За замовчуванням рядовим користувачам домену заборонено встановлювати принтера (якщо бути більш точними, драйвера принтерів) на доменних комп'ютерах, а для їх установки необхідна наявність у користувача певних прав. Це правильно з точки зору безпеки, адже установка некоректного або шкідливого (підробленого) драйвера пристрою може скомпрометувати або погіршити роботу системи, але вкрай незручно з точки зору ІТ - відділу. Адже, якщо користувачам заборонено встановлювати драйвера принтерів на своїх комп'ютерах, ця турбота покладається на адміністраторів та ІТ-відділ.
У тому випадку, коли ІТ-адміністратори підприємства все-таки вирішили дозволити користувачам самостійно встановлювати драйвера принтерів на своїх комп'ютерах, котрі дають їм прав локальних адміністраторів, в цьому завданні допомогти їм можуть групові політики Active Directory.
Отже, передбачається, що є різнорідна мережа і нам необхідно дозволити користувачам самостійно підключати мережеві і локальні принтера, і встановлювати їх драйвера як на ПК з Windows 7, так і з Windows XP.
Отже, створіть (або відредагуйте існуючу політику) і прив'яжіть її до OU (контейнера Active Directory), в якому містяться комп'ютери, на яких політикою необхідно дозволити користувачам установку драйверів принтерів (на окремому комп'ютері цю ж політику можна реалізувати за допомогою локальної політики).
Відкрийте гілку групових політик Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Local Policies -> Security Options, в якій знайдіть параметр Devices: Prevent users from installing printer drivers (Пристрої: Заборонити користувачам установку драйверів принтера). Активуйте політику і відключіть її застосування (значення Disabled).
Дана політика має на увазі, що при підключенні мережевого принтера, система дозволяє користувачеві, який не володіє правами адміністратора, встановити драйвера мережевих принтерів.
Наступний момент - потрібно дозволити користувачеві встановлювати локальні принтера (і їх драйвера). У цьому випадку нас цікавить політика Allow non-administrators to install drivers for these device setup classes в розділі: Computer Configuration -> Policies -> Administrative Templates -> System -> Driver Installation.
Увімкніть цю політику, потім поставимо типи пристроїв, які дозволено користувачам встановлювати самостійно (докладніше про принципи установки драйверів в Windows 7 без прав локального адміністратора). Натисніть кнопку Show, і у вікні додайте два рядки (ідентифікатори класів, відповідні пристроїв типу принтер):
4d36e979-e325-11ce-bfc1-08002be10318
4658ee7e-f050-11d1-b6bd-00c04fa372a7
Повний список кодів GUID класів пристроїв в ОС Windows доступний тут:
http://msdn.microsoft.com/en-us/library/ff553426%28v=VS.85%29.aspx
Збережіть зміни в політиці.
Наступний момент стосується особливостей роботи UAC при установці мережевого принтера в Windows Vista і Windows 7. У тому випадку, якщо UAC включений, з'являється повідомлення, в якому потрібно вказати облікові дані адміністратора, якщо ж UAC відключений при спробі встановити принтер пользователем- система надовго замислюється, і врешті-решт видає повідомлення про помилку: "Windows не вдалося підключитися до принтера. Відмовлено в доступі".
Щоб вирішити дану проблему необхідно перевести в стан Disabled політику Point and Print Restrictions . Дана політика знаходиться як в системному, так і призначеному для користувача розділі групових політик і для підтримки сумісності з попередніми версіями операційної системи Windows, рекомендується ставити обидва цих параметра. Необхідно відключити обидві політики. Знаходяться він в розділах: Computer Configuration -> Policies -> Administrative Templates -> Printers і User Configuration -> Policies -> Administrative Templates -> Control Panel -> Printers.
Залишилося зберегти зміни і протестувати політики на клієнтах (буде потрібно перезавантаження). Після перезавантаження і застосування групових політик користувачеві буде дозволено самостійно встановлювати локальні і підключати мережеві принтера.
Для підвищення стабільності і безпеки системи рекомендується також включити ізоляцію драйверів принтерів в Windows 7.