Navadni uporabniki sistema / domene privzeto nimajo pravic za namestitev gonilnikov naprav v svoje računalnike. Ta pristop je racionalen z vidika zagotavljanja varnosti in stabilnosti osebnega računalnika, vendar neprijeten s stališča administracije, ker se mora uporabnik za namestitev novega gonilnika v sistem zateči k pomoči skrbnika ali tehnične podporne storitve, ki ima na uporabnikovem osebnem računalniku pravice skrbnika.
V tem članku bomo pokazali, kako navadnim uporabnikom domene omogočiti, da namestijo gonilnike v sistem brez skrbniških pravic. Glavna prednost predlaganega pristopa je, da skrbnik domene sam ustvari seznam zaupanja vrednih gonilnikov, ki jih uporabniki lahko namestijo v sistem, kar zmanjša tveganje namestitve "škodljivega" gonilnika.
Da bi lahko navadni uporabniki domene sami namestili gonilnike naprav (brez pojava okna zvišanja privilegijev UAC), je potrebno, da uporabniško delovno okolje izpolnjuje naslednje pogoje:
- Gonilnik, ki ga želite namestiti, mora biti v trgovini z gonilniki
- Redni uporabniki morajo imeti možnost, da jih namesti gonilniški razred, ki ga je treba namestiti.
- Gonilnik mora biti podpisan z veljavnim digitalnim podpisom zaupanja vrednega založnika
In zdaj, da:
Vsebina:
- Pridobitev imenika z gonilnikom naprave
- Centralizirano skladišče gonilnikov
- Seznam voznikovih razredov, ki so dovoljeni za namestitev
- Digitalni podpis voznika
Pridobitev imenika z gonilnikom naprave
Če želite dobiti najnovejši gonilnik za določeno napravo, je najbolje najti in naložiti najnovejši gonilnik na proizvajalčevem spletnem mestu. Naloženi arhiv z gonilnikom mora biti razpakiran v ločen imenik.
ALI! Niso vsi gonilniki na voljo v obliki, primerni za distribucijo. Predpostavimo, da je gonilnik nameščen z lastniškim namestitvenim paketom. Kako iz sistema izvlečete imenik z datotekami nameščenega gonilnika?
Po namestitvi se vse datoteke gonilnikov shranijo centralno v imenik C: \ Windows \ System32 \ DriverStore \ FileRepository \. Če želite najti imenik z novo nameščenim gonilnikom, preprosto razvrstite vsebino tega imenika po datumu izdelave / spremembe. Voila! Ostaja kopiranje imenika z gonilnikom v omrežni imenik, ki bo na odjemalcih naveden kot omrežna trgovina gonilnikov (več o tem spodaj).
Centralizirano skladišče gonilnikov
Koncept trgovine gonilnikov ali shrambe gonilnikov (o tem smo podrobneje govorili v tem članku) se je prvič pojavil v sistemu Windows Vista in je zaupanja vredno zaščiteno območje računalnika, ki vsebuje nabor gonilnikov, ki jih je mogoče namestiti. Tako lahko uporabnik v sistem namesti samo gonilnik, ki je že v skladišču gonilnikov. Ko skrbnik namesti nov gonilnik, ga najprej kopira in registrira v shrambi gonilnikov in šele nato namesti v sistem (datoteke gonilnikov se kopirajo iz skladišča na sistemsko mesto).
Pot do skladišča gonilnikov Windows je v registru nastavljena s parametrom Devicepath (HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion) Repozitorij gonilnikov se privzeto nahaja v imeniku C: \ Windows \ inf (% SystemRoot% \ Inf) 
Lahko razširite območje shranjevalnika gonilnikov, ki ga iščete pri nameščanju novega gonilnika v sistem, tako da v tem registru navedete dodatni imenik. V domenskem okolju je to najlažje storiti s širitvijo skupinske politike - nastavitve skupinske politike. To storite v razdelku o politikah Konfiguracija računalnika -> Nastavitve -> Register dodaj nov element Postavka registra s parametri:
- Ukrep: Posodobitev
- Panj: HKEY_LOCAL_MACHINE
- Ključna pot: Programska oprema \ Microsoft \ Windows \ CurrentVersion
- Ime vrednosti: DevicePath
- Vrsta vrednosti: REG_SZ
- Podatki o vrednosti:% SystemRoot% \ inf; \\ fs1 \ share \ inf
Kot dodatni zaupanja vreden imenik za shrambo gonilnikov smo določili omrežno mapo \\ fs1 \ share \ inf (ne pozabite, da mora računalniški račun imeti dovoljenja za branje iz te mape). Kot vir gonilnika lahko hkrati določite več omrežnih imenikov, na primer tako, da določite vrednost spremenljivke:% SystemRoot% \ inf; \\ fs1 \ share \ Printers; \\ fs2 \ Drivers \ USB; \\ fs3 \ Drivers \ VGA
Seznam voznikovih razredov, ki so dovoljeni za namestitev
Če želite določiti kodo razreda naprave, odprite imenik datotek z gonilnikom naprave. Odprite njegovo inf datoteko in poiščite vrstico s parametrom ClassGUID. Koda razreda naprav v našem primeru izgleda tako: 4D36E97D-E325-11CE-BFC1-08002BE10318.
Če želite uporabnikom omogočiti namestitev tega razreda naprav, odprite obstoječi (ali ustvarite nov) skupinski pravilnik in v razdelku Konfiguracija računalnika -> Upravne predloge -> Sistem -> Namestitev gonilnika poiščite pravilnik Dovoli namestitev naprav z uporabo gonilnikov, ki ustrezajo tem razredom nastavitev naprave. Vklopite ga in nastavite kodo razreda naprave, ki je bila predhodno kopirana kot vrednost.
Digitalni podpis voznika
Da lahko uporabnik sam gonilnik namesti sam, mora biti podpisan, potrdilo založnika digitalnega podpisa pa mora biti na seznamu zaupnikov. Večina glavnih gonilnikov ponudnikov je podpisana z Microsoftovim digitalnim podpisom in jim zaupajo.
Toda pri tem pravilu obstajajo izjeme. Če želite pridobiti potrdilo založnika takega gonilnika, ga namestite v sistem s skrbniškimi pravicami. Med namestitvijo gonilnika se prikaže opozorilno sporočilo. Potrdite polje poleg možnosti »Vedno zaupajte programski opremi podjetja ... "in kliknite Namestite. Po namestitvi gonilnika odprite priključek za upravljanje potrdil (certmgr.msc), v razdelku poiščite potrdilo založnika Zaupno objavljeno-> Potrdila. Z desno miškino tipko kliknite potrdilo želenega založnika in ga izvozite v datoteko. 
Nadalje je treba to potrdilo s skupinsko politiko distribuirati na vse računalnike, na katerih morajo uporabniki namestiti ta gonilnik. Če želite to narediti, preprosto uvozite shranjeno potrdilo v razdelek Konfiguracija računalnika GPO -> Nastavitve sistema Windows -> Varnostne nastavitve -> Policije javnih ključev -> Zaupanja založnikov. 
Če ste vse naredili pravilno, lahko uporabniki vaše domene sami namestijo gonilnike vnaprej določenih naprav (brez skrbniških pravic).
