Alapértelmezés szerint a rendszer / domain rendes felhasználói nem jogosultak eszközillesztők telepítésére számítógépükre. Ez a megközelítés ésszerű a számítógép biztonságának és stabilitásának biztosítása szempontjából, de az adminisztráció szempontjából kényelmetlen, mivel bármilyen új illesztőprogram telepítéséhez a rendszerbe a felhasználónak egy adminisztrátor vagy műszaki támogatási szolgáltatás segítségére kell fordulnia, amelynek a felhasználó PC-jén rendszergazdai jogok vannak..
Ebben a cikkben bemutatjuk, hogyan engedhetjük meg a szokásos tartományi felhasználóknak az illesztőprogramok telepítését rendszergazdai jogok nélkül. A javasolt megközelítés fő előnye, hogy a domain rendszergazda maga hoz létre azon megbízható illesztőprogramok listáját, amelyeket a felhasználók telepíthetnek a rendszerbe, ezáltal minimalizálva a „káros” illesztőprogram telepítésének kockázatát.
Annak érdekében, hogy a közönséges tartományi felhasználók maguk telepítsék az eszközillesztőket (az UAC jogosultság-emelési ablak megjelenése nélkül), a felhasználó munkakörnyezetének meg kell felelnie a következő feltételeknek:
- A telepítendő illesztőprogramnak a meghajtó tárolójában kell lennie
- A telepítendő illesztőprogram osztályt a rendes felhasználóknak engedélyezni kell a telepítésre.
- Az illesztőprogramot megbízható kiadó érvényes digitális aláírásával kell aláírni
És most, sorrendben:
Tartalom:
- Könyvtár beszerzése eszközillesztővel
- Központi illesztőprogram-tároló
- A telepítéshez engedélyezett illesztőprogram-osztályok listája
- A járművezető digitális aláírása
Könyvtár beszerzése eszközillesztővel
Ha egy adott eszköz legfrissebb illesztőprogramját szeretné megkapni, akkor a legjobb, ha a gyártó webhelyén megtalálja és letöltheti a legújabb illesztőprogramot. Az illesztőprogrammal letöltött archívumot külön könyvtárba kell csomagolni.
DE! Nem minden illesztőprogram van a terjesztéshez megfelelő formátumban. Tegyük fel, hogy egy illesztőprogram telepítve van egy szabadalmazott telepítőcsomaggal. Hogyan lehet kibontani a rendszerből egy könyvtárat a telepített illesztőprogram fájljaival?
A telepítés után az összes illesztőprogram fájlt központilag a könyvtárban tárolja C: \ Windows \ System32 \ DriverStore \ FileRepository \. Az újonnan telepített illesztőprogrammal rendelkező könyvtár megtalálásához egyszerűen rendezze a könyvtár tartalmát a létrehozás / módosítási dátum alapján. Voila! A könyvtárat az illesztőprogrammal a hálózati könyvtárba kell másolni, amelyet az ügyfelek hálózati illesztőprogram-tárolóként fognak feltüntetni (erről bővebben az alábbiakban).
Központi illesztőprogram-tároló
Az Illesztőprogram-tároló vagy az illesztőprogram-tároló koncepciója (erről a cikkben bővebben beszéltünk) először a Windows Vista rendszerben jelent meg, és a számítógép megbízható védett területe, amelyben telepíthető illesztőprogramok találhatók. Így a felhasználó csak azt az illesztőprogramot telepítheti a rendszerbe, amely már található az illesztőprogram-tárolóban. Tehát amikor egy rendszergazda új illesztőprogramot telepít, először lemásolja és regisztrálja az illesztőprogram-tárolóban, és csak akkor telepíti a rendszerbe (az illesztőprogram fájljait a lerakatból a rendszer helyére másolja).
