我目前正在寻找一种方法来授权非管理员用户执行驱动程序的安装。
以下是演讲全文:
我的所有用户都是标准用户,如果他们需要管理员权限,他们就会得到一个 VirtualBox Hypervisor。
但是,如果他们将 USB 设备放在本地计算机上并尝试将该设备重定向到虚拟机,Windows 会要求一些管理员权限。
我已尝试设置这些 GPO:
- 允许标准用户安装驱动程序。
- 安装 WHQL 驱动程序:静默允许。
我不知道该怎么做。
答案1
答案实际上是升级。这项功能大约在 8 年前就被要求,并在 Windows Vista 及更高版本中提供。现在有与驱动程序相关的特定安全增强功能,并由安全策略控制(计算机配置\管理模板\系统\驱动程序安装)。虽然有部分解决方法可以帮助您实现目标,但所有这些方法都会带来更多的麻烦和其他问题,超出其价值。您将花费更多时间解决这个问题,而不是处理 Windows 7 的任何潜在兼容性问题。
如果您由于某种原因确实只能使用 Windows XP,那么最好的选择是预先安装设备所需的 USB 驱动程序。
答案2
您说的是 Win7/Vista 环境吗?
我会尝试这个
1) 打开 GPO/策略编辑器 2) 计算机配置\管理模板\系统\驱动程序安装\允许非管理员为这些设备安装类别安装驱动程序 - 已启用
允许的设备安装程序类 GUID:
您可能会在这里找到所需的 GUID:
http://msdn.microsoft.com/en-us/library/ff553426%28v=VS.85%29.aspx
答案3
我认为对于普通用户来说,他们可能添加的设备是事先未知的(并且不断变化),这是不可能的或不容易管理的。但是,对于您的特定场景,添加 USB 设备是他们需要添加的唯一设备吗?如果是这样,您可以控制 USB 设备的种类\品牌\制造商\型号吗?如果是这样,您可以预先安装签名的驱动程序并允许本地用户加载它们。请注意加载和安装之间的区别。使用用户权限分配中的 GPO 设置>加载和卸载设备驱动程序下面这个可能对你有用。
括号内为我自己的修改内容专家交流文章:
只有管理员可以添加设备驱动程序。
不授予用户此权限的情况下实现此目的的唯一方法是执行以下操作:
- 创建[具有适当权限的网络共享]
- 创建一个文件夹结构 [在此共享中为所有设备创建,但尽量保持完整的 UNC 路径尽可能短]
每个子文件夹[应该]只包含您想要安装的每个设备的驱动程序。
将驱动程序复制到那里后,您必须通过 GPO>启动脚本中的脚本更改每台机器上的以下注册表项。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion :: DevicePath
将 UNC 路径添加到此注册表项中,以找到驱动程序所在的位置。您必须指向驱动程序文件夹中的每个子文件夹 - 例如 \servername\share$\A\0;等等...
一个很棒的工具是 SetDevicePath - 每次添加驱动程序时都可以在参考机器上运行,这样它就会为您修改此密钥。然后您要做的就是导出密钥,然后修改您要推出的 reg 文件。
设置设备路径: http://www.flachestirn.de/msfn/SetDevicePath.exe
只需进入此工具所在的 CMD 提示符并运行 SetDevicePath \servername\Share$。它将为您解析其中的所有文件夹并相应地设置您的密钥。
通过使用此密钥和共享,Windows 将自动安装可用的驱动程序,而无需用户成为管理员。
此外:
请注意此键中的路径长度。将文件夹名称保留为 1 或 2 位数字以节省字符...
在 Windows 2000 中,密钥长度限制为 4096 个字符。在 XP 中,密钥只能为 64Kb。
先从一个驱动程序开始,看看它的表现如何。根据需要添加其他驱动程序。
一些额外的澄清,上面提到的策略设置假设驱动程序已经安装。
也来自同一篇文章
如果您正确设置了此功能,那么用户需要做的就是在需要新内容时打电话,然后您就可以将其添加到共享中。然后用户只需重新启动并登录域即可。