Instalowanie urządzeń w systemie Windows 7 bez uprawnień administratora

Jednym z palących problemów związanych z używaniem systemu Windows 7 w środowisku korporacyjnym jest zapewnienie użytkownikom mobilnym prawa do instalowania urządzeń lokalnych bez przypisywania im uprawnień administratora lokalnego. W poprzednich wersjach systemu Windows (NT 4, Windows 2000 i XP) w większości przypadków problem ten został rozwiązany po prostu: użytkownikom mobilnym przyznano uprawnienia lokalnego administratora (lub użytkownika zaawansowanego) tylko dlatego, że w podróży służbowej może być konieczne zainstalowanie i podłączenie urządzenia zewnętrznego. Jeśli kilka lat temu prawo do instalowania urządzeń lokalnych było potrzebne głównie do podłączania lokalnych drukarek, teraz lista takich urządzeń zewnętrznych znacznie się poszerzyła, teraz nie możemy zapominać o obsłudze telefonów komórkowych, zestawów słuchawkowych, aparatów fotograficznych itp..

Firma Microsoft dodała szereg innowacji do swoich najnowszych systemów operacyjnych (Windows Vista i Windows 7), które wdrażają możliwości scentralizowanego korporacyjnego zarządzania instalacją urządzeń lokalnych. W tym artykule postaram się wyjaśnić, co się stanie, gdy nowe urządzenie zewnętrzne zostanie podłączone do klienta Windows 7 i jak można wpłynąć na ten proces za pomocą ustawień zasad grupy.

W systemie Windows XP zwykły użytkownik może zainstalować nowe urządzenie tylko wtedy, gdy to urządzenie jest obsługiwane przez jeden ze standardowych sterowników systemu Windows zawartych w zestawie instalacyjnym lub jeśli sterownik tego urządzenia jest dostępny za pośrednictwem usługi Windows Update. W Windows XP liczba urządzeń obsługiwanych przez takie preinstalowane sterowniki była znacznie ograniczona w porównaniu do Windows 7. Microsoft uruchomił usługę, która umożliwia aktualizację sterowników urządzeń za pośrednictwem Windows Update w 2005 roku, a jak pamiętacie, system Windows Vista został wydany rok później, więc wielu producentów sprzętu zdecydowało się nie wydawać pieniędzy na zapewnienie możliwości aktualizacji sterowników urządzeń dla systemu Windows XP za pośrednictwem Windows Update. I właśnie z tych powodów, aby zapewnić użytkownikowi mobilnemu prawo do instalowania nowego sprzętu, administratorzy korporacyjni musieli dać użytkownikom prawa lokalnych administratorów na swoich laptopach.

Wraz z wydaniem systemu Windows Vista procedura instalacji nowych sterowników nieznacznie się zmieniła. W poprzednich wersjach systemu Windows sterowniki urządzeń mogły być przechowywane w różnych katalogach, ale teraz w systemie Windows Vista i nowszych wersjach systemu Windows pojęcie „Repozytorium sterowników„(Sklep kierowcy), która jest zaufaną lokalizacją do przechowywania wszystkich wbudowanych sterowników i pakietów sterowników innych firm. Teraz w systemie Windows możesz zainstalować tylko sterownik przechowywany w tym repozytorium magazynu sterowników. Proces dostarczania sterowników w Sklepie kierowców nazywa się „etapowaniem” (dostawa). Dobrą wiadomością jest to, że każdy sterownik znajdujący się w repozytorium sterowników może zostać zainstalowany przez dowolnego użytkownika bez uprawnień administratora lokalnego.

Wyobraźmy sobie, co się dzieje, gdy użytkownik próbuje podłączyć nowe urządzenie do klienta w systemie Windows 7. Domyślnie Windows 7 próbuje znaleźć odpowiedni sterownik dla Windows Update, a jeśli sterownik zostanie znaleziony, automatycznie pobierze go i umieści w lokalnym sklepie Driver Store itp. e. Przed instalacją zostanie przeprowadzony proces dostarczania sterowników (etapy). Jeśli odpowiedni sterownik nie zostanie znaleziony, system Windows będzie kontynuował wyszukiwanie odpowiedniego sterownika w pamięci lokalnej. Jeśli zostanie znaleziony odpowiedni sterownik, system Windows go zainstaluje. Jeśli sterownik nie zostanie ponownie znaleziony, system będzie kontynuował wyszukiwanie zgodnie ze ścieżką określoną w wartości klucza rejestru Ścieżka urządzenia, może to być dysk lokalny, na przykład C: \ Drivers lub folder sieciowy. Jeśli nie zostanie tam znaleziony sterownik, system Windows poinformuje, że nie znaleziono odpowiedniego sterownika.

Opisany powyżej proces powinien pomóc większości użytkowników domowych i małych firm rozwiązać problem z instalacją urządzeń lokalnych bez uprawnień administratora lokalnego. W sieci dużych organizacji pojawi się jednak szereg problemów:

  • Wiele firm chce jasno zrozumieć i kontrolować to, co jest zainstalowane na ich komputerach. Nawet jeśli uważamy zawartość węzła Microsoft Windows Update za zaufaną, w wielu firmach polityka bezpieczeństwa zabrania bezpośredniego dostępu do zasobów zewnętrznych (w tym na serwerze Windows Update Server).
  • O ile mi wiadomo, nie można oddzielić procesu wyszukiwania w węźle aktualizacji Microsoft dla aktualizacji zabezpieczeń Windows Security i sterowników urządzeń, dlatego jeśli organizacja korzysta z lokalnego serwera WSUS, klienci będą wyszukiwać sterowniki na zewnętrznym serwerze Windows Update i będzie również używany do pobierania aktualizacji Windows Tj. korzystanie z lokalnego programu WSUS traci znaczenie. (Jeśli się mylę, poprawcie mnie).
  • Jeśli firma stosuje bardzo surowe zasady dotyczące korzystania z określonych urządzeń, administratorzy systemu muszą upewnić się, że sterowniki są aktualizowane w lokalnym sklepie sterowników na wszystkich klientach firmy.

