Настройка общей сетевой папки для хранения подписанных пакетов драйверов
Вместо того чтобы размещать каждый проверенный пакет в хранилище драйверов, Вы можете разместить подписанные пакеты в общей сетевой папке и настроить клиентские компьютеры таким образом, чтобы при подключении нового устройства поиск драйверов осуществлялся в этой папке.
Пакет драйвера, хранящийся в общей сетевой папке, должен быть надлежащим образом подписан сертификатом, установленным на клиентском компьютере. Тем не менее, перед установкой драйверов, находящихся на сетевом ресурсе, осуществляется их размещение в хранилище драйверов локального компьютера. Поскольку по умолчанию обычный пользователь не может выполнять процедуру размещения пакетов драйверов в хранилище, необходимо настроить и применить компьютерную политику управления установкой устройств, позволяющую устанавливать определенные драйверы без необходимости использования повышенных разрешений. Для получения дополнительной информации о политиках, разрешающих и запрещающих установку устройств определенных классов, обратитесь к разделу «Дополнительные ресурсы» данного руководства.
Важно
Для упрощения демонстрации использования параметра реестра DevicePath в данном руководстве используется локальная папка. В рабочей среде используйте общую сетевую папку, чтение содержимого которой разрешено всем пользователям.
Пошаговая схема настройки общей сетевой папки для хранения подписанных пакетов драйверов
Шаг 1. Создание папки для хранения пакетов драйверов устройств
Операционные системы Windows Vista и Windows Server «Longhorn» позволяют Вам настраивать клиентские компьютеры таким образом, чтобы в случае не обнаружения пакетов драйверов в локальном хранилище их поиск выполнялся в дополнительных папках. Если пакет драйверов найден в дополнительной папке, Windows не будет предлагать пользователю указать расположение пакета драйвера устанавливаемого устройства.
Даже после того, как пакет драйвера помещен в общую сетевую папку, Вы должны иметь возможность поместить его в хранилище драйверов. Также Вы должны будете одобрить цифровую подпись, если сертификат пакета драйвера не содержится в хранилище сертификатов доверенных издателей.
В следующей процедуре Вы создадите папку на компьютере DMI-Client1 и затем скопируете в нее подписанный пакет драйвера.
Для того, чтобы создать папку для хранения пакетов драйверов, выполните следующие действия:
Завершите сеанс работы и войдите в систему под учетной записью DMI-Client1\TestAdmin.
Запустите командную строку. Для этого в меню Start выберите пункт All Programs – Accessories – Command Prompt.
Создайте новую папку. Для этого в командной строке наберите следующую команду:
md c:\drivershare
Чтобы скопировать Ваш подписанный пакет драйвера в созданную папку, в командной строке наберите следующую команду:
xcopy /s c:\toaster\device c:\drivershare
Шаг 2. Настройка клиентского компьютера для поиска пакетов драйверов в дополнительных папках
В операционных системах Windows Vista и Windows Server «Longhorn» существует параметр реестра, позволяющий Вам указать для операционной системы дополнительные папки, в которых должен производиться поиск драйверов вновь обнаруживаемых аппаратных устройств. По умолчанию в этом параметре указана только одна папка – «%SystemRoot%\Inf». Вы можете добавить в список этого параметра дополнительные папки, разделив их точкой с запятой. Эти папки могут являться как локальными, так и сетевыми папками вида \\ИмяСервера\ИмяПапки.
Чтобы настроить клиентский компьютер для поиска пакетов драйверов в дополнительных папках, выполните следующие действия:
В командной строке наберите следующую команду:
RegEdit
Внимание
Некорректное редактирование системного реестра привести к существенным повреждениям операционной системы. Прежде чем приступать к редактированию реестра, создайте резервную копию всех важных данных, расположенных на компьютере.
В области сведений дважды щелкните параметр DevicePath.
Добавьте в конец строки точку с запятой и затем добавьте путь к Вашей папке. В результате значение параметра должно выглядеть следующим образом:
%SystemRoot%\inf;c:\drivershare
Важно
Не удаляйте путь «%SystemRoot%\inf» из параметра DevicePath.
Нажмите кнопку OK, чтобы сохранить новое значение.
Шаг 3. Настройка клиентского компьютера, позволяющая устанавливать устройства обычным пользователям
По умолчанию обычный пользователь не может выполнять процедуру размещения пакета драйвера в хранилище драйверов. Тем не менее, в операционных системах Windows Vista и Windows Server «Longhorn» Вы можете использовать политику компьютера, в которой указываются глобальные уникальные коды (GUID) классов настройки устройств, пакеты драйверов которых пользователи могут размещать в хранилище драйверов.
