În mod implicit, utilizatorii obișnuiți ai sistemului / domeniului nu au drepturi de a instala drivere de dispozitiv pe computerele lor. Această abordare este rațională din punct de vedere al securității și stabilității PC-uri de lucru, dar este incomod din punct de vedere al administrației, ca și pentru instalarea oricărui nou driver în sistem utilizatorul trebuie să apeleze la ajutorul unui administrator sau birou de asistență, care au drepturi de administrator pe PC-ul utilizatorului.
În acest articol, vom arăta cum să permită utilizatorilor de domenii obișnuite să instaleze drivere în sistem fără drepturi de administrator. Principalul avantaj al acestei abordări - administratorul de domeniu, care creează lista de drivere de încredere, pe care utilizatorii pot instala sistemul, riscul instalării driverului „dăunător“ redus la minimum.
Pentru a permite utilizatorilor de domenii obișnuite să instaleze ele însele driverele de dispozitiv (fără fereastra privilegiilor UAC), mediul de lucru al utilizatorului trebuie să îndeplinească următoarele condiții:
- Driverul care trebuie instalat trebuie să fie amplasat în magazinul driverului (Driver Store)
- Clasa de driver care trebuie instalată trebuie să fie activată pentru instalare de către utilizatori obișnuiți
- Conducătorul trebuie să fie semnat cu o semnătură digitală validă a editorului de încredere
Obținerea directorului cu driverul dispozitivului
Pentru a obține versiunea actuală a driverului pentru un anumit dispozitiv - cel mai bine este să găsiți și să descărcați cel mai recent driver de pe site-ul producătorului. Arhiva descărcată împreună cu driverul trebuie despachetată într-un director separat.
DAR! Nu toate driverele sunt furnizate într-un format ușor de distribuit. Să presupunem că un driver este instalat cu un pachet de instalare proprietar. Cum pot extrage un director cu fișierele driverului instalat din sistem?
După instalare, toate fișierele de driver sunt stocate central, în directorul C: \ Windows \ System32 \ DriverStore \ FileRepository \. Pentru a găsi directorul cu driverul nou instalat, sortați pur și simplu conținutul acestui director până la data creării / modificării. Voila! Rămâne să copiați directorul cu driverul în directorul de rețea, care va fi listat pe clienți ca un magazin de driver de rețea (despre acest lucru puțin mai târziu).
Centralizat magazin de conducător auto
Calea spre magazinul de drivere Windows este specificată în registry prin parametrul DevicePath (HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion). Implicit, magazinul driverului este localizat în directorul C: \ Windows \ inf (% SystemRoot% \ Inf)
Puteți extinde zona de stocare a driverului, care este căutat atunci când instalați un driver nou pe sistem, specificând un director suplimentar în acest registru. Într-un mediu de domeniu, este mai ușor să faceți acest lucru cu extensia Preferințe de politică de grup. Pentru a face acest lucru, în secțiunea Configurație computer -> Preferințe -> Registru de politică, adăugați un nou element de registru cu următorii parametri:
Lista de clase de conducător auto permisă pentru instalare
Pentru a determina codul clasei dispozitivului, deschideți directorul cu fișierele driverului dispozitivului. Deschideți fișierul inf și găsiți linia cu parametrul ClassGUID. Codul clasei dispozitivului din exemplul nostru arată astfel :.
Pentru a permite această clasă de dispozitive pentru instalarea de auto-utilizator, deschide politicile existente (sau a crea unul nou), de grup și de ramură pe Computer Configuration -> Administrative Templates -> System -> Driver de instalare Localizați politica permite instalarea de dispozitive care utilizează drivere care se potrivesc cu aceste clase de configurare dispozitiv. Porniți-l, și ca valoare, specificați codul de clasă copiat anterior la aparat.
Conducător de semnături digitale
Pentru ca utilizatorul să instaleze driverul însuși, acesta trebuie să fie semnat și certificatul editorului de semnătură digitală trebuie să fie în lista de încredere. Majoritatea driverelor furnizorilor mari sunt semnate de semnăturile digitale Microsoft și sunt de încredere.
Dar există excepții de la această regulă. Pentru a obține certificatul de editor pentru un astfel de driver, instalați-l în sistem cu drepturi de administrator. Mesajele de avertizare apar în timpul instalării driverului. Selectați caseta de selectare "Always trust software from ..." și faceți clic pe Install. După instalarea driverului, deschideți modulul de gestionare a certificatelor (certmgr.msc), găsiți certificatul editorului în secțiunea Certificate publicate -> Certificate. Faceți clic pe PCM pentru certificatul editorului dorit și exportați-l într-un fișier.
Apoi, trebuie să distribuiți acest certificat prin Politica de grup tuturor computerelor. pe care doriți să permiteți instalarea acestui driver de către utilizatori. Pentru a face acest lucru, pur și simplu importați certificatul salvat în GPO Computer Configuration -> Windows Settings -> Security Settings -> Public Key Polices -> Trusted Publishers.
Consiliul. În cazul în care doriți să instalați un driver al cărui semnături digitale lipsește, puteți încerca să îl semnați singur cu un certificat auto-semnat. Procesul este descris în detaliu în acest articol.
Deci, dacă ați făcut totul bine, utilizatorii domeniului dvs. pot să instaleze independent (fără drepturi de administrator) driverele dispozitivelor predefinite.
- Cum să semnați independent driverul pentru Windows 7
- Cum să dezactivați UAC pentru un anumit program
- Derularea contorului pe serverul KMS
- Descărcarea Windows 7/8 cu partiții GPT pe BIOS (fără UEFI)
- Pornirea serviciului Windows Installer în modul sigur