Нет прав на установку драйверов принтера

Обновлено: 16.01.2025

Windows обновлений, выпущенных 10 августа 2021 г. и более поздних версий, для установки драйверов по умолчанию потребуются права администратора. Мы внося это изменение в поведение по умолчанию для устранения рисков на всех Windows, включая устройства, которые не используют функции Point и Print или Print. Дополнительные сведения см. в пунктах Изменение поведения по умолчанию и CVE-2021–34481.

По умолчанию пользователи без прав администратора больше не могут делать следующее с помощью точки и печати:

Установка новых принтеров с помощью драйверов на удаленном компьютере или сервере

Обновление существующих драйверов принтера с помощью драйверов с удаленного компьютера или сервера

Примечание Если вы не используете Point и Print, это изменение не защитит вас от изменений и будет по умолчанию защищено после установки обновлений, выпущенных 10 августа 2021 г. или более поздней версии.

Важно Перед установкой обновлений, выпущенных 14 сентября 2021 г., клиентам печати в вашей среде необходимо установить обновление от 12 января 2021 г. или более поздней версии. Дополнительные сведения см. в вопросе "Вопросы и ответы" кв. 2 ниже.

Изменение поведения при установке драйвера по умолчанию с помощью ключа реестра

Это поведение по умолчанию можно изменить с помощью параметра реестра, приведенного в таблице ниже. Однако будьте осторожны при использовании нуля (0), так как это делает устройства уязвимыми. Если в вашей среде необходимо использовать значение реестра 0, мы рекомендуем использовать его временно во время настройки среды, чтобы позволить устройствам Windows использовать значение 1 (1).

Расположение реестра

Данные о значениях

Поведение по умолчанию: Если задайте для этого значения значение 1 или ключ не определен или нет ,потребуется права администратора для установки любого драйвера принтера при использовании Point и Print. Этот ключ реестра переопределит все параметры групповой политики Point и Print Restrictions и гарантирует, что только администраторы смогут устанавливать драйверы принтера с печатного сервера с помощью point и Print.

Установка значения 0 позволяет не администраторам устанавливать подписанные и неподписаные драйверы на сервер печати, но не переопределять параметры групповой политики Point и Print. Следовательно, параметры групповой политики Point и Print Restrictions могут переопределять этот параметр реестра, чтобы запретить администраторам устанавливать с печатного сервера подписанные и неподписаные драйверы печати. Некоторые администраторы могут установить значение 0, чтобы разрешить не администраторам устанавливать и обновлять драйверы после добавления дополнительных ограничений, включая добавление параметра политики, ограничивающего возможность установки драйверов.

Важно Сочетания последствий, эквивалентных установке ограниченияDriverInstallationToAdministrators равным 1, не существует.

Примечание Для обновлений, выпущенных 6 июля 2021 г. и более поздних версий, по умолчанию задано значение 0 (отключено) до установки обновлений, выпущенных 10 августа 2021 г. или более поздней версии. Обновления, выпущенные 10 августа 2021 г. или более поздние версии, по умолчанию имеют значение 1 (включено).

Требования к перезапуску

При создании или изменении этого значения реестра перезапуск не требуется.

Примечание Windows обновления не будут устанавливать или изменять реестр. Вы можете настроить реестр до или после установки обновлений, выпущенных 10 августа 2021 г. или более поздней версии.

Автоматизация добавления значения реестра RestrictDriverInstallationToAdministrators

Чтобы автоматизировать добавление значения реестра RestrictDriverInstallationToAdministrators, выполните следующие действия:

Открытие окна команднойcmd.exe с повышенными разрешениями.

Введите следующую команду и нажмите ввод:

reg add "HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint" /v RestrictDriverInstallationToAdministrators /t REG_DWORD /d 1 /f

Set RestrictDriverInstallationToAdministrators using Group Policy

После установки обновлений, выпущенных 12 октября 2021 г. или более поздней версии, вы также можете настроить ограничителиDriverInstallationToAdministrators с помощью групповой политики, выполнив следующие инструкции:

Откройте редактор групповой политики и перейдите в меню Конфигурация компьютера>административных шаблонов>Принтеры.

Установите для параметра Ограничения при установке драйвера печати параметр Администраторы на "Включено". При этом для реестра RestrictDriverInstallationToAdministrators будет установлено значение 1.

