Standardni korisnici domena prema zadanim postavkama ne smiju instalirati pisače (točnije, upravljačke programe pisača) na računalima domena i za njihovo instaliranje korisnik mora imati određena prava. To je točno s gledišta sigurnosti, jer instaliranje neispravnog ili zlonamjernog (lažnog) upravljačkog programa može kompromitirati ili degradirati sustav, ali to je krajnje neugodno sa stajališta IT odjela. Uostalom, ako korisnici ne smiju instalirati upravljačke programe pisača na svoja računala, to su odgovornost administratora i IT odjela.
U slučaju da su IT administratori poduzeća ipak odlučili omogućiti korisnicima da instaliraju upravljačke programe pisača na njihova računala, a da im ne daju prava lokalnim administratorima, pravila aktivne skupine Active Directory mogu im pomoći u ovom zadatku..
Dakle, pretpostavlja se da postoji heterogena mreža i moramo omogućiti korisnicima da samostalno povezuju mrežne i lokalne pisače i instaliraju upravljačke programe na oba računala sa sustavom Windows 7 i Windows XP.
Dakle, izradite (ili uredite postojeću politiku) i povežite je s OU (spremnikom Active Directory) koji sadrži računala na kojima pravilo mora omogućiti korisnicima da instaliraju upravljačke programe pisača (na samostalnom računalu to se pravilo može provesti pomoću lokalne politike).
Otvorite podružnicu politike grupe Konfiguracija računala -> Pravila -> Postavke sustava Windows -> Sigurnosne postavke -> Lokalna pravila -> Sigurnosne mogućnosti, u kojem se nalazi parametar Uređaji: Sprječavaju korisnike da instaliraju upravljačke programe za pisač (Uređaji: Sprječavaju korisnike da instaliraju upravljačke programe za pisač). Aktivirajte pravilo i onemogućite njegovu primjenu (vrijednost onesposobljen).
Ovo pravilo podrazumijeva da prilikom povezivanja mrežnog pisača sustav omogućuje korisniku koji nema administratorska prava instalirati upravljačke programe mreža pisači.
Sljedeća točka - morate dopustiti korisniku da se instalira lokalne pisač (i njihovi upravljački programi). U ovom slučaju nas zanima politika Dopustite ne-administratorima da instaliraju upravljačke programe za ove klase postavljanja uređaja u odjeljku: Konfiguracija računala -> Pravila -> Administrativni predlošci -> Sustav -> Instalacija upravljačkog programa.
Omogućite ovo pravilo, a zatim postavite vrste uređaja koje korisnici smiju samostalno instalirati (više o principima instaliranja upravljačkih programa u sustavu Windows 7 bez prava lokalnog administratora). Kliknite gumb Prikaži i u prozoru koji se pojavi dodajte dva retka (identifikatori klase koji odgovaraju uređajima kao što je pisač):
4d36e979-E325-11CE-BFC1-08002BE10318
4658ee7e-f050-11d1-b6bd-00c04fa372a7
Potpuni popis GUID-ova klase uređaja u sustavu Windows dostupan je ovdje:
http://msdn.microsoft.com/en-us/library/ff553426%28v=VS.85%29.aspx
Spremi promjene pravila.
Sljedeća se točka odnosi na značajke UAC-a prilikom instaliranja mrežnog pisača u sustavu Windows Vista i Windows 7. Ako je UAC uključen, pojavljuje se poruka koja traži da navedete vjerodajnice administratora. Ako je UAC isključen kada pokušate instalirati pisač od strane korisnika, sustav dugo razmišlja, i na kraju daje poruku o pogrešci: "Windows se nije mogao povezati s pisačem. Zabranjen pristup".
Da bi se riješio taj problem, potrebno je postaviti Invalidsku politiku na Ograničenja točke i ispisa . Ovo se pravilo nalazi u sistemskom i korisničkom odjeljku grupnih pravila i za podršku kompatibilnosti s prethodnim verzijama operacijskog sustava Windows preporučuje se postavljanje oba parametra. Oba pravila morate onemogućiti. Nalazi se u odjeljcima: Konfiguracija računala -> Pravila -> Administrativni predlošci -> Pisači i Konfiguracija korisnika -> Pravila -> Administrativni predlošci -> Upravljačka ploča -> Pisači.
Ostaje spremiti promjene i testirati pravila na klijentima (potrebno je ponovno pokretanje). Nakon ponovnog pokretanja i primjene pravila grupe, korisniku će se omogućiti samostalno instaliranje lokalnih i povezivanje mrežnih pisača.
Da biste poboljšali stabilnost i sigurnost sustava, također preporučujemo da omogućite izolaciju upravljačkog programa pisača u sustavu Windows 7..
