Как в XP Pro разрешить "Опытному пользователю" установку новых устройств
 

Как в XP Pro разрешить "Опытному пользователю" установку новых устройств, например принтеров? Система ругается, что для установки устройств необходимы права Администратора. В локальных политиках такого разрешения нет.
"Помогите кто может, кто может помогите!"

suhel
В "назначении прав пользователей" добавь Опытных Пользователей в "Загрузка и выгрузка драйверов устройств" и, вроде как, "Изменение параметров среды оборудования".

Все это уже сделано, дохлый номер. Кроме того, в справке читаем:



«Загрузка и выгрузка драйверов устройств - Пользователь получает возможность устанавливать и удалять драйверы самонастраиваемых устройств. Эта привилегия не влияет на возможность установки драйверов для устройств, не являющихся самонастраивыми. Драйверы для таких устройств могут быть установлены только администраторами».



А мне необходимо, чтобы любой пользователь мог устанавливать и удалять любые устройства и драйверы к ним. И ещё читаем далее:



«Изменение параметров среды оборудования - Разрешает изменение системных переменных среды либо пользователю (при помощи свойств системы), либо через процесс с использованием интерфейса API».



Т.е. это вообще не из той оперы. Переменные среды мне ни к чему.

Может я не прав, но раз права по установке новых устройств в систему даны группе администраторы, то они должны быть где-то прописаны, возможно, в шаблонах групповых политик, а следовательно, их можно прописать и другим группам пользователей. Знать бы где и как?

Люди помогите! Серьёзно очень нужно.

suhel: группе администраторы много чего дано, что не дано простым смертным. На то они и администраторы. А вот посечь эти права на части и раздавать по-немногу - это вопрос сложный... ИМХО.

suhel
Windows XP поддерживает два типа установки оборудования - клиентскую и серверную. Для первой нужны права локального администратора, а для второй - нет. Подробнее читайте в статье KB326473: При установке принтера требуется ввод учетных данных администратора

Vadikan
Я так понимаю что это практически невозможно? (когда-то была подобная проблема так и не разобрался :( )

Yoshi
Я тоже так понимаю. Т.е. так реализована система безопасности ОС. Клиентскую установку оборудования осуществляют только локальные Администраторы.

Ребята, да неужели ж в такой навороченной операционке как XP Pro, нет возможности создать пользователя с правами чуть меньшими чем у администратора? Намедни пытался изучать настройки шаблонов безопасности, голова опухла, ничего не понял.
Вообще корень проблемы в следующем: я работаю в коллективе, комп один на всех, заниматься им в случае проблем приходится мне, а некоторые несознательные коллеги периодически ставят софт туда куда он просится, т.е. в С:\Program Files, что я лично считаю совершенно недопустимым, так как раздел С:\ не резиновый. Так вот задача была полностью закрыть доступ к разделу и я этого добился, но попутно ограничил права в установке нового железа, дров и некоторых программ, а это уже перебор. Сам эту проблему я решить не смог, поэтому и обратился за помощью к коллективному разуму. :)

suhel
Ну так переназначьте %programfiles% на нужный диск. - ProgramFilesDir. Зачем огород городить? Просто вы задачу неправильно ставите. Вы уже что-то накрутили, теперь хотите крутить дальше. Есть более простые решения.

Принято, спасибо за совет.
Однако проблема поднятая мной, все равно требует решения. Может ведь найтись олух который затрёт загрузчик Windows или другой системный файл. Так что лучше все же закрыть доступ к диску С:\, не ограничивая при этом других прав. Да и вообще слишком большая разница в правах доступа между администратором и опытным пользователем, хотелось бы научиться распределять полномочия более тонко.

suhel
Решение есть, оно описано в статье MS KB. Иного я не знаю, к сожалению. Еще раз скажу, в моем понимании так работает система, так и задумано. Тем более ему не надо разрешать ставить оборудование.
p

Интересно, у вас в конторе каждый день происходит замена и установка нового оборудования на единственном компьютере?

Лично я считаю, что не нужно изобретать велосипед, а пользоваться тем что имеется. Т.е. один админ остальные пользователи. А если нужно что новое поставить, то лучше пусть это сделает админ.

suhel
Вообще может проще создать администратора и потом последовательно резать его права?

Yoshi

Если создать вторую учетную запись с правами администратора, а затем зарезать часть ее прав, то любой кто зайдет под этой записью всегда сможет вернуть себе все права, а заодно и тебя выкинуть из группы админов.

Vadikan

Прочитал рекомендованную Вами справку и понял, что принтер установить при помощи Мастера установки оборудования можно и не администратору, а вот все остальное:
"В целях безопасности, Windows XP запрещает пользователю, который не обладает правами администратора, устанавливать устройства на компьютере. Если Вы входите в систему под учетной записью, для которой не установлены права администратора, то право "Загружать и выгружать драйвера устройств" позволит сделать временные изменения в состоянии драйверов устройств, которые запущены на компьютере. Временные изменения - это изменения, которые не сохраняются после перезагрузки компьютера."
Т.е. ответ на мой первоначальный вопрос получен исчерпывающий - никак. ;((

И еще цитата:
"Ваш список управления доступом (ACL) определяет, можете ли Вы сделать постоянными изменения в настройках оборудования. Ваш список ACL может не совпадать со списком установленных разрешений для Вашей учетной записи. Только члены группы Администраторы имеют список ACL, достаточный для осуществления постоянных изменений в настройках оборудования. Постоянные изменения (например, установка устройства, изменения в системном реестре или создание нового файла на жестком диске) - это изменения, остающиеся в силе даже после перезагрузки компьютера."

Вопрос - что такое список управления доступом (ACL), где он находится и можно ли его редактировать?

Working with Access Control Lists - через GUI.

Vadikan

Блин, но там же все на вражеском, а нет ли ссылки на русскую страничку?