OSzone.net
 
s  

Пошаговое руководство по подписыванию и подготовке драйверов аппаратных устройств

Windows » Windows Vista » Пошаговые руководства » Пошаговое руководство по подписыванию и подготовке драйверов аппаратных устройств
В избранное | Версия для печати | Посетителей: 5998 | Просмотров: 7765 (сегодня 1)   Текущий рейтинг: 2.33 (проголосовало 3)

Настройка общей сетевой папки для хранения подписанных пакетов драйверов

Вместо того чтобы размещать каждый проверенный пакет в хранилище драйверов, Вы можете разместить подписанные пакеты в общей сетевой папке и настроить клиентские компьютеры таким образом, чтобы при подключении нового устройства поиск драйверов осуществлялся в этой папке.

Пакет драйвера, хранящийся в общей сетевой папке, должен быть надлежащим образом подписан сертификатом, установленным на клиентском компьютере. Тем не менее, перед установкой драйверов, находящихся на сетевом ресурсе, осуществляется их размещение в хранилище драйверов локального компьютера. Поскольку по умолчанию обычный пользователь не может выполнять процедуру размещения пакетов драйверов в хранилище, необходимо настроить и применить компьютерную политику управления установкой устройств, позволяющую устанавливать определенные драйверы без необходимости использования повышенных разрешений. Для получения дополнительной информации о политиках, разрешающих и запрещающих установку устройств определенных классов, обратитесь к разделу «Дополнительные ресурсы» данного руководства.

*Важно

Для упрощения демонстрации использования параметра реестра DevicePath в данном руководстве используется локальная папка. В рабочей среде используйте общую сетевую папку, чтение содержимого которой разрешено всем пользователям.

Пошаговая схема настройки общей сетевой папки для хранения подписанных пакетов драйверов

  1. Создание папки для хранения пакетов драйверов устройств

  2. Настройка клиентского компьютера для поиска пакетов драйверов в дополнительных папках

  3. Настройка клиентского компьютера, позволяющая устанавливать устройства обычным пользователям

  4. Удаление драйвера устройства и пакета драйвера, установленных на предыдущем этапе

  5. Установка пакета драйвера устройства из дополнительной папки

Шаг 1. Создание папки для хранения пакетов драйверов устройств

Операционные системы Windows Vista и Windows Server «Longhorn» позволяют Вам настраивать клиентские компьютеры таким образом, чтобы в случае не обнаружения пакетов драйверов в локальном хранилище их поиск выполнялся в дополнительных папках. Если пакет драйверов найден в дополнительной папке, Windows не будет предлагать пользователю указать расположение пакета драйвера устанавливаемого устройства.

Даже после того, как пакет драйвера помещен в общую сетевую папку, Вы должны иметь возможность поместить его в хранилище драйверов. Также Вы должны будете одобрить цифровую подпись, если сертификат пакета драйвера не содержится в хранилище сертификатов доверенных издателей.

В следующей процедуре Вы создадите папку на компьютере DMI-Client1 и затем скопируете в нее подписанный пакет драйвера.

*Для того, чтобы создать папку для хранения пакетов драйверов, выполните следующие действия:

  1. Завершите сеанс работы и войдите в систему под учетной записью DMI-Client1\TestAdmin.

  2. Запустите командную строку. Для этого в меню Start выберите пункт All ProgramsAccessoriesCommand Prompt.

  3. Создайте новую папку. Для этого в командной строке наберите следующую команду:

    4. md c:\drivershare

  4. Чтобы скопировать Ваш подписанный пакет драйвера в созданную папку, в командной строке наберите следующую команду:


    xcopy /s c:\toaster\device c:\drivershare

Шаг 2. Настройка клиентского компьютера для поиска пакетов драйверов в дополнительных папках

В операционных системах Windows Vista и Windows Server «Longhorn» существует параметр реестра, позволяющий Вам указать для операционной системы дополнительные папки, в которых должен производиться поиск драйверов вновь обнаруживаемых аппаратных устройств. По умолчанию в этом параметре указана только одна папка – «%SystemRoot%\Inf». Вы можете добавить в список этого параметра дополнительные папки, разделив их точкой с запятой. Эти папки могут являться как локальными, так и сетевыми папками вида \\ИмяСервера\ИмяПапки.

