Dopustite instalaciju upravljačkog programa za redovite Windows korisnike

Prema zadanom obični korisnici sustava / domene nemaju prava na instaliranje upravljačkih programa uređaja na svoja računala. Ovaj je pristup racionalan s gledišta osiguranja sigurnosti i stabilnosti računala, ali je nezgodan sa stajališta administracije, jer za instaliranje bilo kojeg novog upravljačkog programa u sustavu korisnik mora pribjeći pomoći administratora ili tehničke službe za podršku, koja na korisnikovom računalu ima prava administratora.

U ovom ćemo članku pokazati kako dopustiti običnim korisnicima domene da instaliraju upravljačke programe na sustav bez administrativnih prava. Glavna prednost predloženog pristupa je ta što administrator domene sam kreira popis pouzdanih upravljačkih programa koje korisnici mogu instalirati u sustav, čime se minimizira rizik od instaliranja "štetnog" upravljačkog programa.

Da biste omogućili običnim korisnicima domene da sami instaliraju upravljačke programe uređaja (bez pojavljivanja prozora UAC privilegije privilegije), potrebno je da radno okruženje korisnika ispunjava sljedeće uvjete:

  • Upravljački program za instaliranje mora biti u trgovini vozača
  • Klasu upravljačkih programa koja se instalira moraju se dopustiti redovitim korisnicima.
  • Vozač mora biti potpisan valjanim digitalnim potpisom pouzdanog izdavača
primjedba. Ranije smo kao poseban slučaj ove tehnike razmatrali značajke instaliranja pisača u domenu bez administratorskih prava.

A sada, redom:
sadržaj:

  • Dobivanje mape s pogoniteljem uređaja
  • Centralizirano spremište upravljačkih programa
  • Popis vozačkih klasa dopuštenih za instalaciju
  • Digitalni potpis vozača

Dobivanje mape s pogoniteljem uređaja

Da biste dobili najnoviji upravljački program za određeni uređaj, najbolje je pronaći i preuzeti najnoviji upravljački program na web mjestu proizvođača. Preuzeta arhiva s upravljačkim programom mora biti raspakirana u zasebnu mapu.

ALI! Nisu svi upravljački programi dostupni u formatu pogodnom za distribuciju. Pretpostavimo da je upravljački program instaliran s vlastitim instalacijskim paketom. Kako izdvojiti iz sustava mapu s datotekama instaliranog upravljačkog programa?

Nakon instalacije, sve datoteke upravljačkih programa pohranjuju se centralno u direktorij C: \ Windows \ System32 \ DriverStore \ FileRepository \.  Da biste pronašli direktorij s novoinstaliranim upravljačkim programom, jednostavno sortirajte sadržaj te mape prema datumu kreiranja / izmjene. Voila! Ostaje kopirati direktorij s upravljačkim programom u mrežni direktorij koji će na klijentima biti naveden kao mrežni pogon drajvera (više o tome u nastavku).

Centralizirano spremište upravljačkih programa

Koncept Trgovina upravljačkim programima ili spremište upravljačkih programa (o čemu smo više govorili u ovom članku) prvi se put pojavio u sustavu Windows Vista i zaštićeno je područje računala koje sadrži skup upravljačkih programa koji je dopušteno instalirati. Dakle, korisnik može u sustav instalirati samo upravljački program koji se već nalazi u spremištu upravljačkog programa. Pa kad administrator instalira novi upravljački program, on se prvo kopira i registrira u spremištu upravljačkog programa, a tek nakon toga instalira u sustav (datoteke vozača kopiraju se iz spremišta u mjesto sustava).