Примечание
Рассматриваемая здесь процедура предназначена для выполнения на отдельном компьютере, и не может применяться к большому количеству компьютеров. Для применения конфигурации компьютера к большому количеству управляемых рабочих станций используйте групповую политику и службу каталогов Active Directory. Для получения дополнительной информации о групповой политике и службе Active Directory обратитесь к разделу «Дополнительные ресурсы» данного руководства.
Код GUID класса настройки устройства можно обнаружить либо просмотрев INF-файл из состава пакета драйвера устройства, либо открыв диалоговое окно Device Properties уже установленного устройства.
Для поиска кода GUID класса настройки устройства в INF-файле выполните следующие действия:
Откройте INF-файл с помощью программы Блокнот. Для этого в командной строке наберите следующую команду:
Notepad c:\toaster\device\toastpkg.inf
В разделе [Version] найдите строку, начинающуюся с ClassGuid=, и скопируйте ее значение. Для тестового устройства «Toaster» эта строка выглядит следующим образом:
ClassGuid={B85B7C50-6A01-11D2-B841-00C04FAD5171}
Выделите код GUID, включая символы «{ }», нажмите правую кнопку мыши и в контекстном меню выберите команду Copy.
Закройте программу Блокнот. Убедитесь, что Вы не изменили INF-файл.
Если на компьютере уже установлено работающее устройство, то его код GUID можно посмотреть на странице свойств в диспетчере устройств.
Для поиска кода GUID класса настройки устройства на странице его свойств выполните следующие действия:
В диспетчере устройств (Device Manager) найдите устройство Toaster Package Sample Toaster, щелкните на нем правой кнопкой мыши и в контекстном меню выберите пункт Properties.
В диалоговом окне Toaster Package Sample Toaster Properties перейдите на вкладку Details.
В раскрывающемся списке Property выберите параметр Device class guid.
Скопируйте значение этого параметра. Это значение совпадает со значением в INF-файле.
Щелкните правой кнопкой мыши на коде GUID и в контекстном меню выберите команду Copy.
Нажмите кнопку OK, чтобы закрыть страницу свойств устройства.
Теперь у Вас есть код GUID, соответствующий устройству, которое Вы хотите установить. Вы можете добавить этот код в список политики компьютера, определяющей, какие устройства могут быть установлены обычными пользователями.
Для настройки компьютера, позволяющей обычным пользователям устанавливать устройства, принадлежащие определенному классу, выполните следующие действия:
В командной строке наберите следующую команду:
Mmc gpedit.msc
В дереве консоли редактора объектов групповой политики (Group Policy Object Editor) раскройте узел Computer Configuration – Administrative Templates – System – Driver Installation.
В области сведений дважды щелкните мышью на политике Allow non-administrators to install devices for these device classes.
В диалоговом окне политики установите переключатель в положение Enabled и нажмите кнопку Show.
В диалоговом окне Show Contents нажмите кнопку Add.
В поле Add Item нажмите правую кнопку мыши и в контекстном меню выберите команду Paste, чтобы вставить код GUID.
{B85B7C50-6A01-11D2-B841-00C04FAD5171}
Нажмите три раза на кнопку OK, чтобы закрыть все диалоговые окна и вернуться в редактор объектов групповой политики.
Закройте редактор объектов групповой политики.
В окне командной строки Build Environment, запущенной с повышенными разрешениями, примените политику к текущему сеансу, набрав команду:
gpupdate /force
Примечание
Команда GPUpdate не может вызвать диалоговое окно User Account Control для запроса административных учетных данных, поэтому убедитесь, что Вы запускаете эту команду с правами администратора.
Шаг 4. Удаление драйвера устройства и пакета драйвера, установленных на предыдущем этапе
Прежде чем Вы сможете установить драйвер устройства из дополнительной папки, Вы должны удалить уже установленный драйвер и пакет драйвера этого устройства из хранилища драйверов.
Примечание
Вам необходимо удалить установленный ранее пакет драйвера только лишь потому, что в данном руководстве демонстрируется дополнительный метод его установки.
Для удаления установленного ранее устройства выполните следующие действия:
В диспетчере устройств щелкните правой кнопкой мыши на устройстве Toaster Package Sample Toaster и в контекстном меню выберите команду Uninstall.
В диалоговом окне Confirm Device Removal нажмите кнопку OK.
Устройство перестанет отображаться в окне диспетчера устройств.
Запустите программу Enum.exe, эмулирующую отключение устройства «Toaster». Для этого в командной строке, запущенной с повышенными разрешениями, наберите следующую команду:
Enum -u 1
Устройство будет отключено, а его драйвер удален из памяти.
Чтобы удалить пакет драйвера устройства из хранилища драйверов, в командной строке наберите следующую команду:
pnputil.exe -d oem##.inf
Вместо символов ## в этой команде Вы должны подставить номер, записанный Вами ранее. Если Вы забыли этот номер, запустите команду pnputil -e и найдите в списке устройство «Toaster».
