Одним из актуальных вопросов использования Windows 7 в корпоративной среде – предоставление мобильным пользователям прав на установку локальных устройств без назначения им прав локального администратора. В предыдущих версиях Windows (NT 4, Windows 2000 и XP) в большинстве случаев данный вопрос решался просто: мобильным пользователям предоставляли права локального администратора (или Power User), лишь потому что в командировке им может понадобиться установить и подключить внешнее устройство. Если несколько лет назад права на установку локальных устройств были нужны преимущественно для подключения локальных принтеров, то сейчас список таких внешних устройств существенно расширился, теперь необходимо не забывать о поддержке мобильных телефонов, гарнитурах, камерах и т.д.

Microsoft добавила ряд новшеств в свои последние ОС (Windows Vista и Windows 7), которые реализуют возможности централизованного корпоративного управления установкой локальных устройств. В данной статье я попытаюсь объяснить, что же происходит, когда к клиенту Windows 7 подключается новое внешнее устройство и каким образом на этот процесс можно влиять с помощью настроек групповых политик.

В Windows XP рядовой пользователь мог установить новое устройство, только в том случае, если данное устройство поддерживается одним из стандартных драйверов Windows, входящих в комплект установки, или же если драйвер для этого устройства доступен через службу обновлений Windows Update. В Windows XP количество устройств, поддерживаемых такими предустановленными драйверами по сравнению с Windows 7 было существенно ограничено. Службу, позволяющую обновлять драйвера устройств через Windows Update, Microsoft запустила в 2005 году, а как вы помните через год уже была выпущена Windows Vista, поэтому многие производители аппаратного обеспечения, похоже, решили не тратить средства на обеспечение возможности обновления драйверов своих устройств для Windows XP через Центр обновлений Windows. И именно по этим причинам, чтобы предоставить мобильному пользователю права на установку нового оборудования, корпоративным администраторам приходилось давать пользователям права локальных администраторов на их ноутбуках.

Вместе с выходом Windows Vista процедура установки новых драйверов несколько изменилась. В предыдущих версиях Windows драйвера устройств могли храниться в различных каталогах, теперь же в Windows Vista и последующих версиях Windows, появилось понятие «Хранилище драйверов» (Driver Store), которое является доверенным местоположением для хранения всех встроенных драйверов и пакетов драйверов сторонних разработчиков. Теперь в Windows можно установить только драйвер, хранящийся в этом хранилище Driver Store. Процесс доставки драйвера в Driver Store называется “staging” (поставка). Хорошая новость заключается в том, что любой драйвер, который имеется в хранилище драйверов, может быть установлен любым пользователем без прав локального администратора.

Давайте представим что же происходит, когда пользователь пытается подключить новое устройство к клиенту на Windows 7. По умолчанию Windows 7 пытается найти подходящий драйвер на Windows Update, и если искомый драйвер будет найден, автоматически скачает и поместит его в локальное хранилище Driver Store, т.е. перед установкой будет осуществлен процесс поставки драйвера (staging). В том случае, если подходящего драйвера не будет найдено, Windows продолжит поиск подходящего драйвера в локальном хранилище. Если подходящий драйвер будет найден, Windows установит его. Если драйвер вновь не будет обнаружен, система продолжит поиск по пути, указанному в значении ключа реестра DevicePath, это может быть локальный диск, например C:Drivers или сетевая папка. Если и там драйвер не будет найден, Windows сообщит о том, что подходящего драйвер не было найдено.

Описанный выше процесс должен помочь большинству домашних пользователей и пользователям небольших компании решить проблему установки локальных устройств без наличия прав локального администратора. Однако в сетях крупных организаций появится ряд проблем:

  • Многие компании хотят четко понимать и контролировать то, что устанавливается на их компьютерах. И даже если рассматривать содержимое узла Microsoft Windows Update как доверенное, во многих компаниях политика безопасности запрещает доступ на внешние ресурсы напрямую (в том числе и на Windows Update Server).
  • Насколько мне известно, невозможно разделить процесс поиска на узле обновлений Microsoft обновлений безопасности Windows Security и драйверов устройств, следовательно, если организация использует свой локальный сервер WSUS, то клиенты будут искать драйвера на внешнем сервере Windows Update Server, и он же будет использоваться для скачивания обновлений Windows. Т.е. использование локального WSUS теряет свой смысл. (Если я не прав, поправьте меня).
  • Если компания применяет очень жесткую политику по использованию конкретных устройств, то системные администраторы должны обеспечивать актуальность драйверов в локальном хранилище Driver Store на всех клиентах компании.
Читайте также:  Где сделать медицинскую справку на права

Но, не смотря на описанные проблемы, существует целый ряд обходных решений. И, как и многие другие настройки Windows, управление установкой драйверов устройств можно управлять при помощи групповой политики.

Настройки эти находятся в следующем разделе групповой политики: Computer Configuration Administrative Templates System Device Installation. Параметр в разделе User Configuration Administrative Templates System Driver Installation будут игнорироваться, так как он не применим кWindows 7.

