Ve výchozím nastavení běžní uživatelé systému / domény nemají práva na instalaci ovladačů zařízení do svých počítačů. Tento přístup je racionální z hlediska zajištění bezpečnosti a stability počítače, ale z hlediska správy je nepohodlný, protože pro instalaci jakéhokoli nového ovladače do systému se uživatel musí uchýlit k pomoci správce nebo služby technické podpory, která mají práva správce na počítači uživatele.
V tomto článku si ukážeme, jak povolit běžným uživatelům domény instalovat ovladače do systému bez oprávnění správce. Hlavní výhodou navrhovaného přístupu je to, že správce domény sám vytvoří seznam důvěryhodných ovladačů, které mohou uživatelé nainstalovat do systému, čímž minimalizuje riziko instalace „škodlivého“ ovladače.
Aby mohli běžní uživatelé domény instalovat ovladače zařízení sami (bez vzhledu okna pro zvýšení oprávnění UAC), je nutné, aby pracovní prostředí uživatele splňovalo následující podmínky:
- Ovladač, který má být nainstalován, musí být v úložišti ovladačů
- Instalovaná třída ovladačů musí mít povoleno nainstalovat běžní uživatelé.
- Ovladač musí být podepsán platným digitálním podpisem od důvěryhodného vydavatele
A nyní, v pořadí:
Obsah:
- Získání adresáře pomocí ovladače zařízení
- Centralizované úložiště ovladačů
- Seznam tříd ovladačů povolených pro instalaci
- Digitální podpis řidiče
Získání adresáře pomocí ovladače zařízení
Chcete-li získat nejnovější ovladač pro konkrétní zařízení, je nejlepší najít a stáhnout nejnovější ovladač na webových stránkách výrobce. Stažený archiv s ovladačem musí být rozbalen do samostatného adresáře.
ALE! Ne všechny ovladače jsou k dispozici ve formátu vhodném pro distribuci. Předpokládejme, že je ovladač nainstalován s proprietárním instalačním balíčkem. Jak extrahovat ze systému adresář se soubory nainstalovaného ovladače?
Po instalaci jsou všechny soubory ovladače uloženy centrálně v adresáři C: \ Windows \ System32 \ DriverStore \ FileRepository \. Chcete-li najít adresář s nově nainstalovaným ovladačem, jednoduše roztřiďte obsah tohoto adresáře podle data vytvoření / změny. Voila! Zbývá zkopírovat adresář s ovladačem do síťového adresáře, který bude na klientech označen jako síťový ovladač ovladačů (více k tomuto níže).
Centralizované úložiště ovladačů
Koncept úložiště ovladačů nebo úložiště ovladačů (o tom jsme v tomto článku hovořili více) se poprvé objevil v systému Windows Vista a je důvěryhodnou chráněnou oblastí počítače obsahující sadu ovladačů, které mohou být nainstalovány. Uživatel tedy může do systému nainstalovat pouze ovladač, který je již v úložišti ovladačů. Takže když správce nainstaluje nový ovladač, je nejprve zkopírován a zaregistrován v úložišti ovladačů a teprve poté nainstalován do systému (soubory ovladačů jsou zkopírovány z úložiště do systémového umístění).
Cesta k úložišti ovladačů systému Windows je nastavena v registru s parametrem Cesta zařízení (HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion) Ve výchozím nastavení je úložiště ovladačů umístěno v adresáři C: \ Windows \ inf (% SystemRoot% \ Inf) 
Oblast úložiště ovladačů, kterou hledáte při instalaci nového ovladače do systému, můžete rozšířit zadáním dalšího adresáře v tomto registru. V prostředí domény je nejjednodušší způsob, jak to provést rozšířením Zásady skupiny - Předvolby zásad skupiny. To provedete v sekci zásad Konfigurace počítače -> Předvolby -> Registr přidat novou položku Položka registru s parametry:
- Akce: Aktualizace
- Úl: HKEY_LOCAL_MACHINE
- Klíčová cesta: Software \ Microsoft \ Windows \ CurrentVersion
- Název hodnoty: DevicePath
- Typ hodnoty: REG_SZ
- Hodnotové údaje:% SystemRoot% \ inf; \\ fs1 \ share \ inf
Jako další důvěryhodný adresář pro úložiště ovladačů jsme určili síťovou složku \\ fs1 \ share \ inf (nezapomeňte, že účet počítače musí mít oprávnění ke čtení z této složky). Jako zdroj ovladačů můžete zadat několik síťových adresářů najednou, například jako proměnnou hodnotu:% SystemRoot% \ inf; \\ fs1 \ share \ Printers; \\ fs2 \ Drivers \ USB; \\ fs3 \ Drivers \ VGA
Seznam tříd ovladačů povolených pro instalaci
Chcete-li zjistit kód třídy zařízení, otevřete adresář souborů pomocí ovladače zařízení. Otevřete soubor inf a najděte řádek s parametrem ClassGUID. Kód třídy zařízení v našem příkladu vypadá takto: 4D36E97D-E325-11CE-BFC1-08002BE10318.
Chcete-li povolit uživatelům tuto třídu zařízení, aby se samostatně instalovali, otevřete existující (nebo vytvořte novou) skupinovou politiku a v sekci Konfigurace počítače -> Šablony pro správu -> Systém -> Instalace ovladače klepněte na zásady Povolit instalaci zařízení pomocí ovladačů, které odpovídají těmto třídám nastavení zařízení. Zapněte jej a nastavte kód třídy zařízení dříve zkopírovaný jako hodnotu.
Digitální podpis řidiče
Aby mohl uživatel nainstalovat ovladač sám, musí být podepsán a certifikát vydavatele digitálního podpisu musí být v seznamu důvěryhodných. Většina ovladačů hlavních dodavatelů je podepsána digitálními podpisy společnosti Microsoft a jsou důvěryhodné.
Existují však výjimky z tohoto pravidla. Chcete-li získat certifikát vydavatele takového ovladače, nainstalujte jej do systému s právy správce. Během instalace ovladače se zobrazí varovná zpráva. Zaškrtněte políčko vedle položky „Vždy důvěřujte softwaru od ... "a klikněte na Nainstalovat. Po instalaci ovladače otevřete modul snap-in pro správu certifikátů (certmgr.msc), vyhledejte vydavatelský certifikát v sekci Důvěryhodné publikované-> Certifikáty. Klikněte pravým tlačítkem na certifikát požadovaného vydavatele a exportujte jej do souboru. 
Tento certifikát musí být dále distribuován pomocí zásad skupiny do všech počítačů, na kterých musí mít uživatelé možnost nainstalovat tento ovladač. Uložte certifikát jednoduše do sekce Konfigurace počítače GPO -> Nastavení systému Windows -> Nastavení zabezpečení -> Politiky veřejných klíčů -> Důvěryhodní vydavatelé. 
Pokud jste tedy vše udělali správně, uživatelé vaší domény mohou nainstalovat ovladače předdefinovaných zařízení samostatně (bez oprávnění správce).
