Меню Рубрики

Установка принтера с правами админа

Как разрешить пользователям домена устанавливать принтеры

По умолчанию рядовым пользователям домена запрещено устанавливать принтера (если быть более точными, драйвера принтеров) на доменных компьютерах, а для их установки необходимо наличие у пользователя определённых прав. Это правильно с точки зрения безопасности, ведь установка некорректного или вредоносного (поддельного) драйвера устройства может скомпрометировать или ухудшить работу системы, но крайне неудобно с точки зрения ИТ – отдела. Ведь, если пользователям запрещено устанавливать драйвера принтеров на своих компьютерах, эта забота возлагается на администраторов и ИТ-отдел.

В том случае, если ИТ-администраторы предприятия все-таки решили разрешить пользователям самостоятельно устанавливать драйвера принтеров на своих компьютерах, не предоставляя им прав локальных администраторов, в этой задаче помочь им могут групповые политики Active Directory.

Итак, предполагается, что имеется разнородная сеть и нам необходимо разрешить пользователям самостоятельно подключать сетевые и локальные принтера, и устанавливать их драйвера как на ПК с Windows 7, так и с Windows XP.

Итак, создайте (или отредактируйте существующую политику) и привяжите ее к OU (контейнеру Active Directory), в котором содержатся компьютеры, на которых политикой необходимо разрешить пользователям установку драйверов принтеров (на отдельно стоящем компьютере эту же политику можно реализовать с помощью локальной политики).

Откройте ветку групповых политик Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Local Policies -> Security Options, в которой найдите параметр Devices: Prevent users from installing printer drivers (Устройства: Запретить пользователям установку драйверов принтера). Активируйте политику и отключите ее применение (значение Disabled).

Данная политика подразумевает, что при подключении сетевого принтера, система позволяет пользователю, не обладающего правами администратора, установить драйвера сетевых принтеров.

Следующий момент – нужно разрешить пользователю устанавливать локальные принтера (и их драйвера). В этом случае нас интересует политика Allow non-administrators to install drivers for these device setup classes в разделе: Computer Configuration -> Policies -> Administrative Templates -> System -> Driver Installation.

Включите данную политику, затем зададим типы устройств, которые разрешено пользователям устанавливать самостоятельно (подробнее о принципах установки драйверов в Windows 7 без прав локального администратора). Нажмите кнопку Show, и в появившемся окне добавьте две строки (идентификаторы классов, соответствующие устройствам типа принтер):

Полный список кодов GUID классов устройств в ОС Windows доступен тут:
http://msdn.microsoft.com/en-us/library/ff553426%28v=VS.85%29.aspx

Сохраните изменения в политике.

Следующий момент касается особенностей работы UAC при установке сетевого принтера в Windows Vista и Windows 7. В том случае, если UAC включен, появляется сообщение, в котором требуется указать учетные данные администратора, если же UAC отключен при попытке установить принтер пользователем– система надолго задумывается, и в конце концов выдает сообщение об ошибке: “Windows не удалось подключиться к принтеру. Отказано в доступе”.

Чтобы решить данную проблему необходимо перевести в состояние Disabled политику Point and Print Restrictions . Данная политика находится как в системном, так и пользовательском разделе групповых политик и для поддержки совместимости с предыдущими версиями операционной системы Windows, рекомендуется задавать оба этих параметра. Необходимо отключить обе политики. Находятся он в разделах: Computer Configuration -> Policies -> Administrative Templates -> Printers и User Configuration -> Policies ->Administrative Templates ->Control Panel ->Printers.

Осталось сохранить изменения и протестировать политики на клиентах (потребуется перезагрузка). После перезагрузки и применения групповых политик пользователю будет разрешено самостоятельно устанавливать локальные и подключать сетевые принтера.

Для повышения стабильности и безопасности системы рекомендуется также включить изоляцию драйверов принтеров в Windows 7.

