Я в своем уме на этом.
Сценарий
Конечный пользователь пытается печатать дома на своем беспроводном принтере LaserJet Pro M1217nfw. Каждый раз, когда она пытается подключиться, он запрашивает права администратора для установки драйвера.
После некоторого исследования я нашел эту статью:
Я вношу изменения в два класса принтеров в групповой политике. Я убедился, что объект групповой политики был применен к ноутбуку. Используя ноутбук с тем же GPO, я смог подключить свой домашний USB-принтер (используя мои обычные права пользователя, без повышения прав). Большой!
Однако, когда мой пользователь пытается сделать это дома, она не может найти ничего дальше, чем приглашение UAC. Это происходит, когда она пытается сделать это по беспроводной сети или через USB-порт.
Моя теория заключается в том, что мне нужно добавить другой тип устройства. Если у меня есть способ определить, какой класс устройства запрашивает принтер, я подозреваю, что могу просто добавить GUID в GPO, но я не знаю, как это определить. В средстве просмотра событий на меня ничего не выскакивает.
Так:
1.) Что я делаю не так с ноутбуками, подключенными к домашним принтерам?
ИЛИ
1A.) Разве это не лучший способ разрешать пользователям устанавливать принтеры на рабочие ноутбуки? Если это так, как вы управляете домашней печатью пользователей?
2.) Если мое решение - просто добавить класс устройства, как мне узнать, какой класс устройства идентифицирует себя периферийное устройство?
Я сталкивался с этим раньше, и нам пришлось установить сторонний плагин групповой политики, который предоставляет права администратора процессам, а не пользователям. Мы использовали вот этот:
http://www.beyondtrust.com/Products/PowerBrokerForWindows/
но, вероятно, есть и другие похожие продукты, которые делают похожие вещи.
По сути, мне пришлось зайти и загрузить кучу драйверов для принтеров и одобрить их издателем (HP, Dell, Epson и т. Д.). Мы также одобрили кучу другого программного обеспечения и предоставили нашим пользователям список одобренных программ и инструкции по установке.
Метод USB-порта не будет работать, если вы также не включите класс USB-устройства, {88BAE032-5A81-49f0-BC3D-A4FF138216D6}
Я обнаружил, что в нашей среде нам также приходится возиться с ограничениями на указание и печать. http://support.microsoft.com/kb/2307161/en-us
Может ли это быть проблемой локально, а не GPO? Я сталкивался с подобной проблемой раньше, когда пользователь домена пытался установить устройство печати, программное обеспечение или что-то в целом.
Я решил эту проблему не с помощью GPO, а с помощью локального управления учетными записями пользователей в панели управления. В разделе «Управление учетными записями пользователей» на вкладке «Учетные записи пользователей» панели управления после добавления учетной записи домена пользователя и соответствующей локальной учетной записи в список пользователей, которым предоставлен доступ к машинам (в их соответствующей группе), а затем перезагрузки, я смог исключите запросы на ввод прав администратора для этих процессов.
Из своего опыта работы с принтерами я заметил, что пользователю требуются права администратора для установки принтера и изменения его настроек.
Ваши пользователи являются локальными администраторами на своих машинах?
Я разрешаю установить все драйверы устройств (используя GPO).
Чтобы мне не понадобились права администратора, мне пришлось настроить GPO драйвера так, чтобы он НЕ искал обновленные драйверы в центре обновления Windows. Без этого изменения мои пользователи не могли получить дальше приглашения UAC в домене или вне его.