*Чтобы настроить клиентский компьютер для поиска пакетов драйверов в дополнительных папках, выполните следующие действия:

  1. В командной строке наберите следующую команду:

    2. RegEdit

    *Внимание

    Некорректное редактирование системного реестра привести к существенным повреждениям операционной системы. Прежде чем приступать к редактированию реестра, создайте резервную копию всех важных данных, расположенных на компьютере.

  2. В редакторе реестра перейдите в следующий раздел:

    3. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion

  3. В области сведений дважды щелкните параметр DevicePath.

  4. Добавьте в конец строки точку с запятой и затем добавьте путь к Вашей папке. В результате значение параметра должно выглядеть следующим образом:

    5. %SystemRoot%\inf;c:\drivershare

    * Важно

    Не удаляйте путь «%SystemRoot%\inf» из параметра DevicePath.

  5. Нажмите кнопку OK, чтобы сохранить новое значение.

Шаг 3. Настройка клиентского компьютера, позволяющая устанавливать устройства обычным пользователям

По умолчанию обычный пользователь не может выполнять процедуру размещения пакета драйвера в хранилище драйверов. Тем не менее, в операционных системах Windows Vista и Windows Server «Longhorn» Вы можете использовать политику компьютера, в которой указываются глобальные уникальные коды (GUID) классов настройки устройств, пакеты драйверов которых пользователи могут размещать в хранилище драйверов.

*Примечание

Рассматриваемая здесь процедура предназначена для выполнения на отдельном компьютере, и не может применяться к большому количеству компьютеров. Для применения конфигурации компьютера к большому количеству управляемых рабочих станций используйте групповую политику и службу каталогов Active Directory. Для получения дополнительной информации о групповой политике и службе Active Directory обратитесь к разделу «Дополнительные ресурсы» данного руководства.

Код GUID класса настройки устройства можно обнаружить либо просмотрев INF-файл из состава пакета драйвера устройства, либо открыв диалоговое окно Device Properties уже установленного устройства.

*Для поиска кода GUID класса настройки устройства в INF-файле выполните следующие действия:

  1. Откройте INF-файл с помощью программы Блокнот. Для этого в командной строке наберите следующую команду:

    2. Notepad c:\toaster\device\toastpkg.inf

  2. В разделе [Version] найдите строку, начинающуюся с ClassGuid=, и скопируйте ее значение. Для тестового устройства «Toaster» эта строка выглядит следующим образом:

    3. ClassGuid={B85B7C50-6A01-11D2-B841-00C04FAD5171}

  3. Выделите код GUID, включая символы «{ }», нажмите правую кнопку мыши и в контекстном меню выберите команду Copy.

  4. Закройте программу Блокнот. Убедитесь, что Вы не изменили INF-файл.

Если на компьютере уже установлено работающее устройство, то его код GUID можно посмотреть на странице свойств в диспетчере устройств.

*Для поиска кода GUID класса настройки устройства на странице его свойств выполните следующие действия:

  1. В диспетчере устройств (Device Manager) найдите устройство Toaster Package Sample Toaster, щелкните на нем правой кнопкой мыши и в контекстном меню выберите пункт Properties.

  2. В диалоговом окне Toaster Package Sample Toaster Properties перейдите на вкладку Details.

  3. В раскрывающемся списке Property выберите параметр Device class guid.

  4. Скопируйте значение этого параметра. Это значение совпадает со значением в INF-файле.

  5. Щелкните правой кнопкой мыши на коде GUID и в контекстном меню выберите команду Copy.

  6. Нажмите кнопку OK, чтобы закрыть страницу свойств устройства.

Теперь у Вас есть код GUID, соответствующий устройству, которое Вы хотите установить. Вы можете добавить этот код в список политики компьютера, определяющей, какие устройства могут быть установлены обычными пользователями.

*Для настройки компьютера, позволяющей обычным пользователям устанавливать устройства, принадлежащие определенному классу, выполните следующие действия:

  1. В командной строке наберите следующую команду:

    2. Mmc gpedit.msc

  2. В дереве консоли редактора объектов групповой политики (Group Policy Object Editor) раскройте узел Computer Configuration – Administrative Templates – System – Driver Installation.

  3. В области сведений дважды щелкните мышью на политике Allow non-administrators to install devices for these device classes.

  4. В диалоговом окне политики установите переключатель в положение Enabled и нажмите кнопку Show.

  5. В диалоговом окне Show Contents нажмите кнопку Add.

  6. В поле Add Item нажмите правую кнопку мыши и в контекстном меню выберите команду Paste, чтобы вставить код GUID.