Установка драйверов печати при вмении нового параметра по умолчанию

Если для ограниченияDriverInstallationToAdministrators задавается неопределенный или 1 (в зависимости от среды), для установки принтеров необходимо использовать один из следующих способов:

При запросе учетных данных при попытке установки драйвера принтера вводить имя пользователя и пароль администратора.

Включив необходимые драйверы принтера в изображение ОС.

Используйте Microsoft System Center, Microsoft Endpoint Configuration Manager или эквивалентное средство для удаленной установки драйверов принтера.

Чтобы установить драйверы принтера, временно задайте для ограниченияDriverInstallationToAdministrators 0.

Примечание Если вам не удается установить драйверы принтера даже с учетом прав администратора, необходимо отключить групповую политику "Использовать только точку упаковки" и "Печать".

Вопросы и ответы

Вопрос1. При каждой попытке печати я получаю запрос "Доверяете ли вы этому принтеру", и для продолжения работы с этим принтером требуются учетные данные администратора. Это ожидаемое?

A1. Запрос на каждое задание печати не ожидается. Большинство сред или устройств, в которых эта проблема устранена, будут устранены с помощью обновлений, выпущенных 12 октября 2021 г. или более поздней версии. В этих обновлениях решается проблема, связанная с печатью серверов и клиентов печати, которые не находится в одном часовом поясе.

Если после установки обновлений, выпущенных 12 октября 2021 г. или более поздней версии, эта проблема по-прежнему не у вас, обратитесь к производителю принтера за обновленными драйверами. Эта проблема также может возникать, если драйвер печати в клиенте печати и на сервере печати используют то же имя файла, но на сервере есть более новая версия файла драйвера. Когда клиент печати подключается к серверу печати, он находит более новый файл драйвера и получает запрос на обновление драйверов в клиенте печати. Однако файл в пакете, который предлагается для установки, не включает более новую версию файла драйвера.

Сравниваемые файлы — это драйверы в папке "Spool", обычно в папке C:\Windows\System32\spool\drivers\x64\3 в клиенте печати и на печатном сервере. Пакет драйвера, предлагаемый для установки, обычно находится в C:\Windows\System32\spool\drivers\x64\PCC на сервере печати. После того как файлы в папке \3 сравниваются между устройствами, если они не совпадают, пакет в PCC устанавливается. Если файлы в папке \3 на сервере печати не имеют того же драйвера принтера, что и PCC, клиент печати сравнивает файлы и находит несоответствия при каждой печати.

Чтобы устранить эту проблему, убедитесь, что используете последние драйверы для всех ваших устройств печати. По возможности используйте ту же версию драйвера печати в клиенте печати и на сервере печати. Если обновление драйверов в вашей среде не решает проблему, обратитесь в службу поддержки изготовителя принтера (OEM).

Вопрос 2. Установлены обновления, выпущенные 14 сентября 2021 г., и некоторые Windows не могут печатать на сетевых принтерах. Требуется ли заказ на установку обновлений на почтовых клиентах и почтовых серверах?

A2. Перед установкой обновлений, выпущенных 14 сентября 2021 г. или более поздней версии, на почтовых серверах должны быть установлены обновления, выпущенные 12 января 2021 г. или более поздней версии. Windows устройства не будут печататься, если на них не установлено обновление, выпущенное 12 января 2021 г. или более поздней версии.

Примечание Вам не нужно устанавливать более ранние обновления и вы можете установить любое обновление после 12 января 2021 г. на клиентах печати. Мы рекомендуем установить последнее накопительное обновление как на клиентах, так и на серверах.

Давайте узнаем, как обычному пользователю установить драйвера, если у него нет административных прав. Мы не будем рассматривать варианты взлома админской учетки. А пройдемся по более культурным методам.

Что такое драйвера?

Драйвера — это программы, работающие на уровне ядра системы. То есть, они имеют полный доступ к компьютеру, а точнее к какому-либо устройству. Естественно, права на установку таких программ нельзя доверять первому встречному. Именно поэтому, установить драйвера могут только администраторы компьютера. Но бегать каждый раз устанавливать соединение для web-камеры или телефона, тоже не дело — у администратора и своих забот хватает. Попробуем решить эту дилемму.

