За замовчуванням рядовим користувачам домену заборонено встановлювати принтера (якщо бути більш точними, драйвера принтерів) на доменних комп’ютерах, а для їх установки необхідна наявність у користувача певних прав. Це правильно з точки зору безпеки, адже установка некоректного або шкідливого (підробленого) драйвера пристрою може скомпрометувати або погіршити роботу системи, але вкрай незручно з точки зору ІТ – відділу. Адже, якщо користувачам заборонено встановлювати драйвера принтерів на своїх комп’ютерах, ця турбота покладається на адміністраторів та ІТ-відділ.

У тому випадку, якщо ІТ-адміністратори підприємства все-таки вирішили дозволити користувачам самостійно встановлювати драйвера принтерів на своїх комп’ютерах, котрі дають їм прав локальних адміністраторів, в цьому завданні допомогти їм можуть групові політики Active Directory.

Отже, передбачається, що є різнорідна мережа і нам необхідно дозволити користувачам самостійно підключати мережеві і локальні принтера, і встановлювати їх драйвера як на ПК з Windows 7, так і з Windows XP.

Отже, створіть (або відредагуйте існуючу політику) і прив’яжіть її до OU (контейнера Active Directory), в якому містяться комп’ютери, на яких політикою необхідно дозволити користувачам установку драйверів принтерів (на окремому комп’ютері цю ж політику можна реалізувати за допомогою локальної політики).

Відкрийте гілку групових політик Конфігурація комп’ютера -> Політики -> Налаштування Windows -> Налаштування безпеки -> Локальні політики -> Параметри безпеки, В якій знайдіть параметр Пристрої: Заборонити користувачам встановлювати драйвери принтера (Пристрої: Заборонити користувачам установку драйверів принтера). Активуйте політику і відключіть її застосування (значення Інваліди).

windows: як за допомогою групових політик дозволити користувачам встановлювати принтера

Дана політика має на увазі, що при підключенні мережевого принтера, система дозволяє користувачеві, який не володіє правами адміністратора, встановити драйвера мережевих принтерів.

Наступний момент – потрібно дозволити користувачеві встановлювати локальні принтера (і їх драйвера). У цьому випадку нас цікавить політика Дозволити іншим адміністраторам встановлювати драйвери для цих класів налаштування пристрою в розділі: Конфігурація комп’ютера -> Політика -> Адміністративні шаблони -> Система -> Встановлення драйвера.

Увімкніть цю політику, потім поставимо типи пристроїв, які дозволено користувачам встановлювати самостійно (докладніше про принципи установки драйверів в Windows 7 без прав локального адміністратора). Натисніть кнопку Show, і у вікні додайте два рядки (ідентифікатори класів, відповідні пристроїв типу принтер):

{4d36e979-e325-11ce-bfc1-08002be10318}

{4658ee7e-f050-11d1-b6bd-00c04fa372a7}

Повний список кодів GUID класів пристроїв в ОС Windows доступний тут:
http://msdn.microsoft.com/en-us/library/ff553426%28v=VS.85%29.aspx

Збережіть зміни в політиці.

Задаємо класи пристроїв, які користувачі можуть встановлювати без прав адміністратора

Наступний момент стосується особливостей роботи UAC при установці мережевого принтера в Windows Vista і Windows 7. У тому випадку, якщо UAC включений, з’являється повідомлення, в якому потрібно вказати облікові дані адміністратора, якщо ж UAC відключений при спробі встановити принтер пользователем- система надовго замислюється, і врешті-решт видає повідомлення про помилку: “Windows не вдалося підключитися до принтера. Відмовлено в доступі“.

Щоб вирішити дану проблему необхідно перевести в стан Disabled політику Обмеження точки та друку . Дана політика знаходиться як в системному, так і призначеному для користувача розділі групових політик і для підтримки сумісності з попередніми версіями операційної системи Windows, рекомендується ставити обидва цих параметра. Необхідно відключити обидві політики. Знаходяться він в розділах: Конфігурація комп’ютера -> Політика -> Адміністративні шаблони -> Принтери і Конфігурація користувача -> Політика -> Адміністративні шаблони -> Панель управління -> Принтери.

windows7 point and print restriction: відключаємо UAC для коректної установки драйверів принтерів

Залишилося зберегти зміни і протестувати політики на клієнтах (буде потрібно перезавантаження). Після перезавантаження і застосування групових політик користувачеві буде дозволено самостійно встановлювати локальні і підключати мережеві принтера.

Для підвищення стабільності і безпеки системи рекомендується також включити ізоляцію драйверів принтерів в Windows 7.

Leave a Reply

Your email address will not be published. Required fields are marked *