    7. {B85B7C50-6A01-11D2-B841-00C04FAD5171}

  7. Нажмите три раза на кнопку OK, чтобы закрыть все диалоговые окна и вернуться в редактор объектов групповой политики.

  8. Закройте редактор объектов групповой политики.

  9. В окне командной строки Build Environment, запущенной с повышенными разрешениями, примените политику к текущему сеансу, набрав команду:

gpupdate /force

*Примечание

Команда GPUpdate не может вызвать диалоговое окно User Account Control для запроса административных учетных данных, поэтому убедитесь, что Вы запускаете эту команду с правами администратора.

Шаг 4. Удаление драйвера устройства и пакета драйвера, установленных на предыдущем этапе

Прежде чем Вы сможете установить драйвер устройства из дополнительной папки, Вы должны удалить уже установленный драйвер и пакет драйвера этого устройства из хранилища драйверов.

*Примечание

Вам необходимо удалить установленный ранее пакет драйвера только лишь потому, что в данном руководстве демонстрируется дополнительный метод его установки.

*Для удаления установленного ранее устройства выполните следующие действия:

  1. В диспетчере устройств щелкните правой кнопкой мыши на устройстве Toaster Package Sample Toaster и в контекстном меню выберите команду Uninstall.

  2. В диалоговом окне Confirm Device Removal нажмите кнопку OK.

    3. Устройство перестанет отображаться в окне диспетчера устройств.

  3. Запустите программу Enum.exe, эмулирующую отключение устройства «Toaster». Для этого в командной строке, запущенной с повышенными разрешениями, наберите следующую команду:

    4. Enum -u 1

    Устройство будет отключено, а его драйвер удален из памяти.

  4. Чтобы удалить пакет драйвера устройства из хранилища драйверов, в командной строке наберите следующую команду:

    5. pnputil.exe -d oem##.inf

    Вместо символов ## в этой команде Вы должны подставить номер, записанный Вами ранее. Если Вы забыли этот номер, запустите команду pnputil -e и найдите в списке устройство «Toaster».

    Пакет будет удален из хранилища драйверов.

  5. Запустите команду pnputil.exe -e снова, чтобы убедиться в том, что пакет удален.

Шаг 5. Установка пакета драйвера устройства из дополнительной папки

Теперь, когда пакет драйвера находится в созданной Вами папке, а клиентский компьютер настроен для поиска в этой папке пакетов драйверов подключаемых устройств, Вы можете установить устройство.

*Для установки пакета драйверов из общей сетевой папки выполните следующие действия:

  1. Завершите сеанс работы и войдите в систему под учетной записью DMI-Client1\TestUser.

  2. Запустите командную строку с правами администратора. Для этого в меню Start выберите пункт All ProgramsAccessories, щелкните правой кнопкой мыши на значке Command Prompt и в контекстном меню выберите команду Run as administrator.

  3. В диалоговом окне User Account Control Вам будет предложено указать имя и пароль учетной записи администратора. Выберите учетную запись DMI-Client1\TestAdmin и введите пароль для нее.

    4. Откроется окно командной строки.

  4. Запустите диспетчер устройств (Device Manager) для просмотра установленных в системе устройств. Для этого в командной строке, запущенной с повышенными разрешениями, наберите следующую команду:

    5. mmc devmgmt.msc

  5. Расположите окна на рабочем столе таким образом, чтобы Вы одновременно могли работать с командной строкой и видеть окно диспетчера устройств.

  6. Перейдите в папку «c:\toaster». Для этого в командной строке наберите следующую команду:

    7. cd \toaster

  7. Запустите программу Enum.exe, эмулирующую подключение устройства «Toaster». Для этого в командной строке наберите следующую команду:

    8. Enum -p 1

    Windows начнет процесс установки устройства. В разделе Other диспетчера устройств появится новое устройство.

  8. В диалоговом окне Found New Hardware щелкните Locate and install driver software (recommended).

    9. Поскольку операционная система не может найти пакет драйвера в локальном хранилище, она выполняет поиск в папках, перечисленных в параметре реестра DevicePath, и находит пакет драйвера в указанной папке.

  9. Процесс размещения пакета драйвера и его последующей установки займет некоторое время. Если Вы щелкните на значке установки устройства, Вы увидите сообщение о том, что выполняется установка драйверов, а затем Вы увидите сообщение об успешной установке устройства Toaster Package Sample Toaster.