источник

Установка принтера с правами админа

Сообщения: 25159
Благодарности: 3788

Конфигурация компьютера
Материнская плата: MSI G41M-P33 Combo
HDD: SSD OCZ-AGILITY3 — 120GB
ОС: Windows 10 Pro x64 (11082)

Сообщения: 401
Благодарности: 43

Конфигурация компьютера
Материнская плата: Asus P8K-E
HDD: PATASP1600N(160Gb)+SATARAID0(160Gb)+SATARAID0(1000Gb)
Звук: int.SoundMAX+SB0570
CD/DVD: есть
ОС: Win2003

Сообщения: 25159
Благодарности: 3788

Конфигурация компьютера
Материнская плата: MSI G41M-P33 Combo
HDD: SSD OCZ-AGILITY3 — 120GB
ОС: Windows 10 Pro x64 (11082)

Сообщения: 1
Благодарности: 1

источник

Управление принтерами в Active Directory с помощью скриптов для разных версий ОС

Введение

В данном топике я подробно расскажу о том, на какие грабли можно наткнуться при автоматической установке, удалении принтеров средствами Active Directory.

Подготовка AD к установке принтеров

Разделяем компьютеры по арxитектуре и версии ОС

Я опишу случай, когда целевые компьютеры находятся в различных организационных единицах, при этом имеют разную архитектуру.

  1. Создаем группы безопасности соответствующие каждой архитектуре и версии ОС, пример: win_x64, win_x32. (Я использовал только 2 группы, так как в моем парке компьютеров существуют либо Windows XP x32, либо Windows 7 x64.).
  2. Создаем политики с понятными названиями и ограничиваем доступ к этим политикам только для групп безопасности из предыдущего пункта. Пример: «Политика принтеров x32», доступ только для членов группы win_x32.
  3. Применяем созданные политики ко всем организационным единицам. Самый лучший способ это сделать, по моему мнению — это поместить все OU внутри одной и к ней применить новые политики.
  4. Делаем компьютеры с архитектурой ОС x32 членами группы win_x32, для других архитектур и версий соответственно.
Читайте также:  Установка пингвин и дельфинов

Таким образом, у нас появилась возможность применить определенную политику к компьютерам из разных OU (организационных единиц), что весьма удобно. Просто и надежно.
Разделение можно организовать и другими способами, но в данном посте я эти варианты рассматривать не буду.

Сетевая папка

Создается сетевая папка доступная всем пользователям и компьютерам домена. Думаю, этот этап подробно расписывать нет необходимости. Права на папку — только чтение.

Драйвера
  1. Скачиваем драйвера для всех версий и архитектур.
  2. Распаковываем их до состояния INF файлов. Грабля №1. Если с этим возникают проблемы, то чаще всего драйвера можно найти в скрытой шаре PRINT$ на машине где установлен принтер. Их можно взять оттуда.
  3. Копируем эти файлы у нашу сетевую папку. Для удобства разделяем по подпапкам.

Теперь можно переходить к развертыванию.

Развертывание

Развертывание будет делаться в 2 этапа:

  1. Создание скрипта установки драйвера.
  2. Создание скрипта подключения пользователя к принтеру.

Внимание! Грабля №2 Пункт 1 актуален только для Windows Vista и новее, так как драйвер на Windows XP ставится с правами обычного пользователя и не требует админских прав. Как ни странно.

Скрипт установки драйвера

Этот скрипт помещается в разделе «Конфигурация компьютера» — «Политики» — «Конфигурация Windows» — «Сценарии (запуск/завершение)» — «Автозагрузка»
Создаем файл .BAT такого содержания:
rundll32 printui.dll,PrintUIEntry /ia /m » » /h «x64» /v «Type 3 — User Mode» /f » »
rundll32 printui.dll,PrintUIEntry /ia /m » » /h «x64» /v «Type 3 — User Mode» /f » »

Грабля №3 Имя принтера можно и нужно узнать в свойствах сервера печати Windows на машине, где драйвер уже установлен. Наверняка есть и в inf файле.

