Jedním z naléhavých problémů při používání systému Windows 7 v podnikovém prostředí je poskytování mobilních uživatelů právo instalovat místní zařízení, aniž by jim přiřadili práva místního správce. V předchozích verzích systému Windows (NT 4, Windows 2000 a XP) byl tento problém ve většině případů vyřešen jednoduše: mobilním uživatelům byla udělena práva místního správce (nebo Power User) pouze proto, že na služební cestě mohou potřebovat instalaci a připojení externího zařízení. Pokud před několika lety bylo právo na instalaci místních zařízení potřeba hlavně pro připojení místních tiskáren, nyní se seznam těchto externích zařízení výrazně rozšířil, nyní nesmíme zapomenout na podporu mobilních telefonů, náhlavních souprav, kamer atd..
Společnost Microsoft přidala do svých nejnovějších operačních systémů (Windows Vista a Windows 7) řadu inovací, které implementují možnosti centralizované podnikové správy instalace lokálních zařízení. V tomto článku se pokusím vysvětlit, co se stane, když je k klientovi Windows 7 připojeno nové externí zařízení a jak lze tento proces ovlivnit pomocí nastavení zásad skupiny.
V systému Windows XP mohl běžný uživatel nainstalovat nové zařízení, pouze pokud je toto zařízení podporováno jedním ze standardních ovladačů systému Windows obsažených v instalační sadě nebo pokud je ovladač pro toto zařízení k dispozici prostřednictvím služby Windows Update. V systému Windows XP byl počet zařízení podporovaných těmito předinstalovanými ovladači ve srovnání s Windows 7 výrazně omezen. Společnost Microsoft spustila službu, která umožňuje aktualizaci ovladačů zařízení prostřednictvím služby Windows Update v roce 2005, a jak si vzpomínáte, systém Windows Vista byl vydán o rok později, takže se zdá, že mnoho výrobců hardwaru se rozhodlo, že nebude utrácet peníze za poskytování možnosti aktualizovat ovladače zařízení pro systém Windows XP. prostřednictvím Windows Update. A právě z těchto důvodů, s cílem poskytnout mobilnímu uživateli právo instalovat nové vybavení, museli firemní správci dát uživatelům práva místních správců na jejich přenosných počítačích..
Spolu s vydáním systému Windows Vista se postup instalace nových ovladačů mírně změnil. V předchozích verzích systému Windows mohly být ovladače zařízení uloženy v různých adresářích, nyní však v systému Windows Vista a novějších verzích systému Windows pojem „Úložiště řidiče„(Řidič obchod), což je důvěryhodné místo pro ukládání všech vestavěných ovladačů a balíčků ovladačů třetích stran. Nyní ve Windows můžete nainstalovat pouze ovladač uložený v tomto úložišti ovladačů. Proces doručování ovladačů v úložišti ovladačů se nazývá „fázování“ (dodání). Dobrou zprávou je, že jakýkoli ovladač, který je v úložišti ovladačů, může nainstalovat kterýkoli uživatel bez práv místního správce.
Představme si, co se stane, když se uživatel pokusí připojit nové zařízení k klientovi v systému Windows 7. Ve výchozím nastavení se systém Windows 7 pokusí najít vhodný ovladač pro Windows Update, a pokud je ovladač nalezen, automaticky jej stáhne a umístí do místního úložiště obchodu ovladačů atd. e. Před instalací bude proveden proces doručení ovladače (inscenace). V případě, že není nalezen vhodný ovladač, Windows bude pokračovat v hledání vhodného ovladače v místním úložišti. Pokud je nalezen vhodný ovladač, Windows jej nainstaluje. Pokud ovladač nebude znovu nalezen, bude systém pokračovat v hledání po cestě zadané v hodnotě klíče registru Cesta zařízení, může to být místní jednotka, například C: \ Drivers nebo síťová složka. Pokud tam ovladač není nalezen, systém Windows vás informuje, že nebyl nalezen žádný vhodný ovladač.
Výše popsaný proces by měl pomoci většině domácích uživatelů a malých firemních uživatelů vyřešit problém s instalací lokálních zařízení bez nutnosti oprávnění místního správce. V sítích velkých organizací se však objeví řada problémů:
- Mnoho společností chce jasně porozumět a ovládat to, co je nainstalované na jejich počítačích. A i když považujeme obsah uzlu Microsoft Windows Update za důvěryhodný, v mnoha společnostech bezpečnostní politika přímo zakazuje přístup k externím zdrojům (včetně na serveru Windows Update Server).
- Pokud vím, není možné oddělit vyhledávací proces v uzlu aktualizací společnosti Microsoft pro aktualizace zabezpečení systému Windows Security a ovladače zařízení, pokud tedy organizace používá místní server WSUS, budou klienti hledat ovladače na externím serveru Windows Update a budou také použity ke stahování aktualizací. Windows I.e. použití lokálního WSUS ztrácí svůj význam. (Pokud se mýlím, opravte mě).
