对于此事我已束手无策。
设想
最终用户正在尝试在家中使用无线打印机 LaserJet Pro M1217nfw 进行打印。每次她尝试连接时,打印机都会要求管理员权限来安装驱动程序。
经过一番研究,我发现了这篇文章:
我对组策略中的两个打印机类别进行了更改。我确保 GPO 已应用于笔记本电脑。使用具有相同 GPO 的笔记本电脑,我能够连接我的家用 USB 打印机(使用我的普通用户权限,无需提升权限)。太棒了!
但是当我的用户在家里尝试时,她无法获得比 UAC 提示更进一步的结果。当她尝试通过无线方式或通过 USB 端口进行测试时,就会发生这种情况。
我的理论是我需要添加另一种设备类型。如果有办法确定打印机要求的设备类别,我想我可以将 GUID 添加到 GPO,但我不知道如何确定。事件查看器中没有任何东西跳出来。
所以:
1.) 我让笔记本电脑访问家用打印机时做错了什么?
或者
1A.) 让用户在工作笔记本电脑上安装打印机难道不是最佳做法吗?如果是这样,您如何管理用户的家庭打印?
2.) 如果我的解决方案只是添加一个设备类,那么我如何找出外围设备正在标识自己的设备类?
答案1
除非您还包含 USB 设备类 {88BAE032-5A81-49f0-BC3D-A4FF138216D6},否则 USB 端口方法将不起作用
我发现在我们的环境中,我们还必须应对点和打印限制。http://support.microsoft.com/kb/2307161/en-us
答案2
我以前遇到过这种情况,我们必须安装第三方组策略插件,该插件为进程而不是用户提供管理员权限。我们使用了这个:
http://www.beyondtrust.com/Products/PowerBrokerForWindows/
但可能还有其他类似的产品可以发挥类似的作用。
基本上,我必须下载一堆打印机驱动程序,并由发行商(HP、戴尔、爱普生等)批准。我们还批准了一堆其他软件,并向我们的用户提供了已批准的软件列表和安装说明。
答案3
这可能是本地问题,而不是 GPO 问题吗?我以前遇到过类似的问题,域用户尝试安装打印设备、软件或任何其他东西。
我没有通过 GPO 解决这个问题,而是通过控制面板中的本地用户帐户管理来解决。在控制面板中的“用户帐户”选项卡中的“管理用户帐户”下,将用户域帐户及其相应的本地帐户添加到授予计算机访问权限的用户列表中(在各自的组中),然后重新启动后,我能够消除这些进程的管理员权限提示。
答案4
我允许安装所有设备驱动程序(使用 GPO)。
为了避免需要管理员权限,我不得不将驱动程序 GPO 设置为不在 Windows 更新中查找更新的驱动程序。如果不进行此更改,我的用户将无法在域上或域外执行任何 UAC 提示。