Пользователи по-прежнему получают запрос UAC после разрешения установки принтера и изменения подключения к локальной сети с помощью объекта групповой политики?
Я реализовал следующие параметры групповой политики, чтобы позволить не-администраторам устанавливать драйверы принтера и включать / отключать их Wi-Fi:
User Configuration -> Administrative Templates -> Network -> Network Connections -> Ability to Enable/Disable a LAN connection
а также
Computer Configuration -> Policies -> Administrative Templates -> System -> Driver Installation -> Allow non-administrators to install drivers for these device setup classes
В обоих сценариях я по-прежнему получаю приглашение UAC, но затем оно может быть заполнено учетными данными пользователя, не являющегося администратором, поэтому настройка работает, но мы получаем неожиданное приглашение UAC, и пользователь не вводит интуитивно учетные данные пользователя в поле "Введите пароль администратора..."
Это ожидаемое поведение? Есть ли способ подавления этих запросов UAC?
(Мне известны настройки для подавления запросов UAC о наведении и печати, в данный момент меня не интересуют наведение и печать)
2 ответа
В дополнение к другим упомянутым параметрам убедитесь, что в объекте групповой политики установлены нижние подсказки, чтобы обычные пользователи могли устанавливать локальные принтеры без запуска приглашений UAC.
Конфигурация пользователя> Политики> Административные шаблоны> Панель управления / Принтеры> Ограничения на точки и печать
Запросы безопасности:
При установке драйверов для нового подключения: не показывать предупреждение или повышение прав
При обновлении драйверов для существующего соединения: не показывать предупреждение или повышение прав
Чтобы пользователи могли добавлять свои собственные драйверы печати, вам нужно будет использовать объект групповой политики для редактирования политики установки драйверов для вашего домена. Он расположен здесь:
Конфигурация компьютера \ Политики \ Административные шаблоны \ Система \ Установка драйвера
Параметр называется "Разрешить неадминистраторам устанавливать драйверы для этих классов настройки устройств". Наш параметр групповой политики содержит комментарий "Разрешает пользователям Windows 7 Standard устанавливать локальные драйверы печати". Вам нужно будет добавить GUID класса устройства для принтеров, которые вы разрешаете устанавливать обычным пользователям.
GUID можно найти здесь: http://msdn.microsoft.com/en-us/library/ff553426(v=vs.85).aspx
У нас включены следующие классы
Принтеры, драйверы для шинного класса:
Class = PNPPrinters ClassGuid = {4658ee7e-f050-11d1-b6bd-00c04fa372a7}
ClassGUID = {4d36e977-e325-11ce-bfc1-08002be10318} для принтеров в целом и
ClassGUID = {48721b56-6795-11d2-b1a8-0080c72e74a2} для устройств IEEE
Что касается принтеров, я не использовал (и не знал) настройки GPO, на которые вы ссылаетесь. В среде, которой я управляю, я настроил параметр Computer Configuration\Administrative Templates\Printers\Point and Print Restrictions,
Первый раздел описания гласит:
Этот параметр политики управляет поведением точки и печати клиента, включая запросы безопасности для компьютеров с Windows Vista. Параметр политики применяется только к клиентам без прав администратора печати и только к компьютерам, которые являются членами домена
Я включил параметр политики, добавил полное доменное имя сервера (-ов) печати в первое поле и настроил оба запроса безопасности " Не показывать предупреждение или запрос на повышение прав ".
Изменение настроек сети, в том числе включение / отключение WiFi, на Windows-боксе не может быть выполнено обычным пользователем, если я не ошибаюсь. Обычно для этого есть аппаратный или программный переключатель. Если это не вариант для вас, вам, вероятно, нужно добавить пользователей в локальную группу " Операторы конфигурации сети ".