Я реализовал следующие параметры групповой политики, чтобы разрешить пользователям без прав администратора устанавливать драйверы принтера и включать / отключать их Wi-Fi:
User Configuration -> Administrative Templates -> Network -> Network Connections -> Ability to Enable/Disable a LAN connection
и
Computer Configuration -> Policies -> Administrative Templates -> System -> Driver Installation -> Allow non-administrators to install drivers for these device setup classes
В обоих сценариях я по-прежнему получаю приглашение UAC, но затем его можно заполнить учетными данными пользователя, не являющегося администратором, поэтому настройка работает, но мы получаем неожиданное приглашение UAC, и это не интуитивно понятно, что пользователю нужно ввести свои учетные данные пользователя в поле с надписью "Введите пароль администратора ..."
Это ожидаемое поведение? Есть ли способ подавить эти запросы UAC?
(Мне известно о настройке подавления запросов UAC для указания и печати, в данный момент меня не интересует указывать и печатать)
В дополнение к другим упомянутым настройкам убедитесь, что в объекте групповой политики установлены нижние подсказки, чтобы стандартные пользователи устанавливали локальные принтеры без запуска запросов UAC.
Конфигурация пользователя> Политики> Административные шаблоны> Панель управления / Принтеры> Ограничения на указание и печать
Подсказки безопасности:
При установке драйверов для нового подключения: не показывать предупреждение или запрос на повышение прав
При обновлении драйверов для существующего подключения: не показывать предупреждение или запрос на повышение прав
Чтобы пользователи могли добавлять свои собственные драйверы печати, вам необходимо использовать GPO для редактирования политики установки драйверов для вашего домена. Он находится здесь:
Конфигурация компьютера \ Политики \ Административные шаблоны \ Система \ Установка драйвера
Параметр называется «Разрешить пользователям без прав администратора устанавливать драйверы для этих классов настройки устройств». В нашем параметре групповой политики есть комментарий «Разрешает пользователям Windows 7 Standard устанавливать локальные драйверы печати». Вам нужно будет добавить GUID класса устройства для принтеров, которые вы разрешаете стандартным пользователям устанавливать.
Идентификаторы GUID можно найти здесь: http://msdn.microsoft.com/en-us/library/ff553426(v=vs.85).aspx
У нас включены следующие классы
Принтеры, Драйверы для конкретного класса шины:
Класс = PNPPrinters ClassGuid = {4658ee7e-f050-11d1-b6bd-00c04fa372a7}
ClassGUID = {4d36e977-e325-11ce-bfc1-08002be10318} для принтеров в целом и
ClassGUID = {48721b56-6795-11d2-b1a8-0080c72e74a2} для устройств IEEE
Что касается Принтеры, Я не использовал (и не знал) параметр GPO, о котором вы говорите. В среде, которой я управляю, я настроил параметр Computer Configuration\Administrative Templates\Printers\Point and Print Restrictions
.
Первый раздел описания гласит:
Этот параметр политики управляет поведением клиента «Указание и печать», включая запросы безопасности для компьютеров с Windows Vista. Параметр политики применяется только к клиентам без администратора печати и только к компьютерам, которые являются членами домена.
Я включил параметр политики, добавил полное доменное имя сервера (-ов) печати в первое поле и настроил оба запроса безопасности на "Не показывать предупреждение или запрос на повышение".
Изменение сетевых настроек, в том числе включение / отключение WiFi, на ящике Windows это невозможно сделать обычным пользователем, если я не ошибаюсь. Обычно для этого есть аппаратный или программный переключатель. Если это не вариант для вас, вам, вероятно, потребуется добавить пользователей в локальный "Операторы настройки сети"группа.