По дефаулту, обични корисници система / домена немају права да инсталирају управљачке програме уређаја на своје рачунаре. Овај приступ је рационалан са становишта осигурања безбедности и стабилности рачунара, али је незгодан са становишта администрације, јер за инсталирање било којег новог управљачког програма у систем, корисник мора прибећи помоћи администратора или службе техничке подршке, која на рачунару корисника има администраторска права..
У овом ћемо чланку показати како допустити обичним корисницима домена да инсталирају управљачке програме на систем без административних права. Главна предност предложеног приступа је у томе што администратор домене сам креира листу поузданих управљачких програма које корисници могу да инсталирају у систем, чиме се минимизира ризик од инсталирања „штетног“ управљачког програма.
Да бисте омогућили обичним корисницима домена да сами инсталирају управљачке програме уређаја (без појављивања прозора УАЦ привилегије привилегије), неопходно је да радно окружење корисника испуњава следеће услове:
- Управљачки програм за инсталирање мора бити у продавници драјвера
- Класу управљачких програма која се инсталира мора се допустити да је редовно инсталирају.
- Возач мора бити потписан важећим дигиталним потписом од поузданог издавача
А сада, како би:
Садржај:
- Добијање директорија с управљачким програмом уређаја
- Централизовано складиште управљачких програма
- Листа возачких класа дозвољених за инсталацију
- Дигитални потпис возача
Добијање директорија с управљачким програмом уређаја
Да бисте добили најновији управљачки програм за одређени уређај, најбоље је да пронађете и преузмете најновији управљачки програм на веб локацији произвођача. Преузета архива са управљачким програмом мора бити распакована у посебан директориј.
АЛИ! Нису сви управљачки програми доступни у формату погодном за дистрибуцију. Претпоставимо да је управљачки програм инсталиран са власничким инсталационим пакетом. Како извадити из система директоријум са датотекама инсталираног управљачког програма?
Након инсталације, све датотеке управљачких програма чувају се централно у директорију Ц: \ Виндовс \ Систем32 \ ДриверСторе \ ФилеРепоситори \. Да бисте пронашли директориј са новоинсталираним управљачким програмом, једноставно сортирајте садржај овог директорија према датуму креирања / модификације. Воила! Остаје копирати директориј с управљачким програмом у мрежни директориј, који ће на клијентима бити означен као мрежни погон драјвера (више о томе у наставку).
Централизовано складиште управљачких програма
Концепт продавнице драјвера или складишта управљачких програма (о чему смо више причали у овом чланку) први пут се појавио у оперативном систему Виндовс Виста и представља заштићено подручје рачунара које садржи скуп драјвера које је дозвољено инсталирати. Тако корисник може у систем инсталирати само управљачки програм који се већ налази у спремишту управљачких програма. Дакле, када администратор инсталира нови управљачки програм, он се прво копира и региструје у спремишту управљачког програма, а тек потом се инсталира у систем (датотеке возача копирају се из складишта на локацију система).
Пут до спремишта Виндовс управљачког програма постављен је у регистру са параметром Девицепатх (ХКЕИ_ЛОЦАЛ_МАЦХИНЕ \ Софтваре \ Мицрософт \ Виндовс \ ЦуррентВерсион) Подразумевано се спремиште управљачких програма налази у директоријуму Ц: \ Виндовс \ инф (% СистемРоот% \ Инф)
Можете проширити област спремишта управљачких програма која се тражи приликом инсталирања новог управљачког програма у систему тако што ћете навести додатни директориј у овом регистру. У доменском окружењу, најлакши начин за то је ширењем групне политике - подешавања групне политике. Да бисте то урадили, у одељку са политикама Конфигурација рачунара -> Подешавања -> Регистар додај нову ставку Ставка регистра са параметрима:
- Акција: Ажурирање
- Кошница: ХКЕИ_ЛОЦАЛ_МАЦХИНЕ
- Кључни пут: Софтвер \ Мицрософт \ Виндовс \ ЦуррентВерсион
- Име вредности: ДевицеПатх
- Тип вредности: РЕГ_СЗ
- Подаци о вредности:% СистемРоот% \ инф; \\ фс1 \ схаре \ инф
Као додатни поуздани директориј за складиште управљачких програма одредили смо мрежну мапу \\ фс1 \ схаре \ инф (не заборавите да рачунар рачунара мора имати дозволе за читање из ове мапе). Можете одредити неколико мрежних директоријума као извор управљачког програма одједном, на пример тако што ћете одредити променљиву вредност:% СистемРоот% \ инф; \\ фс1 \ схаре \ Принтерс; \\ фс2 \ Дриверс \ УСБ; \\ фс3 \ Дриверс \ ВГА
Листа возачких класа дозвољених за инсталацију
Да бисте одредили код класе уређаја, отворите директориј датотека са управљачким програмом уређаја. Отворите његову инф датотеку и пронађите линију са параметром ЦлассГУИД. Код класе уређаја у нашем примеру изгледа овако: 4Д36Е97Д-Е325-11ЦЕ-БФЦ1-08002БЕ10318.
Да бисте омогућили овој класи уређаја да се корисници сами инсталирају, отворите постојећу (или створите нову) групну политику и у Конфигурацији рачунара -> Административни предлошци -> Систем -> Инсталација управљачког програма потражите та правила Допустите инсталацију уређаја помоћу управљачких програма који одговарају овим класама подешавања уређаја. Укључите га и подесите код класе уређаја који је претходно копиран као вредност.
Дигитални потпис возача
Да би корисник могао сам инсталирати управљачки програм, он мора бити потписан, а потврда издавача дигиталног потписа мора бити на листи оних којима се вјерује. Већина главних управљачких програма произвођача се потписују с дигиталним потписима Мицрософта и верују им се.
Али постоје изузеци од овог правила. Да бисте добили издавач таквог управљачког програма, инсталирајте га на систем са администраторским правима. Порука упозорења ће се појавити током инсталације управљачког програма. Означите поље поред „Увек верујте софтверу од ... "и кликните Инсталирај. Након инсталирања управљачког програма, отворите снап-уп за управљање сертификатом (цертмгр.мсц), пронађите потврду издавача у одељку Поуздано објављено-> Потврде. Кликните десним тастером миша на сертификат жељеног издавача и извезите га у датотеку.
Надаље, овај цертификат се мора дистрибуирати кориштењем Групних полиса на сва рачунала на којима корисници морају имати могућност инсталирања овог управљачког програма. Да бисте то учинили, једноставно увезите сачувани сертификат у одељак Конфигурација рачунара ГПО -> Подешавања оперативног система Виндовс -> Подешавања сигурности -> Полиције јавних кључева -> Поуздани издавачи.
Савет. У случају да желите да инсталирате управљачки програм чији дигитални потпис недостаје, можете покушати да га самостално потпишете сертификатом са сопственим потписом. Процес је детаљно описан у ово чланак.Дакле, ако сте све урадили правилно, корисници вашег домена могу сами инсталирати управљачке програме унапред дефинисаних уређаја (без административних права).