Теперь драйвер принтера будет устанавливаться при загрузке системы автоматически. Если применить его ко всем компьютерам с Windows Vista и новее, то при срабатывании скрипта подключения принтера не выскочит ошибка о недостаточности прав.

Скрипт подключение принтеров

Этот скрипт помещается в разделе «Конфигурация пользователя» — «Политики» — «Конфигурация Windows» — «Сценарии (вход/выход из системы)» — «Вход в систему»
Для обеих архитектур скрипт одинаков.
rem Подключаем сетевой принтер «officeprint» на сервере server
rundll32 printui.dll,PrintUIEntry /in /n \\server\officeprint /q
rem Подключаем сетевой принтер «print» на сервере server1
rundll32 printui.dll,PrintUIEntry /in /n \\server1\print /q
rem Ставим его по умолчанию
rundll32 printui.dll,PrintUIEntry /in /n \\server1\print /y /q

Теперь при входе в систему пользователю автоматически подключатся принтеры и по умолчанию выберется принтер «print» на server1.

Автоматическое удаление принтеров

Все достаточно просто.
Создаем .BAT файл вот с таким содержанием.
REG DELETE «HKEY_CURRENT_USER\Printers\Connections» /f
Затем делаем его скриптом на выход пользователя из системы.
Когда пользователь в следующий раз зайдет в сеть, у него будут только те принтеры, которые установятся политикой.
Полезно при переезде принтера с одного принт-сервера на другой.
Грабля №4 Удаление ветки реестра лучше производить при выходе пользователя из системы, а не при входе перед подключением принтеров.
Для этого требуется перезагрузка службы печати, которая может перезагружаться достаточно долго. Это черевато ситуацией, когда служба еще не запустилась, а скрипт подключения уже сработал и вызвал ошибку.

Автоматическое удаление драйверов принтеров

Данная операция может потребоваться при обновлении драйвера.

источник

Методы установки драйверов пользователями без административных полномочий

Установка драйверов обычными пользователями

Давайте узнаем, как обычному пользователю установить драйвера, если у него нет административных прав. Мы не будем рассматривать варианты взлома админской учетки. А пройдемся по более культурным методам.

Что такое драйвера?

Драйвера — это программы, работающие на уровне ядра системы. То есть, они имеют полный доступ к компьютеру, а точнее к какому-либо устройству. Естественно, права на установку таких программ нельзя доверять первому встречному. Именно поэтому, установить драйвера могут только администраторы компьютера. Но бегать каждый раз устанавливать соединение для web-камеры или телефона, тоже не дело — у администратора и своих забот хватает. Попробуем решить эту дилемму.

Методы установки драйверов пользователями без административных прав

Ниже будут озвучены несколько методов, благодаря которым пользователи без административных прав смогут установить драйвера.

Добавление драйвера в хранилище драйверов

Давайте вспомним, то что PnP-устройства устанавливаются автоматически! Это объясняется тем, что драйвера для таких устройств уже хранятся в хранилище драйверов. А это означает, что данные драйвера уже проверены и что их установка не повлечет за собой нежелательных последствий. Поэтому, при установке PnP-устройства происходит копирование файлов драйвера из хранилища в системное расположение. А на деле мы видим то, что мы подцепили нужный драйвер автоматически и устройство готово к работе. На это прав хватит у всех. То есть пользователь может установить принтер, если в хранилище драйверов будет нужный драйвер.

Данной теории должно быть достаточно, чтобы предложить вариант установки драйвера устройства обычным пользователем. Нужно добавить нужные драйвера в хранилище драйверов на компьютере! Для того чтобы разместить нужный драйвер в хранилище драйверов, необходимо в командной строке выполнить следующее:

Читайте также:  Установка датчика температуры охлаждающей жидкости 2110

Естественно, путь и название inf-файла будет таким, каким нужно для Вас.

