Domyślnie zwykli użytkownicy domeny nie mogą instalować drukarek (a ściślej sterowników drukarek) na komputerach domeny i aby je zainstalować, użytkownik musi mieć określone prawa. Jest to poprawne z punktu widzenia bezpieczeństwa, ponieważ instalacja niewłaściwego lub złośliwego (fałszywego) sterownika urządzenia może zagrozić lub zdegradować system, ale jest bardzo niewygodna z punktu widzenia działu IT. W końcu, jeśli użytkownicy nie mogą instalować sterowników drukarek na swoich komputerach, odpowiadają za to administratorzy i dział IT.
W przypadku, gdy administratorzy IT przedsiębiorstwa zdecydują się zezwolić użytkownikom na instalację sterowników drukarek na ich komputerach bez przyznania im uprawnień lokalnych administratorów, zasady grupy Active Directory mogą pomóc im w tym zadaniu.
Zakłada się więc, że istnieje heterogeniczna sieć i musimy pozwolić użytkownikom na niezależne podłączanie drukarek sieciowych i lokalnych oraz instalowanie sterowników na obu komputerach z systemem Windows 7 i Windows XP.
Utwórz (lub edytuj istniejącą zasadę) i powiąż ją z jednostką organizacyjną (kontener Active Directory), która zawiera komputery, na których zasada musi zezwalać użytkownikom na instalację sterowników drukarek (na komputerze autonomicznym zasadę tę można wdrożyć przy użyciu lokalnych zasad).
Otwórz gałąź zasad grupy Konfiguracja komputera -> Zasady -> Ustawienia systemu Windows -> Ustawienia zabezpieczeń -> Zasady lokalne -> Opcje bezpieczeństwa, w którym znaleźć parametr Urządzenia: nie zezwalaj użytkownikom na instalowanie sterowników drukarek (Urządzenia: Zapobiegaj instalowaniu sterowników drukarek). Aktywuj zasadę i wyłącz jej aplikację (wartość Niepełnosprawnych).
Ta zasada oznacza, że po podłączeniu drukarki sieciowej system pozwala użytkownikowi, który nie ma uprawnień administratora, na instalację sterowników sieć drukarki.
Kolejny punkt - musisz zezwolić użytkownikowi na instalację lokalny drukarka (i ich sterowniki). W tym przypadku interesuje nas polityka Zezwalaj osobom niebędącym administratorami instalować sterowniki dla tych klas konfiguracji urządzeń w dziale: Konfiguracja komputera -> Zasady -> Szablony administracyjne -> System -> Instalacja sterownika.
Włącz tę zasadę, a następnie ustaw typy urządzeń, które użytkownicy mogą instalować we własnym zakresie (więcej na temat zasad instalowania sterowników w systemie Windows 7 bez uprawnień lokalnego administratora). Kliknij przycisk Pokaż, aw wyświetlonym oknie dodaj dwa wiersze (identyfikatory klas odpowiadające urządzeniom takim jak drukarka):
4d36e979-e325-11ce-bfc1-08002be10318
4658ee7e-f050-11d1-b6bd-00c04fa372a7
Pełna lista identyfikatorów GUID klasy urządzeń w systemie Windows jest dostępna tutaj:
http://msdn.microsoft.com/en-us/library/ff553426%28v=VS.85%29.aspx
Zapisz zmiany zasad.
Następny punkt dotyczy funkcji UAC podczas instalowania drukarki sieciowej w systemie Windows Vista i Windows 7. Jeśli UAC jest włączony, pojawi się komunikat z prośbą o podanie poświadczeń administratora, jeśli UAC jest wyłączony podczas próby zainstalowania drukarki przez użytkownika, system długo myśli, i na koniec wyświetla komunikat o błędzie: „System Windows nie może połączyć się z drukarką. Odmowa dostępu”.
Aby rozwiązać ten problem, konieczne jest ustawienie zasady Wyłączone na Ograniczenia dotyczące wskazywania i drukowania . Zasada ta znajduje się zarówno w sekcji systemowej, jak i użytkownika zasad grupy, i aby zapewnić zgodność z poprzednimi wersjami systemu operacyjnego Windows, zaleca się ustawienie obu tych parametrów. Musisz wyłączyć obie zasady. Znajduje się w sekcjach: Konfiguracja komputera -> Zasady -> Szablony administracyjne -> Drukarki i Konfiguracja użytkownika -> Zasady -> Szablony administracyjne -> Panel sterowania -> Drukarki.
Pozostaje zapisać zmiany i przetestować zasady na klientach (wymagane jest ponowne uruchomienie). Po ponownym uruchomieniu i zastosowaniu zasad grupy użytkownik będzie mógł samodzielnie instalować drukarki lokalne i podłączać drukarki sieciowe.
Aby poprawić stabilność i bezpieczeństwo systemu, zalecamy również włączenie izolacji sterownika drukarki w systemie Windows 7..
