По подразбиране обикновените потребители на системата / домейна нямат права да инсталират драйвери на устройства на своите компютри. Този подход е рационален от гледна точка на осигуряване на сигурността и стабилността на компютъра, но неудобен от гледна точка на администрацията, тъй като за да инсталира всеки нов драйвер в системата, потребителят трябва да прибягва до помощта на администратор или услуга за техническа поддръжка, които имат администраторски права на компютъра на потребителя.
В тази статия ще покажем как да разрешим на обикновените потребители на домейн да инсталират драйвери на система без права на администратор. Основното предимство на предлагания подход е, че администраторът на домейн сам създава списък на надеждни драйвери, които потребителите могат да инсталират в системата, като по този начин минимизира риска от инсталиране на "вреден" драйвер.
За да разрешите на обикновените потребители на домейни сами да инсталират драйвери на устройства (без появата на прозореца за повишаване на привилегированията на UAC), е необходимо работната среда на потребителя да отговаря на следните условия:
- Драйверът, който трябва да бъде инсталиран, трябва да бъде в магазина за драйвери
- Класът на драйвери, който трябва да бъде инсталиран, трябва да бъде разрешен да бъде инсталиран от редовни потребители.
- Драйверът трябва да бъде подписан с валиден цифров подпис от надежден издател
И сега, за да:
Съдържание:
- Получаване на директория с драйвер на устройство
- Централизирано хранилище на драйвери
- Списък на класовете драйвери, разрешени за инсталиране
- Цифров подпис на водача
Получаване на директория с драйвер на устройство
За да получите най-новия драйвер за конкретно устройство, най-добре е да намерите и изтеглите най-новия драйвер на уебсайта на производителя. Изтегленият архив с драйвера трябва да бъде разопакован в отделна директория.
НО! Не всички драйвери се предлагат във формат, подходящ за разпространение. Да предположим, че драйвер е инсталиран с патентован инсталационен пакет. Как да извлечете от системата директория с файловете на инсталирания драйвер?
След инсталирането всички драйверни файлове се съхраняват централно в директорията C: \ Windows \ System32 \ DriverStore \ FileRepository \. За да намерите директория с ново инсталиран драйвер, просто сортирайте съдържанието на тази директория по дата на създаване / промяна. Voila! Остава да копирате директорията с драйвера в мрежовата директория, която ще бъде посочена на клиентите като мрежов драйвер (повече за това по-долу).
Централизирано хранилище на драйвери
Концепцията за магазина на драйвери или хранилището на драйвери (говорихме повече за това в тази статия) за първи път се появи в Windows Vista и представлява надеждна защитена зона на компютъра, съдържаща набор от драйвери, които могат да бъдат инсталирани. По този начин потребителят може да инсталира в системата само драйвера, който вече е в хранилището на драйвери. Така че, когато администратор инсталира нов драйвер, той първо се копира и регистрира в хранилището на драйверите и едва след това се инсталира в системата (файловете на драйверите се копират от хранилището до местоположението на системата).
Пътят до хранилището на драйвера на Windows е зададен в системния регистър с параметъра DevicePath (HKEY_LOCAL_MACHINE \ Софтуер \ Microsoft \ Windows \ CurrentVersion). По подразбиране хранилището на драйвери се намира в директорията C: \ Windows \ inf (% SystemRoot% \ Inf) 
Можете да разширите областта на хранилището на драйвери, което се търси при инсталиране на нов драйвер в системата, като посочите допълнителна директория в този регистър. В среда на домейн най-лесният начин да направите това е чрез разширяване на груповата политика - Предпочитания за групова политика. За да направите това, в раздела за политиката Конфигурация на компютъра -> Предпочитания -> Регистър добавете нов елемент Елемент от регистъра с параметри:
- действие: Актуализация
- кошер: HKEY_LOCAL_MACHINE
- Ключов път: Софтуер \ Microsoft \ Windows \ CurrentVersion
- Име на стойност: DevicePath
- Тип стойност: REG_SZ
- Данни за стойността:% SystemRoot% \ inf; \\ fs1 \ share \ inf
Като допълнителна надеждна директория за хранилището на драйвери, ние посочихме мрежовата папка \\ fs1 \ share \ inf (не забравяйте, че компютърният акаунт трябва да има разрешения за четене от тази папка). Можете да посочите няколко мрежови директории като източник на драйвери наведнъж, например, като посочите като стойност на променлива:% SystemRoot% \ inf; \\ fs1 \ share \ Printers; \\ fs2 \ Drivers \ USB; \\ fs3 \ Drivers \ VGA
Списък на класовете драйвери, разрешени за инсталиране
За да определите кода на класа на устройството, отворете файловата директория с драйвера на устройството. Отворете нейния inf файл и намерете реда с параметъра ClassGUID. Кодът на клас на устройството в нашия пример изглежда така: 4D36E97D-E325-11CE-BFC1-08002BE10318.
За да разрешите на този клас устройства потребителите да се инсталират, отворете съществуващата (или създайте нова) групова политика и в раздела Конфигурация на компютъра -> Административни шаблони -> Система -> Инсталиране на драйвера, намерете правилото Разрешаване на инсталиране на устройства с помощта на драйвери, които съответстват на тези класове за настройка на устройството. Включете го и задайте кода на класа на устройството, предварително копиран като стойност.
Цифров подпис на водача
За да може потребителят сам да инсталира драйвера, той трябва да бъде подписан, а сертификатът на издателя на цифровия подпис трябва да бъде в списъка на доверени. Повечето големи драйвери на доставчици се подписват с цифрови подписи на Microsoft и им се вярва.
Но има изключения от това правило. За да получите издателския сертификат на такъв драйвер, инсталирайте го в системата с права на администратор. По време на инсталирането на драйвера ще се появи предупредително съобщение. Поставете отметка в квадратчето до „Винаги се доверявайте на софтуера от ... "и щракнете инсталирам. След като инсталирате драйвера, отворете приставката за управление на сертификати (certmgr.msc), намерете сертификата на издателя в секцията Доверено публикуване-> Сертификати. Кликнете с десния бутон върху сертификата на желания издател и го експортирайте във файл. 
Освен това, този сертификат трябва да бъде разпространен чрез групова политика на всички компютри, на които потребителите трябва да имат право да инсталират този драйвер. За да направите това, просто импортирайте запазения сертификат в секцията Конфигурация на GPO компютър -> Настройки на Windows -> Настройки за защита -> Полиции на публичния ключ -> Надеждни издатели. 
Така че, ако сте направили всичко правилно, потребителите на вашия домейн могат сами да инсталират драйвери на предварително дефинирани устройства (без права на администратор).