Но устройство установиться от учетки простого пользователя только в случае наличия подписи у драйвера. Даже если Вы добавили не подписанный драйвер в хранилище, для его инициализации нужны будут административные права. Для решения таких проблем, можно создать сертификаты для данных драйверов. Но они будут действовать только внутри организации. Создание сертификатов — дело серверных машин, поэтому рассматривать это пока что мы не будем.

Указываем папки с дозволенными драйверами

Если открыть Редактор реестра(Выполнить и ввести regedit) и прошествовать по пути hkey_local_machine\software\microsoft\windows\current version, Вы найдете там параметр Device Path, в котором по умолчанию стоит значение %SystemRoot%\inf. Данный параметр указывает место, где происходит поиск драйвера для только что присоединенного устройства. Через точку запятую Вы можете добавить еще какие-либо пути для поиска драйвера. Ну если конечно у Вас лежат где-нибудь на компьютере драйвера, хотя более серьезным шагом было бы указание сетевой папки с драйверами. Используя данный способ Вы добавите еще несколько мест, откуда технология PnP сможет вытащить драйвера, а это значит, что обычные пользователи смогут установить драйвера для устройства.

Дать доступ для установки некоторых драйверов

И последний вариант — разрешить пользователям устанавливать драйвера для заданных классов устройств. Суть в том, чтобы разрешить пользователям устанавливать драйвера для своих телефонов, фотокамер, web-камер и для другой разной мелочной периферии. Но при этом не открывать им доступ для работы с драйверами ядра либо видеокарты, ведь неумелые действия с драйверами, например, видеокарты, могут привести к довольно неприятным ошибкам. Что же нужно для этого сделать?

Откройте Диспетчер устройств, раскройте класс нужного устройства, выберите любое устройство и откройте его Свойства. Перейдите во вкладку Сведения и выберите из списка пункт GUID класса устройства. В поле Значения появиться GUID, правый клик по GUID и Скопировать. После чего, в меню Выполнить набираем gpedit.msc и жмем ОК. Откроется Редактор локальной групповой политики. Тут последовательно выбираем: Политика «Локальный компьютер»-> Конфигурация компьютера ->Административные шаблоны -> Система-> Установка драйвера и открываем параметр Разрешить пользователям, не являющимся администраторами, устанавливать драйверы для этих классов установки устройств. Первым делом активируем эту функцию: переключаем на Включить. Потом, ниже находим кнопку Показать и в поле Значение вставляем скопированный нами GUID-код. И таким же образом разрешаем установку всех классов устройств, которые посчитаете необходимыми. Чтобы все изменения были внесены в систему, необходимо перезагрузить компьютер, либо обновить политику компьютера. После этого пользователи без административных прав смогут устанавливать драйвера не выбранных классов оборудования.

Последний, третий вариант установки самый эффективный. Обычно, такие разрешения будут выдаваться для настройки телефонов, фотоаппаратов и прочей мелкой ерунды, которые в основном автоматически схватывают нужные драйвера. И тут главное не мешать этому. И при этом закрыть доступ к установке более важных драйверов.

Вот таким вот образом можно наделить юзеров правами, а с себя скинуть лишнюю работу.

источник

Установка принтера с правами админа

Всем привет!
Ситуация такова: есть томмограф, который получает снимки, два компьютера и два принтера. Всё это объёдинино в сеть.
Суть проблемы: я хочу поставить еще один принтер (заменить один) на другой. Тот принтер который я хочу поставить имеет только сетевой разьем. USB нет.
Пароля администратора я не знаю. Знаю только пароль бесправного пользователя.
При подключении Рабочие компьютеры не видт новый принтер (принтер точно исправный).

Как быть?? Помогите. Готов оплатить консультацию на месте (в случае успеха затеии)
ЗЫ: сложная политическая обстановка не позволяет обратиться к производителю.
Система — ХР.

