Един от належащите проблеми за използването на Windows 7 в корпоративна среда е предоставянето на мобилни потребители на правото да инсталират локални устройства, без да им присвояват права на местен администратор. В предишните версии на Windows (NT 4, Windows 2000 и XP) в повечето случаи този проблем беше решен просто: мобилните потребители получиха права за локален администратор (или Power User) само защото в командировка може да се наложи да инсталират и свържат външно устройство. Ако преди няколко години правото на инсталиране на локални устройства беше необходимо главно за свързване на локални принтери, сега списъкът на такива външни устройства се разшири значително, сега не трябва да забравяме за поддръжката за мобилни телефони, слушалки, камери и т.н..
Microsoft добави редица иновации в най-новите си операционни системи (Windows Vista и Windows 7), които прилагат възможностите на централизирано корпоративно управление на инсталирането на локални устройства. В тази статия ще се опитам да обясня какво се случва, когато ново външно устройство е свързано с клиента на Windows 7 и как този процес може да бъде повлиян чрез настройките на груповата политика.
В Windows XP обикновен потребител може да инсталира ново устройство само ако това устройство се поддържа от един от стандартните драйвери за Windows, включени в инсталационния комплект или ако драйверът за това устройство е наличен чрез услугата Windows Update. В Windows XP броят на устройствата, поддържани от такива предварително инсталирани драйвери, е значително ограничен в сравнение с Windows 7. Microsoft стартира услугата, която позволява актуализиране на драйвери на устройства чрез Windows Update през 2005 г. и както си спомняте, Windows Vista беше пусната година по-късно, така че изглежда много производители на хардуер решиха да не харчат пари за предоставяне на възможност за актуализиране на драйверите на устройствата им за Windows XP чрез Windows Update. И точно поради тези причини, за да осигурят на мобилния потребител правото да инсталира ново оборудване, корпоративните администратори трябваше да предоставят на потребителите правата на местните администратори на техните лаптопи.
Заедно с пускането на Windows Vista, процедурата за инсталиране на нови драйвери леко се промени. В предишните версии на Windows драйверите на устройства могат да се съхраняват в различни директории, но сега в Windows Vista и по-нови версии на Windows, концепцията "Съхранение на драйвери"(Магазин за шофьори), което е надеждно място за съхранение на всички вградени драйвери и други драйверни пакети. Сега в Windows можете да инсталирате само драйвера, съхраняван в това хранилище на Driver Store. Процесът на доставка на драйвери в магазина на драйвери се нарича „поетапно“ (доставка). Добрата новина е, че всеки драйвер, който е в хранилището на драйвери, може да бъде инсталиран от всеки потребител без права на местен администратор.
Нека си представим какво се случва, когато потребителят се опита да свърже ново устройство с клиент на Windows 7. По подразбиране Windows 7 се опитва да намери подходящ драйвер за актуализация на Windows и ако драйверът бъде намерен, той автоматично ще го изтегли и постави в локалния магазин на магазина на драйвери и т.н. д. Преди инсталирането ще се извърши процесът на доставка на драйвера (поетапно). В случай, че не бъде намерен подходящ драйвер, Windows ще продължи да търси подходящ драйвер в локално хранилище. Ако бъде намерен подходящ драйвер, Windows ще го инсталира. Ако драйверът не бъде намерен отново, системата ще продължи да търси по пътя, посочен в стойността на ключа на системния регистър DevicePath, може да бъде локално устройство, например C: \ драйвери или мрежова папка. Ако драйверът не бъде намерен там, Windows ще ви информира, че не е намерен подходящ драйвер.
Процесът, описан по-горе, трябва да помогне на повечето домашни потребители и потребители на малки компании да решат проблема с инсталирането на локални устройства, без да имат права на местен администратор. Въпреки това, редица проблеми ще се появят в мрежите на големи организации:
- Много компании искат ясно да разберат и контролират какво е инсталирано на техните компютри. И дори ако смятаме съдържанието на възела на Microsoft Windows Update за надеждно, в много компании политиката за сигурност забранява директен достъп до външни ресурси (включително на Windows Update Server).
- Доколкото знам, невъзможно е да се раздели процеса на търсене в възела за актуализации на Microsoft за актуализации на защитата на Windows Security и драйвери на устройства, следователно, ако организацията използва локалния си WSUS сървър, клиентите ще търсят драйвери на външен Windows Update Server, а също така ще се използват за изтегляне на актуализации Windows. Т.е. използването на локален WSUS губи своето значение. (Ако греша, поправете ме).