Запрещаем клиентам искать драйвера на узле Windows Update

Чтобы запретить клиентам Windows 7 искать драйвера на узле Windows Update, активируйте групповую политику “Specify search order for device driver source locations” и настройте ее — “Do not search Windows Update”.

Разрешаем обычным пользователям устанавливать драйвера устройств указанных типов

Параметр групповой политики с именем “Allow installation of devices using drivers that match these device setup classes” (находится в ветке Configuration Administrative Templates System Device Installation Device Installation Restrictions IT Administrators) позволяет разрешить обычным пользователям загружать и устанавливать драйвера устройств указанных классов. Это означает, что если IT департамент не в состоянии уследить за пакетами драйверов для принтеров, которые используют пользователи компании, можно разрешить установку драйверов принтеров всем пользователям сети, установку драйвером для других классов устройств же можно запретить.

Предварительная загрузка драйверов в хранилище Driver Store в Windows 7

Для ряда широко распространенных внешних устройств администратор может заранее поместить драйвера в хранилище на все системы мобильных пользователей компании. Сделать это можно следующим образом:

  • Распространить драйвера вместе со стандартным корпоративным образом ОС
  • Установить драйвера после установки системы клиента – postinstall (MDT, SCCM, WSUS)
  • Распространение драйверов по требованию, в виде пакета программ

Я не буду подобно расписывать реализацию каждого их этих сценариев, но попробуем разобраться с типовой ситуацией, с которой администратор может столкнуться на практике.

Практически любой пользователь хочет иметь возможность синхронизации своего календаря с мобильным устройством, и если это устройство работает под управлением Windows Mobile, для подключения этого устройства к компьютеру с Windows 7 обязательно будет нужен Windows Mobile Device Center.

Если вы точно не знаете, какой драйвер нужен, позвольте системе самой найти и установить нужный драйвер с узла Windows Update. После окончания установки перейдите в каталог C:WindowsSystem32Driverstore и найдите свеже созданную папку.

Теперь вы может просто скопировать это каталог и распространить его по локальным хранилищам драйверов на корпоративные ПК. Другой метод – скачать пакет с драйвером непосредственно (как это сделать описано здесь http://support.microsoft.com/kb/323166) с узла Windows Update Catalogue.

Читайте также:  Рейтинг лучших пылесосов для автомобиля

Вы скачаете примерно следующий файл: X86-ar_bg_zh-tw_cs_da_de_el_en_es_fi_fr_…v_th_tr_sl_et_lv_lt_zh-cn_pt_ja-nec-20060042_b5eca0da489018bbc1930e42252b1034f739af15.cab. Далее этот CAB необходимо распаковать.

Далее я покажу, каким образом можно добавить скачанный драйвер в хранилище драйверов Driver Store Windows 7.

Чтобы добавить драйвер в хранилище, можно воспользоваться утилитой pnputil.exe, набрав примерно следующую команду:

Для тех, кому интересно, что на самом деле происходит при данной процедуре, познакомьтесь с журналом c:WindowsINFsetupapi.dev.log.

Теперь, когда драйвер устройства помещен (pre-staged) в хранилище драйверов Windows 7, мы можем зайти под обычным пользователем и подключить наше мобильное устройство (в данном примере это Samsung Omnia GT8000 с Windows Mobile 6.5).

И опять подробный лог того, что происходит в setupapi.dev.log.

Итак драйвер уже помещен в каталог драйверов системы и после первого подключения устройства к компьютеру он установится и будет доступным к использованию.

Ситуация, когда необходимо знать, как установить программу без прав администратора, может возникнуть у каждого. Некоторое ПО требует соответствующего доступа либо владелец устройства может установить запрет на инсталляцию софта для гостевой учётной записи. О том, как обойти эти правила несколькими простыми способами, расскажет Как-установить.рф.

Устанавливаем без прав администратора

В сети Интернет доступен целый ряд утилит, позволяющих решить проблему с запретом на установку софта. В большинстве своём они ненадёжны и представляют угрозу устройству пользователя. Представленные ниже решения безопасны, поэтому именно их рекомендуется выбирать для инсталляции программного обеспечения.

Выдача прав на папку

Обычно ПО запрашивает администраторские права в ситуации, когда ему требуется выполнять какие-либо операции с файлами в своём каталоге, расположенном в системном разделе винчестера. В таком случае владелец устройства может предоставить обычным пользователям расширенные возможности на некоторые папки, это позволит продолжить инсталляцию под гостевой учётной записью.

Нужно зайти в ОС через администраторскую учётную запись и найти папку, в которую будет выполнена установка всего ПО. Кликом правой кнопкой мыши следует открыть её контекстное меню и зайти в «Свойства».

В разделе «Безопасность» под перечнем групп и пользователей нужно нажать «Изменить».

Далее нужно выбрать необходимую учётную запись и поставить метку напротив поля «Полный доступ», чтобы предоставить возможность использовать выбранную папку. Кнопкой «Применить» сохранить изменения.