2 модераторы: учитывая важность проблемы — качество оказания медициской помощи в СПб, в рамках программы ОМС — прошу не сносить тему в профильный.
_________________
Пока вы в компьютер пялитесь, китайцы плодятся.

Вернуться к началу
Wanderlust
Забанен

Вернуться к началу
Hjman

Вернуться к началу
s-t-r-i-k-e-r

Вернуться к началу
мехокро

Hjman писал(а):
Воткнуть третью машину в сеть, к ней подключить твой новый принтер и на ней его расшарить по сети

wertdaun писал(а):
принтер который я хочу поставить имеет только сетевой разьем

Добавлено спустя 2 минуты 14 секунд:

wertdaun писал(а):
я хочу поставить еще один принтер (заменить один) на другой. Тот принтер который я хочу поставить имеет только сетевой разьем.

Подключаешь принтер к сети, узнаешь параметры сети (Подсеть, маску). Прописываешь ИП адрес на принтере (который свободен). И затем с помощью мастера конфигурации, настраиваешь принтер.

Добавлено спустя 2 минуты 44 секунды:

Если нужны подробности все в ЛС.

Вернуться к началу
Hjman

Dmitry82
Читать научись советчик, а потом ржать начинай

Цитата:
Пароля администратора я не знаю. Знаю только пароль бесправного пользователя.

_________________
«ничто так не выдает принадлежность человека к низшим классам общества,
как способность разбираться в дорогих часах и автомобилях.» Виктор Пелевин

Вернуться к началу
rover
Ушлый вангер

Вернуться к началу
Hjman

Вернуться к началу
wertdaun

Wanderlust
инструкции к принтеру нет, его подключали сборщики рентгеновского аппарата. О конфигурации сети толком сказать ничего не могу.
s-t-r-i-k-e-r
с админом сети связи нет.
принтер вот такой:
http://aliansmed.ru/Sony-UP-DF500
Dmitry82
подробности очень-очень нужны.

да и ИП адресса принтера я не знаю

Читайте также:  Установка задних пружин на 21213

Hjman
наши принтера специфичны, дрова на них устанавливаются отдельно
_________________
Пока вы в компьютер пялитесь, китайцы плодятся.

Вернуться к началу
Hjman

Если принтеры по dicom подключены то я хз что это такое и как работает знаю только то что википедии прочитал.
Если по tcp\ip то:
1 набираешь на компе с xp ipconfig /all узнаешь параметры своей сети
2 цепляешь принтер в сеть и с помощью меню либо узнаешь параметры сети либо задаешь сам в зависимости от того есть или нет dhcp. Скорее всего dhcp нету, так что придется руками с помощью кнопочек на морде принтера задавать. Обычно ничего сложного, меню простые как валенки.
Проверяешь пингом по ипшнику принтера, должно все работать.
А вот дальше без прав хрен ты чего сделаешь и тут уже выбирай какой из 2 способов тебе использовать. Если принтер точно такой же что и предыдущие, то дрова на компах уже есть и проблем быть не должно, но попадаешь на установку еще одного компа.
Ну или сброс пароля локального админа например воспользовашись одной из утилит отсюда .
Перед этим неплохо бы глянуть не завязаны ли какие нить службы на этого самого админа, ну и по возможности фуллбекап системы сделай, мало ли что.

P.S. Это все из предположения что установка оборудования не усложнена специально производителем железа, такое то же может быть. С медицинским оборудованием ни разу не сталкивался, так что я хз чего они там накрутили.
_________________
«ничто так не выдает принадлежность человека к низшим классам общества,
как способность разбираться в дорогих часах и автомобилях.» Виктор Пелевин

Вернуться к началу
Wanderlust
Забанен

инструкция. да — там в принтере ip вводится.
Потом пробовать — подключить сетевой принтер, указать адрес — и что получится.

Вернуться к началу
s-t-r-i-k-e-r

Dmitry82 писал(а):
Подключаешь принтер к сети, узнаешь параметры сети (Подсеть, маску). Прописываешь ИП адрес на принтере (который свободен). И затем с помощью мастера конфигурации, настраиваешь принтер.

