de la presence des fichiers
if not exist %systemroot%\Fonts\Police1.ttf goto copy
if not exist %systemroot%\Fonts\Police2.ttf goto copy
goto end

:copy
rem test présence reg.exe
if not exist %systemroot%\system32\reg.exe goto copy_reg
goto copy2

:copy_reg
xcopy \\votre_nom_domaine_dns\NETLOGON\Polices\reg.exe %systemroot%\system32\ /y /c
goto copy2

:copy2
rem copie des police et ajout dans le registre
xcopy \\votre_votre_nom_domaine_dns\NETLOGON\Polices\*.* %systemroot%\Fonts /y /c
rem Ajout dans le registre
reg add “HKLM\Software\Microsoft\Windows NT\CurrentVersion\Fonts” /v “Police1″ /t REG_SZ /d Police1.ttf /f
reg add “HKLM\Software\Microsoft\Windows NT\CurrentVersion\Fonts” /v “Police2″ /t REG_SZ /d Police2.ttf /f
goto end

:end
exit

Etape 3 : Configuration de la stratégie de groupe :
Tester le script d’abord sur une OU puis le configurer sur les OU qui contiennent les comptes ordinateurs.
Créer une stratégie de groupe au niveau d’une OU.
Editer la stratégie puis ensuite aller dans  Configuration ordinateur | Paramètres Windows | Script | Démarrage
En effet les scripts de démarrage configurés via le composant Scripts d’une GPO s’exécutent sous l’utilisateur « system » qui a des droits administrateur local.
Double cliquer sur Démarrage.
Cliquer sur afficher les fichiers.
Coller votre script et faire ajouter.

Etape 4 : redémarrer les postes
Attendre que les stratégies se mettent à jour sur le poste client ou faire un gpupdate /force.
Redémarrer 1 fois la machine. Le script s’applique.
Redémarrer 1 seconde fois la machine et la police est fonctionnelle. Ce second reboot est du au fait que les modifications effectuées au niveau du registre nécessitent un redémarrage.