Zezwalaj na instalację sterowników dla zwykłych użytkowników systemu Windows

Domyślnie zwykli użytkownicy systemu / domeny nie mają uprawnień do instalowania sterowników urządzeń na swoich komputerach. Podejście to jest racjonalne z punktu widzenia zapewnienia bezpieczeństwa i stabilności komputera, ale jest niewygodne z punktu widzenia administracji, ponieważ aby zainstalować nowy sterownik w systemie, użytkownik musi skorzystać z pomocy administratora lub usługi wsparcia technicznego, które mają uprawnienia administratora na komputerze użytkownika.

W tym artykule pokażemy, jak zezwolić zwykłym użytkownikom domeny na instalowanie sterowników w systemie bez uprawnień administratora. Główną zaletą proponowanego podejścia jest to, że sam administrator domeny tworzy listę zaufanych sterowników, które użytkownicy mogą zainstalować w systemie, minimalizując w ten sposób ryzyko instalacji „szkodliwego” sterownika.

Aby zwykli użytkownicy domeny mogli samodzielnie instalować sterowniki urządzeń (bez wyświetlania okna podniesienia uprawnień UAC), środowisko pracy użytkownika musi spełniać następujące warunki:

  • Sterownik do zainstalowania musi znajdować się w magazynie sterowników
  • Zainstalowana klasa sterowników musi być dozwolona do zainstalowania przez zwykłych użytkowników.
  • Sterownik musi być podpisany prawidłowym podpisem cyfrowym od zaufanego wydawcy
Uwaga. Wcześniej, jako szczególny przypadek tej techniki, rozważaliśmy funkcje instalowania drukarek w domenie bez uprawnień administratora.

A teraz w kolejności:
Treść

  • Uzyskiwanie katalogu ze sterownikiem urządzenia
  • Scentralizowane repozytorium sterowników
  • Lista klas sterowników dopuszczonych do instalacji
  • Podpis cyfrowy kierowcy

Uzyskiwanie katalogu ze sterownikiem urządzenia

Aby uzyskać najnowszy sterownik dla określonego urządzenia, najlepiej jest znaleźć i pobrać najnowszy sterownik z witryny producenta. Pobrane archiwum ze sterownikiem należy rozpakować w osobnym katalogu.

ALE! Nie wszystkie sterowniki są dostarczane w formacie odpowiednim do dystrybucji. Załóżmy, że sterownik jest zainstalowany z zastrzeżonym pakietem instalacyjnym. Jak wyodrębnić z systemu katalog z plikami zainstalowanego sterownika?

Po instalacji wszystkie pliki sterowników są przechowywane centralnie w katalogu C: \ Windows \ System32 \ DriverStore \ FileRepository \.  Aby znaleźć katalog z nowo zainstalowanym sterownikiem, po prostu posortuj zawartość tego katalogu według daty utworzenia / modyfikacji. Voila! Pozostaje skopiować katalog ze sterownikiem do katalogu sieciowego, który zostanie wskazany na klientach jako Network Driver Store (więcej na ten temat poniżej).

Scentralizowane repozytorium sterowników

Koncepcja Sklepu sterowników lub repozytorium sterowników (więcej o tym mówiliśmy w tym artykule) pojawiła się po raz pierwszy w systemie Windows Vista i jest zaufanym chronionym obszarem komputera zawierającym zestaw sterowników, które można zainstalować. W ten sposób użytkownik może zainstalować w systemie tylko sterownik, który jest już w repozytorium sterowników. Tak więc, gdy administrator instaluje nowy sterownik, jest najpierw kopiowany i rejestrowany w repozytorium sterowników, a dopiero potem instalowany w systemie (pliki sterowników są kopiowane z repozytorium do lokalizacji systemu).

