В настоящее время я ищу способ авторизовать моих пользователей, не являющихся администраторами, для выполнения установки драйверов.
Вот речь:
Все мои пользователи являются стандартными пользователями, у них есть гипервизор VirtualBox, если им нужны права администратора.
Но если они подключат USB-устройство к локальному компьютеру и попытаются перенаправить его на виртуальную машину, Windows запросит некоторые права администратора.
Я пытаюсь настроить эти GPO:
Я не знаю, как это сделать.
Вы говорите о среде Win7 / Vista?
Я бы попробовал это
1) Откройте редактор GPO / политик 2) Конфигурация компьютера \ Административные шаблоны \ Система \ Установка драйвера \ Разрешить пользователям, не являющимся администраторами, устанавливать драйверы для этих классов настройки устройств - Включено
Допустимые идентификаторы GUID класса настройки устройства:
Здесь вы можете найти нужный GUID:
http://msdn.microsoft.com/en-us/library/ff553426%28v=VS.85%29.aspx
Реальный ответ - обновить. Эта функция была запрошена около 8 лет назад и предусмотрена в Windows Vista и выше. В настоящее время существуют определенные улучшения безопасности, относящиеся к драйверам и контролируемые политиками безопасности (Конфигурация компьютера \ Административные шаблоны \ Система \ Установка драйвера). Хотя есть частичные обходные пути, которые вроде как помогут вам, все они вызывают больше головной боли и других проблем, чем они того стоят. Вы потратите больше времени, возясь с этой проблемой, чем с любыми потенциальными проблемами совместимости с Windows 7.
Если вы по какой-то причине действительно застряли в Windows XP, лучшим вариантом будет предварительная установка драйверов USB, необходимых для устройств.
Я думаю, что для обычного пользователя, когда устройства, которые они могут добавить, неизвестны заранее (и постоянно меняются), это невозможно или легко управлять. Однако для вашего конкретного сценария добавление USB-устройства - единственное устройство, которое им нужно добавить? Если да, то можете ли вы контролировать, какого типа \ марка \ марка \ модель USB-устройства? ЕСЛИ это так, вы можете предварительно установить подписанные драйверы и позволить локальным пользователям загружать их. Обратите внимание на разницу между загрузкой и установкой. Использование параметра GPO в разделе «Назначение прав пользователя»>Загрузка и выгрузка драйверов устройств это ниже может сработать для вас.
Копирование с моими собственными правками в скобках из статья по обмену экспертами:
Только администраторы могут добавлять драйверы устройств.
Единственный способ сделать это, не давая пользователям этого разрешения, заключается в следующем:
- Создайте [сетевой ресурс с соответствующими разрешениями]
- Создайте структуру папок [в этом общем ресурсе для всех устройств, но постарайтесь, чтобы полные пути UNC были как можно короче]
Каждая подпапка [должна] содержать только драйверы для каждого устройства, которое вы хотите установить.
После того, как вы скопировали туда свои драйверы, вы должны изменить следующий раздел реестра на каждой машине с помощью сценария в GPO> Startup script.
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion :: DevicePath
Добавьте UNC-путь к этому ключу, где расположены драйверы. Вы ДОЛЖНЫ указать на каждую подпапку в папке с драйверами - например, \ servername \ share $ \ A \ 0; и т.д...
Отличным инструментом для этого является SetDevicePath, который можно запускать на эталонной машине каждый раз, когда вы добавляете драйверы, поэтому он будет изменять этот ключ за вас. Все, что вам нужно сделать, это экспортировать ключ, а затем изменить файл reg, который вы отправляете.
SetDevicePath: http://www.flachestirn.de/msfn/SetDevicePath.exe
Просто перейдите в командную строку CMD, в которой находится этот инструмент, и запустите SetDevicePath \ servername \ Share $. Он проанализирует все папки и установит соответствующий ключ.
Используя этот ключ и общую папку, Windows автоматически установит имеющиеся у вас драйверы, при этом пользователю не нужно быть администратором.
Дополнительно:
будьте осторожны с длиной вашего пути в этом ключе. В именах папок должны быть 1 или 2 цифры, чтобы сохранить символы ...
В Windows 2000 вы ограничены 4096 символами. В XP ключ может быть только 64 КБ.
Начните с одного драйвера, чтобы посмотреть, как он себя ведет. Добавляйте других по мере необходимости.
Некоторые дополнительные пояснения: упомянутый выше параметр политики предполагает, что драйверы уже установлены.
Также из той же статьи
Если вы настроили это правильно, все, что нужно сделать пользователю, - это позвонить, когда ему понадобится что-то новое, и вы можете добавить это в общий ресурс. Затем пользователю просто нужно перезагрузиться и войти в домен.