A Windows illesztőprogram-lerakat elérési útját a rendszerleíró adatbázisban állítja be a paraméterrel DevicePath (HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion). Alapértelmezés szerint az illesztőprogram-tárhely a C: \ Windows \ inf könyvtárban található (% SystemRoot% \ Inf) 
Kibonthatja az illesztőprogram-tároló területét, amelyet a rendszer új új illesztőprogramjának telepítésekor keres, és megad egy kiegészítő könyvtárat a rendszerleíró adatbázisban. Tartományi környezetben ezt a legegyszerűbben a Csoportházirend - Csoportházirend-beállítások kibővítésével lehet megtenni. Ehhez a házirend szakaszban Számítógép konfigurálása -> Beállítások -> Nyilvántartás új elem hozzáadása Nyilvántartási cikk paraméterekkel:
- akció: Frissítés
- kaptár: HKEY_LOCAL_MACHINE
- Kulcsút: Szoftver \ Microsoft \ Windows \ CurrentVersion
- Érték neve: DevicePath
- Érték típusa: REG_SZ
- Érték adatok:% SystemRoot% \ inf; \\ fs1 \ share \ inf
További illesztőprogramként az illesztőprogram-tárolóhoz a \\ fs1 \ share \ inf hálózati mappát adtuk meg (ne felejtsük el, hogy a számítógépes fióknak rendelkeznie kell e mappa olvasási engedélyével). Illesztőprogram-forrásként egyszerre több hálózati könyvtárat is megadhat, például a következő változó értékének megadásával:% SystemRoot% \ inf; \\ fs1 \ share \ Printers; \\ fs2 \ Drivers \ USB; \\ fs3 \ Drivers \ VGA
A telepítéshez engedélyezett illesztőprogram-osztályok listája
Az eszközosztály kódjának meghatározásához nyissa meg a fájl könyvtárat az eszközillesztővel. Nyissa meg az inf fájlt, és keresse meg a sort a paraméterrel ClassGUID. A példánkban az eszközosztály kódja így néz ki: 4D36E97D-E325-11CE-BFC1-08002BE10318.
Annak érdekében, hogy ez az eszközosztály a felhasználók számára lehetővé tegyék a telepítést, nyissa meg a meglévő (vagy hozzon létre egy új) csoportházirendet, és a Számítógép konfigurálása -> Adminisztrációs sablonok -> Rendszer -> Illesztőprogram-telepítési ágban keresse meg a házirendet Engedélyezze az eszközök telepítését az illesztőprogramok segítségével, amelyek megegyeznek az eszköz-beállítási osztályokkal. Kapcsolja be, és állítsa értékként az előzőleg másolt eszközosztály-kódot.
A járművezető digitális aláírása
Annak érdekében, hogy a felhasználó képes legyen az illesztőprogram telepítésére, aláírással kell rendelkeznie, és a digitális aláírás kiadójának igazolásának a megbízható listában kell lennie. A legtöbb fő illesztőprogram Microsoft digitális aláírással van aláírva, és megbízható.
De vannak kivételek e szabály alól. Az ilyen illesztőprogram kiadói tanúsítványának beszerzéséhez telepítse azt a rendszergazdai jogokkal. Figyelmeztető üzenet jelenik meg az illesztőprogram telepítésekor. Jelölje be a "Mindig bízzon a ... szoftvertől és kattintson felszerel. Az illesztőprogram telepítése után nyissa meg a tanúsítványkezelő beépülő modult (certmgr.msc), keresse meg a kiadó igazolását a szakaszban Megbízható közzétett-> tanúsítványok. Kattintson a jobb gombbal a kívánt kiadó igazolására és exportálja azt egy fájlba. 
Ezenkívül ezt a tanúsítványt a csoportházirend használatával el kell terjeszteni minden számítógépre, amelyen a felhasználóknak engedélyezni kell az illesztőprogram telepítését. Ehhez egyszerűen importálja a mentett tanúsítványt a szakaszba GPO számítógép konfigurálása -> Windows beállítások -> Biztonsági beállítások -> Nyilvános kulcs-irányelvek -> Megbízható kiadók. 
Tehát, ha mindent helyesen tett, a domain felhasználói használhatják az előre definiált eszközök illesztőprogramjait saját maguk számára (rendszergazdai jogok nélkül)..