Поскольку политика компьютера разрешает установку устройств данного класса, а пакет должным образом подписан доверенным издателем, установка пакета драйвера успешно завершится без какого-либо дополнительного вмешательства со стороны пользователя. Запись Unknown Device в диспетчере устройств будет заменена на Toaster.

*

Наверх страницы

Заключение

В данном руководстве, работая в лабораторной среде, Вы использовали демонстрационное устройство и его драйвер, чтобы научиться безопасно размещать пакеты драйверов устройств на компьютерах пользователей. В этой конфигурации обычный пользователь может самостоятельно устанавливать драйверы устройств без какой-либо помощи со стороны администратора. Для создания такой конфигурации необходимо было выполнить следующие действия:

  • Подписывание пакета драйвера, необходимое для того, чтобы ОС Windows считала его надежным. Эта задача состояла из следующих этапов: создание сертификата для подписывания пакета драйвера, настройка клиентских компьютеров для работы с этим сертификатом, создание файла каталога, содержащего цифровую подпись, подписывание файла каталога и его добавление в состав пакета драйвера.

  • Размещение пакета драйвера в хранилище драйверов на клиентском компьютере. В этой задаче было показано, как с помощью программы PnPUtil.exe администратор может разместить пакеты драйверов в хранилище драйверов таким образом, чтобы они могли быть установлены любым пользователем.

  • Настройка клиентского компьютера для поиска пакетов драйверов в дополнительных папках, если эти пакеты не были найдены в локальном хранилище драйверов. В этой задаче был описан процесс изменения параметра реестра и добавления новой локальной или сетевой папки в список папок, которые ОС Windows использует для поиска пакетов драйверов при установке нового аппаратного устройства. Данная процедура избавляет пользователя от необходимости вручную задавать путь к файлам драйвера или предоставлять дополнительные носители. Также в этой задаче было показано, каким образом можно настроить политику компьютера, позволяющую обычному пользователю размещать в локальном хранилище и, таким образом, устанавливать драйверы устройств, принадлежащих определенным классам.

Наверх страницы

Замечания и отзывы

Корпорация Microsoft будет рада получить Ваши отзывы об этом документе. Если сценарии работают не так, как описано в данном руководстве, или не отвечают Вашим потребностям, пожалуйста, сообщите об этом. Корпорация Microsoft будет использовать полученную от Вас информацию для улучшения данного документа. Присылайте Ваши замечания по адресу электронной почты Vista Feedback (vistafb@microsoft.com).

Чтобы оставить свой отзыв, перейдите по ссылке Контактные сведения, расположенной на веб-странице операционной системы Windows Vista.

Наверх страницы

Дополнительные ресурсы

Дополнительная информация по установке устройств:

Дополнительная информация о функции User Account Control в Windows Vista:

Дополнительная информация о цифровых сертификатах и цифровых подписях:

  • Раздел О криптографии на веб-узле MSDN
    About Cryptography (EN)
  • Руководство по работе с инфраструктурой открытых ключей (PKI) в ОС Windows Server
    Windows Server PKI Operations Guide (EN)

Дополнительная информация о групповой политике:

  • Раздел Групповая политика на веб-узле Microsoft
    Group Policy (EN)

Наверх страницы




Обсуждение статьи на форуме


Автор: Артем Жауров aka Borodunter
Иcточник: (переведено с англ.) Microsoft Technet
Опубликована - 18.04.2007

Оценить статью

{1} {2} {3}

Вверх

Популярные статьи раздела «Windows»Лучшие статьи раздела «Windows»
  1. Установка Windows XP на компьютер с Windows Vista
  2. Создание загрузочного ISO/CD
  3. Интеграция SATA/RAID драйверов
  4. Конфигурация Lite
  5. Интернет конфигурация
  1. HKEY_CURRENT_USER
  2. Выбор устанавливаемых приложений
  3. Ограничение прав пользователя
  4. RunOnceEx
  5. Подкуем Windows, или оптимизация разгона-2

Популярные темы форума OSzone.net

Последние добавления в каталог программ
s

Блоги Microsoft для ИТ-специалистов: RSS

Рассылка на Mail.ru

Windows All. Вопросы и ответы
Windows Vista. Вопросы и ответы

Карта сайта | Реклама на сайте | RSS

© OSzone.net 2001-2008

По вопросам работы сайта обращайтесь к веб-мастеру.
С вопросами по содержанию сайта обращайтесь к администратору.

 [AD] Rambler's Top100