Пакет будет удален из хранилища драйверов.
Запустите команду pnputil.exe -e снова, чтобы убедиться в том, что пакет удален.
Шаг 5. Установка пакета драйвера устройства из дополнительной папки
Теперь, когда пакет драйвера находится в созданной Вами папке, а клиентский компьютер настроен для поиска в этой папке пакетов драйверов подключаемых устройств, Вы можете установить устройство.
Для установки пакета драйверов из общей сетевой папки выполните следующие действия:
Завершите сеанс работы и войдите в систему под учетной записью DMI-Client1\TestUser.
Запустите командную строку с правами администратора. Для этого в меню Start выберите пункт All Programs – Accessories, щелкните правой кнопкой мыши на значке Command Prompt и в контекстном меню выберите команду Run as administrator.
В диалоговом окне User Account Control Вам будет предложено указать имя и пароль учетной записи администратора. Выберите учетную запись DMI-Client1\TestAdmin и введите пароль для нее.
Откроется окно командной строки.
Запустите диспетчер устройств (Device Manager) для просмотра установленных в системе устройств. Для этого в командной строке, запущенной с повышенными разрешениями, наберите следующую команду:
mmc devmgmt.msc
Расположите окна на рабочем столе таким образом, чтобы Вы одновременно могли работать с командной строкой и видеть окно диспетчера устройств.
Перейдите в папку «c:\toaster». Для этого в командной строке наберите следующую команду:
cd \toaster
Запустите программу Enum.exe, эмулирующую подключение устройства «Toaster». Для этого в командной строке наберите следующую команду:
Enum -p 1
Windows начнет процесс установки устройства. В разделе Other диспетчера устройств появится новое устройство.
В диалоговом окне Found New Hardware щелкните Locate and install driver software (recommended).
Поскольку операционная система не может найти пакет драйвера в локальном хранилище, она выполняет поиск в папках, перечисленных в параметре реестра DevicePath, и находит пакет драйвера в указанной папке.
Процесс размещения пакета драйвера и его последующей установки займет некоторое время. Если Вы щелкните на значке установки устройства, Вы увидите сообщение о том, что выполняется установка драйверов, а затем Вы увидите сообщение об успешной установке устройства Toaster Package Sample Toaster.
Поскольку политика компьютера разрешает установку устройств данного класса, а пакет должным образом подписан доверенным издателем, установка пакета драйвера успешно завершится без какого-либо дополнительного вмешательства со стороны пользователя. Запись Unknown Device в диспетчере устройств будет заменена на Toaster.
В данном руководстве, работая в лабораторной среде, Вы использовали демонстрационное устройство и его драйвер, чтобы научиться безопасно размещать пакеты драйверов устройств на компьютерах пользователей. В этой конфигурации обычный пользователь может самостоятельно устанавливать драйверы устройств без какой-либо помощи со стороны администратора. Для создания такой конфигурации необходимо было выполнить следующие действия:
Подписывание пакета драйвера, необходимое для того, чтобы ОС Windows считала его надежным. Эта задача состояла из следующих этапов: создание сертификата для подписывания пакета драйвера, настройка клиентских компьютеров для работы с этим сертификатом, создание файла каталога, содержащего цифровую подпись, подписывание файла каталога и его добавление в состав пакета драйвера.
Размещение пакета драйвера в хранилище драйверов на клиентском компьютере. В этой задаче было показано, как с помощью программы PnPUtil.exe администратор может разместить пакеты драйверов в хранилище драйверов таким образом, чтобы они могли быть установлены любым пользователем.
Настройка клиентского компьютера для поиска пакетов драйверов в дополнительных папках, если эти пакеты не были найдены в локальном хранилище драйверов. В этой задаче был описан процесс изменения параметра реестра и добавления новой локальной или сетевой папки в список папок, которые ОС Windows использует для поиска пакетов драйверов при установке нового аппаратного устройства. Данная процедура избавляет пользователя от необходимости вручную задавать путь к файлам драйвера или предоставлять дополнительные носители. Также в этой задаче было показано, каким образом можно настроить политику компьютера, позволяющую обычному пользователю размещать в локальном хранилище и, таким образом, устанавливать драйверы устройств, принадлежащих определенным классам.
Корпорация Microsoft будет рада получить Ваши отзывы об этом документе. Если сценарии работают не так, как описано в данном руководстве, или не отвечают Вашим потребностям, пожалуйста, сообщите об этом. Корпорация Microsoft будет использовать полученную от Вас информацию для улучшения данного документа. Присылайте Ваши замечания по адресу электронной почты Vista Feedback (vistafb@microsoft.com).
Чтобы оставить свой отзыв, перейдите по ссылке Контактные сведения, расположенной на веб-странице операционной системы Windows Vista.