Put do spremišta Windows upravljačkog programa postavljen je u registru s parametrom DevicePath (HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion). Po zadanom se spremište upravljačkih programa nalazi u direktoriju C: \ Windows \ inf (% SystemRoot% \ Inf)

Možete proširiti područje spremišta upravljačkih programa koje tražite kada instalirate novi pogonitelj u sustavu tako što ćete odrediti dodatnu mapu u ovom registru. U domenskom okruženju to je najlakši način širenjem grupne politike - postavke grupe. To možete učiniti u odjeljku s politikama Konfiguracija računala -> Postavke -> Registar dodaj novu stavku Stavka registra sa parametrima:

  • akcija: Ažuriraj
  • košnica: HKEY_LOCAL_MACHINE
  • Ključni put: Softver \ Microsoft \ Windows \ CurrentVersion
  • Naziv vrijednosti: DevicePath
  • Vrijednost vrste: REG_SZ
  • Podaci o vrijednosti:% SystemRoot% \ inf; \\ fs1 \ share \ inf

Kao dodatni pouzdan direktorij za spremište upravljačkih programa odredili smo mrežnu mapu \\ fs1 \ share \ inf (ne zaboravite da računalni račun mora imati dozvole za čitanje iz ove mape). Možete odrediti nekoliko mrežnih direktorija kao izvor upravljačkog programa odjednom, na primjer, specificirajući kao vrijednost varijable:% SystemRoot% \ inf; \\ fs1 \ share \ Pisači; \\ fs2 \ Vozači \ USB; \\ fs3 \ Upravljački programi \ VGA

Popis vozačkih klasa dopuštenih za instalaciju

Da biste odredili kôd klase uređaja, otvorite direktorij datoteka s upravljačkim programom uređaja. Otvorite njegovu inf datoteku i pronađite liniju s parametrom  ClassGUID. Kôd klase uređaja u našem primjeru izgleda ovako: 4D36E97D-E325-11CE-BFC1-08002BE10318.

Da biste korisnicima omogućili ovu klasu uređaja da se sami instaliraju, otvorite postojeće (ili stvorite novu) grupnu politiku i u odjeljku Konfiguracija računala -> Administrativni predlošci -> Sustav -> Instalacija upravljačkog programa potražite pravilo Dopustite instalaciju uređaja pomoću upravljačkih programa koji odgovaraju ovim klasama postavljanja uređaja. Uključite ga i postavite kôd klase uređaja koji je prethodno kopiran kao vrijednost.

Digitalni potpis vozača

Da bi korisnik mogao sam instalirati upravljački program, on mora biti potpisan, a potvrda izdavača digitalnog potpisa mora biti na popisu onih kojima se vjeruje. Većina glavnih pokretačkih programa dobavljača potpisuje Microsoftov digitalni potpis i u njih se vjeruje.

Ali postoje iznimke od ovog pravila. Da biste dobili izdavač takvog upravljačkog programa, instalirajte ga na sustav s administratorskim pravima. Tijekom instalacije upravljačkog programa pojavit će se poruka upozorenja. Potvrdite okvir uz "Uvijek vjerujte softveru ... "i kliknite instalirati. Nakon što instalirate upravljački program, otvorite snap-up za upravljanje certifikatom (certmgr.msc), pronađite potvrdu izdavača u odjeljku  Pouzdano objavljeno-> Potvrde. Desnim klikom na certifikat željenog izdavača i izvezite ga u datoteku.

Nadalje, ovaj se certifikat mora distribuirati pomoću Grupnih pravila na sva računala na kojima korisnici moraju imati mogućnost instaliranja ovog upravljačkog programa. Da biste to učinili, jednostavno uvezite spremljeni certifikat u odjeljak Konfiguracija GPO računala -> Postavke sustava Windows -> Postavke sigurnosti -> Policije javnih ključeva -> Pouzdani izdavači.

vijeće. U slučaju da želite instalirati upravljački program čiji digitalni potpis nedostaje, možete ga pokušati samostalno potpisati certifikatom s vlastitim potpisom. Postupak je detaljno opisan u ovo članak.

Dakle, ako ste sve napravili pravilno, korisnici vaše domene mogu sami instalirati upravljačke programe unaprijed definiranih uređaja (bez administrativnih prava).