Без локальных прав вряд ли

Добавлено спустя 4 минуты 21 секунду:

Хотя да:
wertdaun ,
Wanderlust дал ссылку, там на 15 странице написано как вводить IP
Введи что-то, можешь как на картинке 192.168.1.100

Потом попробуй установить новый принтер, выберешь сетевой, введешь этот адрес. Может проканает.
Вроде других параметров сети не требуется.
Прав не знаю хватит ли.

Вообще в мануале может быть написан какой-то ip по умолчанию.
Или после подключения кнопку пуска зажать на 5 минут, он конфиг распечатать должен (но принтер специфический, может такого и не быть, тем более он термо вроде )

Принтер новый?
_________________
just do it

Вернуться к началу
мехокро

Вернуться к началу
s-t-r-i-k-e-r

—————————————————————————————
wertdaun , если дрова всё-равно обязательно надо ставить, то боюсь нифига не получится .
Админа вообще не найти?
Тогда записать на загрузочную флэшку утилиту сброса паролей

Добавлено спустя 25 секунд:

Dmitry82 ,
_________________
just do it

Вернуться к началу
wertdaun

Вернуться к началу
Hjman

pnh/ntpasswd/
там на диске их дофига, диск рекомендую по любому скачать, удобен. Не только для сброса паролей.
_________________
«ничто так не выдает принадлежность человека к низшим классам общества,
как способность разбираться в дорогих часах и автомобилях.» Виктор Пелевин

Вернуться к началу
wertdaun

Вернуться к началу
rover
Ушлый вангер

А кто у вас эти компьютеры ставил и обслуживает? Позови его, спроси у сестры-хозяйки со своего отделения, или кто у вас там — пусть контакты от организации даст, вызовешь и настроит. Небось доверчивым женщинам по месту снимки будешь делать за небольшую плату и говорить мальчик/девочка?

Вернуться к началу
wertdaun

rover
я же говорил, что с установщиками связи нет.

Про то, мальчик или девочка, на этом проборе не говорят.
_________________
Пока вы в компьютер пялитесь, китайцы плодятся.

Вернуться к началу
Wanderlust
Забанен

1. Сколько компьютеров в локалке, где стоит роутер.
2. Скриншот команды ipconfig /all
3. Какой ip у принтера.

Добавлено спустя 6 минут 8 секунд:

Может быть «ворота не плотно закрыты»: когда компьютер долго стоит на окне ввода логинпароля — системный скринсейвер запускается? Можно файлы на системном диске переименовать-скопировать без запуска системы? Под системой не даст, вроде бы.
Переименовать screensaver.scr в screensaver.scr.back, скопировать explorer.exe в screensaver.scr. Запустить систему до ввода логинпароля и подождать. И вот — проводник с правами system.

Добавлено спустя 1 минуту 7 секунд:

SAMinside вообще расшифровывает пароли.
_________________
Никогда не бей слабого, особенно сильного

Вернуться к началу
wertdaun

Wanderlust
1. два (один соединен с томмографом (который делает картинки) и два принтера — один обычный на бумаге второй типа: такого
http://aliansmed.ru/Sony-UP-DF500
но модель другая.
2. а куда эту комманду вводить? сеть с инетом не соединина.
3. не знаю, но могу выяснить, но уже завтра

скринсейвер не запускается, так и стоит
_________________
Пока вы в компьютер пялитесь, китайцы плодятся.

Вернуться к началу
Wanderlust
Забанен

Скринсейвер минут через 10-15, если не отключен.

Кстати, при входе нигде слова «домен» нет, где логинпароль окне?

Пуск-выполнить команда CMD команда IPCONFIG /ALL

Провод локалки куда идёт из компьютера? Коробочка с лампочками в том же кабинете? По блоку питания в розетках можно поискать. Название-модель?

источник