Как да разрешите на потребителите на домейни да инсталират принтери

По подразбиране обикновените потребители на домейн нямат право да инсталират принтери (за по-точно, драйвери за принтери) на компютри с домейни и потребителят трябва да има определени права да ги инсталира. Това е правилно от гледна точка на сигурността, тъй като инсталирането на неправилен или злонамерен (фалшив) драйвер на устройство може да компрометира или влоши системата, но е изключително неудобно от гледна точка на IT отдела. В крайна сметка, ако потребителите нямат право да инсталират драйвери за принтери на своите компютри, това е отговорност на администраторите и ИТ отдела.

В случай че ИТ администраторите на предприятието все пак решиха да разрешат на потребителите да инсталират драйвери за принтери на своите компютри, без да им дават правата на местните администратори, политиките на групата Active Directory могат да им помогнат в тази задача.

Така че се приема, че има хетерогенна мрежа и трябва да позволим на потребителите да свързват независимо мрежови и локални принтери и да инсталират драйверите си на двата компютъра с Windows 7 и Windows XP.

Така че, създайте (или редактирайте съществуваща политика) и я свържете към OU (Active Directory контейнер), който съдържа компютри, на които правилата трябва да позволяват на потребителите да инсталират драйвери за принтер (на самостоятелен компютър тази политика може да бъде приложена с помощта на местната политика).

Отворете клона за групова политика Конфигурация на компютъра -> Политики -> Настройки на Windows -> Настройки за защита -> Локални политики -> Опции за защита, в който намерите параметъра Устройства: Предотвратявайте потребителите да инсталират драйвери за принтер (Устройства: Предотвратявайте потребителите да инсталират драйвери за принтери). Активирайте правилото и деактивирайте приложението му (стойност  За хора с увреждания).

Тази политика предполага, че когато свързвате мрежов принтер, системата позволява на потребител, който няма права на администратор, да инсталира драйвери мрежа принтери.

Следващият момент - трябва да разрешите на потребителя да инсталира местен принтер (и техните драйвери). В случая ни интересува политиката Разрешете на не-администраторите да инсталират драйвери за тези класове за настройка на устройството в раздела: Конфигурация на компютъра -> Политики -> Административни шаблони -> Система -> Инсталиране на драйвери.

Активирайте това правило, след това задайте типовете устройства, които потребителите могат да инсталират самостоятелно (повече за принципите на инсталиране на драйвери в Windows 7 без права на местен администратор). Щракнете върху бутона Покажи и в прозореца, който се показва, добавете два реда (идентификатори на класа, съответстващи на устройства като принтер):

4d36e979-e325-11ce-bfc1-08002be10318

4658ee7e-f050-11d1-b6bd-00c04fa372a7

Пълен списък с GUID на клас устройства в Windows е достъпен тук:
http://msdn.microsoft.com/en-us/library/ff553426%28v=VS.85%29.aspx

Запазване на промените в политиката.

Следващият момент се отнася до функциите на UAC при инсталиране на мрежов принтер в Windows Vista и Windows 7. Ако UAC е включен, се появява съобщение с молба да посочите идентификационни данни на администратора, ако UAC е изключен, когато се опитате да инсталирате принтер от потребителя, системата мисли дълго време, и накрая дава съобщение за грешка: „Windows не можа да се свърже с принтера. Забранен достъп".

За да се реши този проблем, е необходимо да се настрои правилото за хора с увреждания Ограничения за точки и печат . Тази политика е разположена както в системните, така и в потребителските секции на груповите политики и за поддържане на съвместимост с предишни версии на операционната система Windows, се препоръчва да се зададат и двата параметъра. Трябва да деактивирате и двете политики. Намира се в секциите: Конфигурация на компютъра -> Политики -> Административни шаблони -> Принтери и Конфигурация на потребителя -> Политики -> Административни шаблони -> Контролен панел -> Принтери.

Остава да запишете промените и да тествате политиките на клиентите (необходимо е рестартиране). След рестартиране и прилагане на групови правила, на потребителя ще бъде позволено самостоятелно да инсталира локални и да свързва мрежови принтери.

За да подобрите стабилността и сигурността на системата, препоръчваме също да активирате изолацията на драйвера на принтера в Windows 7..