Bežní používatelia systému / domény v predvolenom nastavení nemajú práva na inštaláciu ovládačov zariadení do svojich počítačov. Tento prístup je racionálny z hľadiska zaistenia bezpečnosti a stability PC, ale z hľadiska správy nepohodlný, pretože na inštaláciu akéhokoľvek nového ovládača do systému sa musí užívateľ uchýliť k pomoci správcu alebo služby technickej podpory, ktoré majú na počítači používateľa práva správcu..
V tomto článku si ukážeme, ako povoliť bežným používateľom domény inštalovať ovládače do systému bez oprávnení správcu. Hlavnou výhodou navrhovaného prístupu je, že samotný správca domény vytvára zoznam dôveryhodných ovládačov, ktoré môžu používatelia nainštalovať do systému, čím sa minimalizuje riziko inštalácie „škodlivého“ ovládača..
Na to, aby mohli bežní používatelia domény inštalovať ovládače zariadení sami (bez zobrazenia okna zvýšenia oprávnení UAC), je potrebné, aby pracovné prostredie používateľa spĺňalo tieto podmienky:
- Ovládač, ktorý sa má nainštalovať, musí byť v sklade vodiča
- Inštalácia triedy ovládača musí byť povolená pre bežných používateľov.
- Vodič musí byť podpísaný platným digitálnym podpisom od dôveryhodného vydavateľa
A teraz, v poradí:
obsah:
- Získanie adresára pomocou ovládača zariadenia
- Centralizované úložisko vodiča
- Zoznam tried vodičov povolených na inštaláciu
- Digitálny podpis vodiča
Získanie adresára pomocou ovládača zariadenia
Ak chcete získať najnovší ovládač pre konkrétne zariadenie, je najlepšie nájsť a stiahnuť najnovší ovládač na webových stránkach výrobcu. Stiahnutý archív s ovládačom musí byť rozbalený do samostatného adresára.
ALE! Nie všetky ovládače sú poskytované vo formáte vhodnom na distribúciu. Predpokladajme, že je ovládač nainštalovaný s proprietárnym inštalačným balíkom. Ako extrahovať zo systému adresár so súbormi nainštalovaného ovládača?
Po inštalácii sa všetky súbory ovládačov uložia centrálne v adresári C: \ Windows \ System32 \ DriverStore \ FileRepository \. Ak chcete nájsť adresár s novo nainštalovaným ovládačom, jednoducho zoraďte obsah tohto adresára podľa dátumu vytvorenia / úpravy. Voila! Zostáva skopírovať adresár s ovládačom do sieťového adresára, ktorý bude klientom označený ako sieťový ovládač Driver Store (viac o tomto nižšie).
Centralizované úložisko vodiča
Koncept úložiska ovládačov alebo úložiska ovládačov (o tom sme hovorili viac v tomto článku) sa prvýkrát objavil v systéme Windows Vista a je dôveryhodnou chránenou oblasťou počítača, ktorá obsahuje sadu ovládačov, ktoré môžu byť nainštalované. Užívateľ môže teda v systéme nainštalovať iba ovládač, ktorý je už v úložisku ovládačov. Takže keď správca nainštaluje nový ovládač, najprv sa skopíruje a zaregistruje v úložisku ovládačov a až potom sa nainštaluje do systému (súbory ovládačov sa skopírujú z úložiska do systémového umiestnenia)..
Cesta k archívu ovládačov Windows je nastavená v registri s parametrom DevicePath (HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion). V predvolenom nastavení je úložisko ovládačov umiestnené v adresári C: \ Windows \ inf (% SystemRoot% \ Inf) 
Oblasť úložiska ovládačov, ktorú hľadáte pri inštalácii nového ovládača do systému, môžete rozšíriť zadaním ďalšieho adresára v tomto registri. V doménovom prostredí je najjednoduchší spôsob, ako to dosiahnuť rozšírením skupinovej politiky - preferencie skupinovej politiky. Ak to chcete urobiť, v časti s pravidlami Konfigurácia počítača -> Predvoľby -> Register pridať novú položku Položka registra s parametrami:
- akčné: Aktualizácia
- úľ: HKEY_LOCAL_MACHINE
- Kľúčová cesta: Softvér \ Microsoft \ Windows \ CurrentVersion
- Názov hodnoty: DevicePath
- Typ hodnoty: REG_SZ
- Hodnotové údaje:% SystemRoot% \ inf; \\ fs1 \ share \ inf
Ako ďalší dôveryhodný adresár pre archív ovládačov sme zadali sieťový priečinok \\ fs1 \ share \ inf (nezabudnite, že účet počítača musí mať oprávnenie na čítanie z tohto priečinka). Ako zdroj ovládača môžete zadať niekoľko sieťových adresárov naraz, napríklad ako variabilnú hodnotu:% SystemRoot% \ inf; \\ fs1 \ share \ Printers; \\ fs2 \ Drivers \ USB; \\ fs3 \ Drivers \ VGA
Zoznam tried vodičov povolených na inštaláciu
Ak chcete zistiť kód triedy zariadenia, otvorte adresár súborov pomocou ovládača zariadenia. Otvorte jeho inf súbor a nájdite riadok s parametrom ClassGUID. Kód triedy zariadenia v našom príklade vyzerá takto: 4D36E97D-E325-11CE-BFC1-08002BE10318.
Ak chcete užívateľom povoliť túto triedu zariadení, aby sa mohli nezávisle inštalovať, otvorte existujúcu (alebo vytvorte novú) skupinovú politiku a v časti Konfigurácia počítača -> Šablóny pre správu -> Systém -> Inštalácia ovládačov vyhľadajte túto politiku. Povoliť inštaláciu zariadení pomocou ovládačov, ktoré zodpovedajú týmto triedam nastavení zariadení. Zapnite ho a ako hodnotu zadajte pôvodný kód triedy zariadenia.
Digitálny podpis vodiča
Aby mohol užívateľ nainštalovať ovládač sám, musí byť podpísaný a certifikát vydavateľa digitálneho podpisu musí byť v zozname dôveryhodných. Väčšina hlavných ovládačov dodávateľov je podpísaná digitálnymi podpismi spoločnosti Microsoft a sú dôveryhodné.
Existujú však výnimky z tohto pravidla. Ak chcete získať vydavateľský certifikát takého ovládača, nainštalujte ho do systému s právami správcu. Počas inštalácie ovládača sa zobrazí varovná správa. Začiarknite políčko vedľa položky „Vždy dôverujte softvéru od ... “a kliknite na inštalovať. Po inštalácii ovládača otvorte modul na správu certifikátov (certmgr.msc), nájdite vydavateľský certifikát v sekcii Dôveryhodné zverejnené-> Certifikáty. Kliknite pravým tlačidlom myši na certifikát požadovaného vydavateľa a exportujte ho do súboru. 
Tento certifikát sa musí ďalej distribuovať pomocou skupinovej politiky do všetkých počítačov, na ktorých používatelia musia mať povolenie na inštaláciu tohto ovládača. Uložený certifikát jednoducho importujte do tejto sekcie Konfigurácia počítača GPO -> Nastavenia systému Windows -> Nastavenia zabezpečenia -> Politiky verejných kľúčov -> Dôveryhodní vydavatelia. 
Ak ste urobili všetko správne, používatelia vašej domény môžu nainštalovať ovládače preddefinovaných zariadení samostatne (bez práv správcu).