- Pokud společnost uplatňuje velmi přísné zásady týkající se používání konkrétních zařízení, musí správci systému zajistit, aby ovladače byly aktualizovány v místním úložišti ovladačů u všech firemních klientů..
Ale i přes popsané problémy existuje řada řešení. A stejně jako mnoho dalších nastavení systému Windows lze správu instalace ovladače zařízení řídit pomocí zásad skupiny..
Tato nastavení jsou v následující části skupinových zásad: Konfigurace počítače \ Šablony pro správu \ Systém \ Instalace zařízení. Parametr v sekci Konfigurace uživatele \ Šablony pro správu \ Instalace systému \ Instalace ovladače bude ignorováno, protože se nevztahuje na Windows 7.
Zakazujeme klientům hledat ovladače v uzlu Windows Update
Chcete-li klientům Windows 7 zabránit v hledání ovladačů v uzlu Windows Update, aktivujte Zásady skupiny “Určete pořadí hledání umístění zdroje ovladače zařízení„A nakonfigurujte jej -„ Nehledejte Windows Update “.
Umožněte běžným uživatelům instalovat ovladače zařízení těchto typů
Nastavení zásad skupiny s názvem „Povolit instalaci zařízení pomocí ovladačů, které odpovídají těmto třídám nastavení zařízení“(Nachází se ve větvi Configuration \ Administrative Templates \ System \ Device Installation \ Restrikce instalace zařízení IT Administrators) umožňuje běžným uživatelům stahovat a instalovat ovladače zařízení zadaných tříd. To znamená, že pokud IT oddělení není schopno sledovat balíčky ovladačů pro tiskárny, které používají uživatelé společnosti, můžete povolit instalaci ovladačů tiskárny všem uživatelům v síti, zatímco instalace ovladačů pro jiné třídy zařízení může být zakázána.
Předběžné načítání ovladačů v úložišti ovladačů ve Windows 7
U řady rozšířených externích zařízení může správce předinstalovat ovladače do úložiště na všech mobilních uživatelských systémech společnosti. Můžete to udělat následovně:
- Distribuujte ovladače se standardním obrazem podnikového OS
- Nainstalujte ovladače po instalaci klientského systému - po instalaci (MDT, SCCM, WSUS)
- Distribuce ovladačů na vyžádání jako softwarový balíček
Nebudu se zabývat implementací každého z těchto scénářů, ale pokusím se vyřešit typickou situaci, se kterou se může správce v praxi setkat..
Téměř každý uživatel chce mít možnost synchronizovat svůj kalendář s mobilním zařízením. Pokud je v tomto zařízení spuštěn systém Windows Mobile, budete k připojení tohoto zařízení k počítači se systémem Windows 7 bezpochyby potřebovat Centrum zařízení Windows Mobile..
Pokud přesně nevíte, jaký ovladač je třeba, nechte systém vyhledat a nainstalovat potřebný ovladač z uzlu Windows Update samotného. Po dokončení instalace přejděte do adresáře C: \ Windows \ System32 \ Driverstore a najděte čerstvě vytvořenou složku.
Nyní můžete tento adresář jednoduše zkopírovat a distribuovat do úložišť lokálních ovladačů na podnikových počítačích. Další metodou je stáhnout balíček ovladačů přímo (jak je to popsáno zde http://support.microsoft.com/kb/323166) z katalogu Windows Update.
Stáhnete přibližně následující soubor: X86-ar_bg_zh-tw_cs_da_de_el_en_en_fi_fr_ ... v_th_tr_sl_et_lv_lt_zh-cn_pt_ja-nec-20060042_b5eca0da489018bbc1930e42252b1034f739af15.cab. Dále musí být tento CAB vybalen.
Dále ukážu, jak přidat stažený ovladač do úložiště řidičů v Driver Store Windows 7.
Chcete-li přidat ovladač do úložiště, můžete použít obslužný program pnputil.exe, zadáním přibližně následujícího příkazu:
Pnputil -a c: \ data \ mobile \ wcerndis.if_x86_neutral_56159f2c2377f6d2 \ wcerndis.inf
Pro ty, kteří se zajímají o to, co se s tímto postupem skutečně děje, podívejte se na časopis c: \ Windows \ INF \ setupapi.dev.log.
Nyní, když byl ovladač zařízení předem umístěn v úložišti ovladačů systému Windows 7, můžeme se přihlásit jako běžný uživatel a připojit naše mobilní zařízení (v tomto příkladu Samsung Omnia GT8000 se systémem Windows Mobile 6.5).
A znovu, podrobný protokol o tom, co se děje setupapi.dev.log.
Ovladač je tedy již umístěn v adresáři systémových ovladačů a po prvním připojení zařízení k počítači bude nainstalován a bude k dispozici pro použití.
