Назад | Перейти на главную страницу

Пользователи по-прежнему получают приглашение UAC после разрешения установки принтера и изменения подключения к локальной сети с помощью GPO?

Я реализовал следующие параметры групповой политики, чтобы разрешить пользователям без прав администратора устанавливать драйверы принтера и включать / отключать их Wi-Fi:

User Configuration -> Administrative Templates -> Network -> Network Connections -> Ability to Enable/Disable a LAN connection

и

Computer Configuration -> Policies -> Administrative Templates -> System -> Driver Installation -> Allow non-administrators to install drivers for these device setup classes

В обоих сценариях я по-прежнему получаю приглашение UAC, но затем его можно заполнить учетными данными пользователя, не являющегося администратором, поэтому настройка работает, но мы получаем неожиданное приглашение UAC, и это не интуитивно понятно, что пользователю нужно ввести свои учетные данные пользователя в поле с надписью "Введите пароль администратора ..."

Это ожидаемое поведение? Есть ли способ подавить эти запросы UAC?

(Мне известно о настройке подавления запросов UAC для указания и печати, в данный момент меня не интересует указывать и печатать)

В дополнение к другим упомянутым настройкам убедитесь, что в объекте групповой политики установлены нижние подсказки, чтобы стандартные пользователи устанавливали локальные принтеры без запуска запросов UAC.

Конфигурация пользователя> Политики> Административные шаблоны> Панель управления / Принтеры> Ограничения на указание и печать

Подсказки безопасности:

При установке драйверов для нового подключения: не показывать предупреждение или запрос на повышение прав

При обновлении драйверов для существующего подключения: не показывать предупреждение или запрос на повышение прав

Чтобы пользователи могли добавлять свои собственные драйверы печати, вам необходимо использовать GPO для редактирования политики установки драйверов для вашего домена. Он находится здесь:

Конфигурация компьютера \ Политики \ Административные шаблоны \ Система \ Установка драйвера

Параметр называется «Разрешить пользователям без прав администратора устанавливать драйверы для этих классов настройки устройств». В нашем параметре групповой политики есть комментарий «Разрешает пользователям Windows 7 Standard устанавливать локальные драйверы печати». Вам нужно будет добавить GUID класса устройства для принтеров, которые вы разрешаете стандартным пользователям устанавливать.

Идентификаторы GUID можно найти здесь: http://msdn.microsoft.com/en-us/library/ff553426(v=vs.85).aspx

У нас включены следующие классы

Принтеры, Драйверы для конкретного класса шины:

Класс = PNPPrinters ClassGuid = {4658ee7e-f050-11d1-b6bd-00c04fa372a7}

ClassGUID = {4d36e977-e325-11ce-bfc1-08002be10318} для принтеров в целом и

ClassGUID = {48721b56-6795-11d2-b1a8-0080c72e74a2} для устройств IEEE

Что касается Принтеры, Я не использовал (и не знал) параметр GPO, о котором вы говорите. В среде, которой я управляю, я настроил параметр Computer Configuration\Administrative Templates\Printers\Point and Print Restrictions.

Первый раздел описания гласит:

Этот параметр политики управляет поведением клиента «Указание и печать», включая запросы безопасности для компьютеров с Windows Vista. Параметр политики применяется только к клиентам без администратора печати и только к компьютерам, которые являются членами домена.

Я включил параметр политики, добавил полное доменное имя сервера (-ов) печати в первое поле и настроил оба запроса безопасности на "Не показывать предупреждение или запрос на повышение".

Изменение сетевых настроек, в том числе включение / отключение WiFi, на ящике Windows это невозможно сделать обычным пользователем, если я не ошибаюсь. Обычно для этого есть аппаратный или программный переключатель. Если это не вариант для вас, вам, вероятно, потребуется добавить пользователей в локальный "Операторы настройки сети"группа.