Izinkan penginstalan driver untuk pengguna Windows biasa

Secara default, pengguna biasa sistem / domain tidak memiliki hak untuk menginstal driver perangkat di komputer mereka. Pendekatan ini rasional dari sudut pandang untuk memastikan keamanan dan stabilitas PC, tetapi tidak nyaman dari sudut pandang administrasi, karena untuk menginstal driver baru dalam sistem, pengguna harus menggunakan bantuan administrator atau layanan dukungan teknis, yang memiliki hak administrator pada PC pengguna.

Dalam artikel ini, kami akan menunjukkan cara mengizinkan pengguna domain biasa untuk menginstal driver pada sistem tanpa hak administrator. Keuntungan utama dari pendekatan yang diusulkan adalah bahwa administrator domain itu sendiri membuat daftar driver tepercaya yang dapat diinstal pengguna dalam sistem, sehingga meminimalkan risiko menginstal driver "berbahaya".

Untuk memungkinkan pengguna domain biasa untuk menginstal driver perangkat sendiri (tanpa tampilan jendela elevasi hak istimewa UAC), perlu bahwa lingkungan kerja pengguna memenuhi kondisi berikut:

  • Driver yang akan diinstal harus ada di toko driver
  • Kelas driver yang akan diinstal harus diizinkan diinstal oleh pengguna biasa.
  • Pengemudi harus ditandatangani dengan tanda tangan digital yang valid dari penerbit tepercaya
Catatan. Sebelumnya, sebagai kasus khusus dari teknik ini, kami mempertimbangkan fitur pemasangan printer di domain tanpa hak administrator.

Dan sekarang, dalam urutan:
Konten:

  • Memperoleh direktori dengan driver perangkat
  • Repositori driver terpusat
  • Daftar kelas driver yang diizinkan untuk instalasi
  • Driver Digital Signature

Memperoleh direktori dengan driver perangkat

Untuk mendapatkan driver terbaru untuk perangkat tertentu, yang terbaik adalah menemukan dan mengunduh driver terbaru di situs web pabrikan. Arsip yang diunduh dengan driver harus dibongkar ke direktori terpisah.

TAPI! Tidak semua driver disediakan dalam format yang sesuai untuk distribusi. Misalkan driver diinstal dengan paket instalasi berpemilik. Cara mengekstrak dari sistem direktori dengan file-file driver yang diinstal?

Setelah instalasi, semua file driver disimpan secara terpusat di direktori C: \ Windows \ System32 \ DriverStore \ FileRepository \.  Untuk menemukan direktori dengan driver yang baru diinstal, cukup urutkan isi direktori ini berdasarkan tanggal pembuatan / modifikasi. Voila! Masih menyalin direktori dengan driver ke direktori jaringan, yang akan ditunjukkan pada klien sebagai Driver Store jaringan (lebih lanjut tentang ini di bawah).

Repositori driver terpusat

Konsep Driver Store atau repositori driver (kami berbicara lebih banyak tentang hal itu dalam artikel ini) pertama kali muncul di Windows Vista dan merupakan area terlindungi komputer yang berisi sekumpulan driver yang diizinkan untuk diinstal. Dengan demikian, pengguna dapat menginstal dalam sistem hanya driver yang sudah ada di repositori driver. Jadi ketika administrator menginstal driver baru, itu pertama kali disalin dan terdaftar dalam repositori driver dan baru kemudian diinstal di sistem (file driver disalin dari repositori ke lokasi sistem).

Jalur ke repositori driver Windows diatur dalam registri dengan parameter Devicepath (HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion) Secara default, repositori driver terletak di direktori C: \ Windows \ inf (% SystemRoot% \ Inf)

Anda dapat memperluas area repositori driver yang dicari ketika menginstal driver baru di sistem dengan menentukan direktori tambahan di registri ini. Dalam lingkungan domain, cara termudah untuk melakukan ini adalah dengan memperluas Kebijakan Grup - Preferensi Kebijakan Grup. Untuk melakukan ini, di bagian kebijakan Konfigurasi Komputer -> Preferensi -> Registri tambahkan item baru Barang pendaftaran dengan parameter:

  • Aksi: Perbarui
  • Sarang: HKEY_LOCAL_MACHINE
  • Jalur utama: Perangkat Lunak \ Microsoft \ Windows \ CurrentVersion
  • Nama nilai: DevicePath
  • Jenis nilai: REG_SZ
  • Nilai data:% SystemRoot% \ inf; \\ fs1 \ share \ inf

Sebagai direktori tepercaya tambahan untuk repositori driver, kami menentukan folder jaringan \\ fs1 \ share \ inf (jangan lupa bahwa akun komputer harus sudah membaca izin dari folder ini). Anda dapat menentukan beberapa direktori jaringan sebagai sumber driver sekaligus, misalnya, menetapkan sebagai nilai variabel:% SystemRoot% \ inf; \\ fs1 \ share \ Printers; \\ fs2 \ Drivers \ USB; \\ fs3 \ Drivers \ VGA

Daftar kelas driver yang diizinkan untuk instalasi

Untuk menentukan kode kelas perangkat, buka direktori file dengan driver perangkat. Buka file inf-nya dan temukan baris dengan parameter  ClassGUID. Kode kelas perangkat dalam contoh kita terlihat seperti ini: 4D36E97D-E325-11CE-BFC1-08002BE10318.

Untuk mengaktifkan kelas perangkat ini bagi pengguna untuk menginstal sendiri, buka kebijakan grup yang ada (atau buat yang baru) dan di Konfigurasi Komputer -> Template Administratif -> Sistem -> cabang Instalasi Driver, temukan kebijakan Izinkan pemasangan perangkat menggunakan driver yang cocok dengan kelas pengaturan perangkat ini. Nyalakan dan setel kode kelas perangkat yang sebelumnya disalin sebagai nilainya.

Driver Digital Signature

Agar pengguna dapat menginstal drivernya sendiri, ia harus ditandatangani, dan sertifikat penerbit tanda tangan digital harus ada dalam daftar yang tepercaya. Sebagian besar driver vendor utama ditandatangani dengan tanda tangan digital Microsoft dan tepercaya.

Tetapi ada pengecualian untuk aturan ini. Untuk mendapatkan sertifikat penerbit driver seperti itu, instal pada sistem dengan hak administrator. Pesan peringatan akan muncul selama instalasi driver. Centang kotak di sebelah "Selalu percayai perangkat lunak dari ... "dan klik Instal. Setelah menginstal driver, buka snap-in manajemen sertifikat (certmgr.msc), cari sertifikat penerbit di bagian  Diterbitkan Dipercaya-> Sertifikat. Klik kanan pada sertifikat penerbit yang diinginkan dan ekspor ke file.

Selanjutnya, sertifikat ini harus didistribusikan dengan menggunakan Kebijakan Grup ke semua komputer yang mengharuskan pengguna menginstal driver ini. Untuk melakukan ini, cukup impor sertifikat yang disimpan ke dalam bagian Konfigurasi Komputer GPO -> Pengaturan Windows -> Pengaturan Keamanan -> Kebijakan Kunci Publik -> Penerbit Tepercaya.

Kiat. Jika Anda ingin menginstal driver yang tanda tangan digitalnya hilang, Anda dapat mencoba menandatanganinya secara independen dengan sertifikat yang ditandatangani sendiri. Prosesnya dijelaskan secara rinci dalam ini artikel.

Jadi, jika Anda melakukan semuanya dengan benar, pengguna domain Anda dapat menginstal driver perangkat yang telah ditentukan sendiri (tanpa hak administrator).