Теперь можно устанавливать программы с гостевой учётной записи, проблем с инсталляцией не возникнет.

Запуск программы с учётной записи обычного пользователя

Если обратиться к администратору за получением доступа невозможно, допускается воспользоваться командной строкой, встроенной в ОС Windows.

Необходимо кликнуть по иконке с изображением лупы на панели управления или в меню «Пуск» и ввести «Выполнить». Когда утилита будет найдена, нужно запустить её и набрать запрос «cmd».

В окне, открывшемся на рабочем столе, ввести команду: runas /user: Name_Useradministrator Name_Program.exe и нажать клавишу ввода. Вместо Name_User нужно указать имя гостевой учётной записи, а вместо Name_Program – название софта, который нужно установить.

В редких случаях появится запрос пароля, нужно указать его и кликнуть Enter. Теперь запустится инсталлятор программы.

Использование портативной версии программы

Для большого количества программ сегодня предусмотрена портативная версия, установка которой не требуется. Необходимо перейти на сайт разработчика, найти версию с названием «Portable» и загрузить на компьютер. Далее, чтобы воспользоваться утилитой, нужно кликнуть по загруженному файлу. При необходимости её можно сохранить на usb-носитель и использовать на рабочем ПК или ином устройстве, где инсталляция невозможна.

Читайте также:  Bmw 5 e60 e61

Заключение

Если на компьютере установлен запрет на инсталляцию программ без прав администратора, обойти это затруднение можно несколькими простыми и удобными способами, задействуя возможности ОС Windows. Кроме того, для целого ряда ПО предусмотрена портативная версия, не требующая установки. Если скачать такую утилиту и сохранить на usb-носитель, её можно использовать на любом устройстве независимо от запрета на загрузку софта.

Для установки некоторого программного обеспечения требуется наличие прав администратора. Кроме этого и сам администратор может ставить ограничение на установку различного софта. В случае когда требуется выполнить инсталляцию, а разрешения на нее нет, предлагаем воспользоваться несколькими простыми методами, описанными ниже.

Устанавливаем программу без прав администратора

В сети интернет присутствует множество различного ПО, позволяющего обходить защиту и выполнять инсталляцию программы под видом обычного пользователя. Мы не рекомендуем их использовать особенно на рабочих компьютерах, так как это может нести за собой серьезные последствия. Мы же представим безопасные способы установки. Давайте рассмотрим их подробнее.

Способ 1: Выдача прав на папку с программой

Чаще всего права администратора софту требуются в том случае, когда будут проводиться действия с файлами в своей папке, например, на системном разделе жесткого диска. Владелец может предоставить полные права другим юзерам на определенные папки, что позволит выполнять дальнейшую установку под логином обычного пользователя. Делается это следующим образом:

  1. Войдите в систему через учетную запись администратора. Подробнее о том, как это сделать в Виндовс 7 читайте в нашей статье по ссылке ниже.

Перейдите к папке, в которую в дальнейшем будут устанавливаться все программы. Нажмите на нее правой кнопкой мыши и выберите «Свойства».

Откройте вкладку «Безопасность» и под списком нажмите на «Изменить».

Теперь во время установки программы вам потребуется указать папку, к которой предоставили полный доступ, и весь процесс должен пройти успешно.

Способ 2: Запуск программы с учетной записи обычного пользователя

В тех случаях когда нет возможности попросить администратора предоставить права доступа, рекомендуем воспользоваться встроенным в Windows решением. С помощью утилиты через командную строку осуществляются все действия. От вас требуется только следовать инструкции:

    Откройте «Выполнить» нажатием горячей клавиши Win + R. Введите в строку поиска cmd и нажмите «ОК»

runas /user:User_Nameadministrator Program_Name.exe

  • Иногда может потребоваться ввод пароля учетной записи. Напишите его и нажмите Enter, после чего останется только дождаться запуска файла и выполнить установку.
  • Способ 3: Использование портативной версии программы

    Некоторое ПО имеет портативную версию, не требующую установки. Вам будет достаточно скачать ее с официального сайта разработчика и запустить. Выполнить это можно очень просто:

    1. Перейдите на официальный сайт необходимой программы и откройте страницу загрузки.
    2. Начните загрузку файла с подписью «Portable».

    Откройте скачанный файл через папку загрузок или сразу из браузера.

    Вы можете перекинуть файл софта на любое съемное устройство хранения информации и запускать его на разных компьютерах без прав администратора.

    Сегодня мы рассмотрели несколько простых способов как установить и использовать различные программы без прав администратора. Все они не сложные, но требуют выполнения определенных действий. Мы же рекомендуем для установки софта просто войти в систему с учетной записи администратора, если это доступно. Подробнее об этом читайте в нашей статье по ссылке ниже.

    Отблагодарите автора, поделитесь статьей в социальных сетях.

    Tags
    No Tag

    No responses yet

    Добавить комментарий

    Ваш e-mail не будет опубликован. Обязательные поля помечены *

    Adblock detector