- Ако компанията прилага много строга политика относно използването на конкретни устройства, системните администратори трябва да гарантират, че драйверите се актуализират в местния магазин за драйвери за всички клиенти на компанията..
Но въпреки описаните проблеми, има редица решения. Както много други настройки на Windows, управлението на инсталацията на драйвера на устройството може да се контролира с помощта на групови правила..
Тези настройки са в следния раздел от груповата политика: Конфигурация на компютъра \ Административни шаблони \ Система \ Инсталиране на устройство. Параметър в секцията Конфигурация на потребителя \ Административни шаблони \ Система \ Инсталация на драйвери ще бъде игнориран, тъй като не е приложим за Windows 7.
Ние забраняваме на клиентите да търсят драйвери на възела на Windows Update
За да предотвратите клиентите на Windows 7 да търсят драйвери на възела на Windows Update, активирайте груповата политика „Посочете реда за търсене на местонахожденията на драйвера на устройството”И го конфигурирайте -“ Не търсете Windows Update ”.
Разрешете на обикновените потребители да инсталират драйвери на устройства от този тип
Настройка на груповата политика, наречена „Разрешаване на инсталиране на устройства с помощта на драйвери, които съответстват на тези класове за настройка на устройството”(Разположен в Конфигурация \ Административни шаблони \ Система \ Инсталиране на устройства \ Ограничения за инсталиране на устройства ИТ администраторите) позволява на обикновените потребители да изтеглят и инсталират драйвери на устройства от посочените класове. Това означава, че ако IT отделът не е в състояние да следи пакетите с драйвери за принтери, които се използват от потребителите на компанията, можете да разрешите инсталирането на драйвери за принтери на всички потребители на мрежата, докато инсталацията на драйвери за други класове устройства може да бъде забранена.
Предварително зареждане на драйвери в магазина на драйвери в Windows 7
За редица широко разпространени външни устройства администраторът може да предварително инсталира драйверите в хранилището на всички мобилни потребителски системи на компанията. Можете да направите това по следния начин:
- Разпространете драйвери със стандартен корпоративен образ на ОС
- Инсталиране на драйвери след инсталиране на клиентската система - след инсталиране (MDT, SCCM, WSUS)
- Разпространение на драйвери по заявка като софтуерен пакет
Няма да обичам да рисувам изпълнението на всеки от тези сценарии, но се опитвам да се справя с типична ситуация, която администраторът може да срещне на практика.
Почти всеки потребител иска да може да синхронизира календара си с мобилно устройство и ако това устройство работи с Windows Mobile, определено ще ви е необходим център за мобилни устройства на Windows, за да свържете това устройство с компютър с Windows 7.
Ако не знаете точно кой драйвер е необходим, оставете системата да намери и инсталира необходимия драйвер от самия възел на Windows Update. След като инсталацията приключи, отидете в директорията C: \ Windows \ System32 \ Driverstore и намерете прясно създадената папка.
Сега можете просто да копирате тази директория и да я разпространите в локалните хранилища на драйвери на корпоративни компютри. Друг метод е да изтеглите директно пакета с драйвери (как да направите това е описано тук http://support.microsoft.com/kb/323166) от каталога на Windows Update.
Ще изтеглите приблизително следния файл: X86-ar_bg_zh-tw_cs_da_de_el_en_es_fi_fr_ ... v_th_tr_sl_et_lv_lt_zh-cn_pt_ja-nec-20060042_b5eca0da489018bbc1930e42252b1034f739af15.cab. След това този CAB трябва да бъде разопакован.
След това ще покажа как да добавя изтегления драйвер в магазина на драйвери на Driver Store Windows 7.
За да добавите драйвер към хранилището, можете да използвате помощната програма pnputil.Търсейки, въведете приблизително следната команда:
Pnputil -a c: \ data \ mobile \ wcerndis.if_x86_neutral_56159f2c2377f6d2 \ wcerndis.inf
За тези, които се интересуват какво всъщност се случва с тази процедура, вижте списанието c: \ Windows \ INF \ setupapi.dev.log.
След като драйверът на устройството е предварително поставен в хранилището на драйвери на Windows 7, можем да влезем като редовен потребител и да свържем мобилното си устройство (в този пример Samsung Omnia GT8000 с Windows Mobile 6.5).
И отново, подробен дневник на случващото се setupapi.dev.log.
Така че драйверът вече е поставен в директорията на системните драйвери и след първата връзка на устройството с компютъра той ще бъде инсталиран и ще бъде достъпен за употреба.