Ścieżka do repozytorium sterowników systemu Windows jest ustawiana w rejestrze za pomocą parametru Ścieżka urządzenia (HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion) Domyślnie repozytorium sterowników znajduje się w katalogu C: \ Windows \ inf (% SystemRoot% \ Inf)

Możesz rozszerzyć obszar repozytorium sterowników, który jest wyszukiwany podczas instalowania nowego sterownika w systemie, określając dodatkowy katalog w tym rejestrze. W środowisku domeny najłatwiej to zrobić, rozwijając Zasady grupy - Preferencje zasad grupy. Aby to zrobić, w sekcji zasad Konfiguracja komputera -> Preferencje -> Rejestr dodaj nowy przedmiot Element rejestru z parametrami:

  • Akcja: Aktualizacja
  • Ul: HKEY_LOCAL_MACHINE
  • Kluczowa ścieżka: Software \ Microsoft \ Windows \ CurrentVersion
  • Nazwa wartości: DevicePath
  • Typ wartości: REG_SZ
  • Dane wartości:% SystemRoot% \ inf; \\ fs1 \ share \ inf

Jako dodatkowy zaufany katalog repozytorium sterowników podaliśmy folder sieciowy \\ fs1 \ share \ inf (nie zapominaj, że konto komputera musi mieć uprawnienia do odczytu z tego folderu). Można podać jednocześnie kilka katalogów sieciowych jako źródło sterownika, na przykład jako wartość zmiennej:% SystemRoot% \ inf; \\ fs1 \ share \ Printers; \\ fs2 \ Drivers \ USB; \\ fs3 \ Drivers \ VGA

Lista klas sterowników dopuszczonych do instalacji

Aby określić kod klasy urządzenia, otwórz katalog plików ze sterownikiem urządzenia. Otwórz plik inf i znajdź linię z parametrem  ClassGUID. Kod klasy urządzenia w naszym przykładzie wygląda następująco: 4D36E97D-E325-11CE-BFC1-08002BE10318.

Aby umożliwić użytkownikom samodzielną instalację tej klasy urządzeń, otwórz istniejące (lub utwórz nowe) zasady grupy, a następnie w gałęzi Konfiguracja komputera -> Szablony administracyjne -> System -> Instalacja sterownika Zezwalaj na instalowanie urządzeń za pomocą sterowników pasujących do tych klas konfiguracji urządzeń. Włącz i ustaw wcześniej skopiowany kod klasy urządzenia jako wartość.

Podpis cyfrowy kierowcy

Aby użytkownik mógł samodzielnie zainstalować sterownik, musi być podpisany, a certyfikat wydawcy podpisu cyfrowego musi znajdować się na liście zaufanych. Większość głównych sterowników dostawców jest podpisanych cyfrowymi podpisami Microsoft i są zaufane.

Istnieją jednak wyjątki od tej zasady. Aby uzyskać certyfikat wydawcy takiego sterownika, zainstaluj go w systemie z uprawnieniami administratora. Podczas instalacji sterownika pojawi się komunikat ostrzegawczy. Zaznacz pole obok „Zawsze ufaj oprogramowaniu z ... ”i kliknij Zainstaluj. Po zainstalowaniu sterownika otwórz przystawkę do zarządzania certyfikatami (certmgr.msc), znajdź certyfikat wydawcy w sekcji  Zaufane opublikowane-> Certyfikaty. Kliknij prawym przyciskiem myszy certyfikat żądanego wydawcy i wyeksportuj go do pliku.

Ponadto ten certyfikat musi być rozpowszechniany przy użyciu Zasad grupy na wszystkich komputerach, na których użytkownicy muszą mieć możliwość zainstalowania tego sterownika. Aby to zrobić, po prostu zaimportuj zapisany certyfikat do sekcji Konfiguracja komputera GPO -> Ustawienia systemu Windows -> Ustawienia zabezpieczeń -> Zasady klucza publicznego -> Zaufani wydawcy.

Wskazówka. Jeśli chcesz zainstalować sterownik, którego brakuje podpisu cyfrowego, możesz spróbować samodzielnie podpisać go za pomocą certyfikatu z podpisem własnym. Proces ten został szczegółowo opisany w to artykuł.

Tak więc, jeśli zrobiłeś wszystko poprawnie, użytkownicy twojej domeny mogą samodzielnie zainstalować sterowniki predefiniowanych urządzeń (bez uprawnień administratora).