Ale pomimo opisanych problemów istnieje wiele obejść. Podobnie jak wiele innych ustawień systemu Windows, zarządzanie instalacją sterowników urządzeń może być kontrolowane za pomocą Zasad Grupy..

Te ustawienia znajdują się w następującej sekcji zasad grupy: Konfiguracja komputera \ Szablony administracyjne \ System \ Instalacja urządzenia. Parametr w sekcji Konfiguracja użytkownika \ Szablony administracyjne \ System \ Instalacja sterownika zostanie zignorowany, ponieważ nie dotyczy systemu Windows 7.

Zabraniamy klientom wyszukiwania sterowników w węźle Windows Update

Aby uniemożliwić klientom Windows 7 wyszukiwanie sterowników w węźle Windows Update, aktywuj zasady grupy „Określ kolejność wyszukiwania dla lokalizacji źródła sterownika urządzenia”I skonfiguruj -„ Nie wyszukuj Windows Update ”.

Zezwól zwykłym użytkownikom na instalowanie sterowników urządzeń tego typu

Ustawienie zasad grupy o nazwie „Zezwalaj na instalowanie urządzeń za pomocą sterowników pasujących do tych klas konfiguracji urządzeń”(Znajduje się w sekcji Konfiguracja \ Szablony administracyjne \ System \ Instalacja urządzenia \ Ograniczenia instalacji urządzenia IT Administratorzy) umożliwia zwykłym użytkownikom pobieranie i instalowanie sterowników urządzeń określonych klas. Oznacza to, że jeśli dział IT nie będzie w stanie śledzić pakietów sterowników drukarek używanych przez użytkowników firmy, możesz zezwolić na instalację sterowników drukarek wszystkim użytkownikom sieci, a instalacji sterowników dla innych klas urządzeń można zabronić.

Wstępne ładowanie sterowników w sklepie sterowników w Windows 7

W przypadku wielu rozpowszechnionych urządzeń zewnętrznych administrator może wstępnie zainstalować sterowniki w repozytorium we wszystkich mobilnych systemach użytkownika firmy. Możesz to zrobić w następujący sposób:

  • Dystrybucja sterowników za pomocą standardowego obrazu korporacyjnego systemu operacyjnego
  • Zainstaluj sterowniki po zainstalowaniu systemu klienta - postinstall (MDT, SCCM, WSUS)
  • Dystrybucja sterowników na żądanie jako pakiet oprogramowania

Nie będę chciał malować implementacji każdego z tych scenariuszy, ale postaram się poradzić sobie z typową sytuacją, którą administrator może napotkać w praktyce.

Prawie każdy użytkownik chce mieć możliwość synchronizacji swojego kalendarza z urządzeniem mobilnym, a jeśli na tym urządzeniu działa system Windows Mobile, na pewno potrzebujesz Centrum obsługi urządzeń z systemem Windows Mobile, aby podłączyć to urządzenie do komputera z systemem Windows 7.

Jeśli nie wiesz dokładnie, który sterownik jest potrzebny, pozwól systemowi znaleźć i zainstalować potrzebny sterownik z samego węzła Windows Update. Po zakończeniu instalacji przejdź do katalogu C: \ Windows \ System32 \ Driverstore i znajdź świeżo utworzony folder.

Teraz możesz po prostu skopiować ten katalog i rozpowszechnić go w lokalnych repozytoriach sterowników na komputerach firmowych. Inną metodą jest bezpośrednie pobranie pakietu sterowników (jak to zrobić opisano tutaj http://support.microsoft.com/kb/323166) z katalogu Windows Update.

Pobierzesz około następującego pliku: X86-ar_bg_zh-tw_cs_da_de_el_en_es_fi_fr_ ... v_th_tr_sl_et_lv_lt_zh-cn_pt_ja-nec-20060042_b5eca0da489018bbc1930e42252b1034f739af15.cab. Następnie ten CAB musi zostać rozpakowany.

Następnie pokażę, jak dodać pobrany sterownik do magazynu sterowników w Windows Store 7.

Aby dodać sterownik do repozytorium, możesz użyć narzędzia pnputil.exe, wpisując w przybliżeniu następujące polecenie:

Pnputil -a c: \ data \ mobile \ wcerndis.if_x86_neutral_56159f2c2377f6d2 \ wcerndis.inf

Dla tych, którzy są zainteresowani tym, co faktycznie dzieje się z tą procedurą, sprawdź magazyn c: \ Windows \ INF \ setupapi.dev.log.

Teraz, gdy sterownik urządzenia został wstępnie ustawiony w repozytorium sterowników systemu Windows 7, możemy zalogować się jako zwykły użytkownik i podłączyć nasze urządzenie mobilne (w tym przykładzie Samsung Omnia GT8000 z Windows Mobile 6.5).

I znowu szczegółowy dziennik tego, co się dzieje setupapi.dev.log.

Tak więc sterownik jest już umieszczony w katalogu sterowników systemowych i po pierwszym podłączeniu urządzenia do komputera zostanie zainstalowany i będzie dostępny do użytku.