Методы установки драйверов пользователями без административных прав

Ниже будут озвучены несколько методов, благодаря которым пользователи без административных прав смогут установить драйвера.

Добавление драйвера в хранилище драйверов

Давайте вспомним, то что PnP-устройства устанавливаются автоматически! Это объясняется тем, что драйвера для таких устройств уже хранятся в хранилище драйверов. А это означает, что данные драйвера уже проверены и что их установка не повлечет за собой нежелательных последствий. Поэтому, при установке PnP-устройства происходит копирование файлов драйвера из хранилища в системное расположение. А на деле мы видим то, что мы подцепили нужный драйвер автоматически и устройство готово к работе. На это прав хватит у всех. То есть пользователь может установить принтер, если в хранилище драйверов будет нужный драйвер.

Данной теории должно быть достаточно, чтобы предложить вариант установки драйвера устройства обычным пользователем. Нужно добавить нужные драйвера в хранилище драйверов на компьютере! Для того чтобы разместить нужный драйвер в хранилище драйверов, необходимо в командной строке выполнить следующее:

Естественно, путь и название inf-файла будет таким, каким нужно для Вас.

Но устройство установиться от учетки простого пользователя только в случае наличия подписи у драйвера. Даже если Вы добавили не подписанный драйвер в хранилище, для его инициализации нужны будут административные права. Для решения таких проблем, можно создать сертификаты для данных драйверов. Но они будут действовать только внутри организации. Создание сертификатов — дело серверных машин, поэтому рассматривать это пока что мы не будем.

Указываем папки с дозволенными драйверами

Если открыть Редактор реестра(Выполнить и ввести regedit) и прошествовать по пути hkey_local_machine\software\microsoft\windows\current version, Вы найдете там параметр Device Path, в котором по умолчанию стоит значение %SystemRoot%\inf. Данный параметр указывает место, где происходит поиск драйвера для только что присоединенного устройства. Через точку запятую Вы можете добавить еще какие-либо пути для поиска драйвера. Ну если конечно у Вас лежат где-нибудь на компьютере драйвера, хотя более серьезным шагом было бы указание сетевой папки с драйверами. Используя данный способ Вы добавите еще несколько мест, откуда технология PnP сможет вытащить драйвера, а это значит, что обычные пользователи смогут установить драйвера для устройства.

Дать доступ для установки некоторых драйверов

И последний вариант — разрешить пользователям устанавливать драйвера для заданных классов устройств. Суть в том, чтобы разрешить пользователям устанавливать драйвера для своих телефонов, фотокамер, web-камер и для другой разной мелочной периферии. Но при этом не открывать им доступ для работы с драйверами ядра либо видеокарты, ведь неумелые действия с драйверами, например, видеокарты, могут привести к довольно неприятным ошибкам. Что же нужно для этого сделать?

Откройте Диспетчер устройств, раскройте класс нужного устройства, выберите любое устройство и откройте его Свойства. Перейдите во вкладку Сведения и выберите из списка пункт GUID класса устройства. В поле Значения появиться GUID, правый клик по GUID и Скопировать. После чего, в меню Выполнить набираем gpedit.msc и жмем ОК. Откроется Редактор локальной групповой политики. Тут последовательно выбираем: Политика «Локальный компьютер»-> Конфигурация компьютера ->Административные шаблоны -> Система-> Установка драйвера и открываем параметр Разрешить пользователям, не являющимся администраторами, устанавливать драйверы для этих классов установки устройств. Первым делом активируем эту функцию: переключаем на Включить. Потом, ниже находим кнопку Показать и в поле Значение вставляем скопированный нами GUID-код. И таким же образом разрешаем установку всех классов устройств, которые посчитаете необходимыми. Чтобы все изменения были внесены в систему, необходимо перезагрузить компьютер, либо обновить политику компьютера. После этого пользователи без административных прав смогут устанавливать драйвера не выбранных классов оборудования.

Последний, третий вариант установки самый эффективный. Обычно, такие разрешения будут выдаваться для настройки телефонов, фотоаппаратов и прочей мелкой ерунды, которые в основном автоматически схватывают нужные драйвера. И тут главное не мешать этому. И при этом закрыть доступ к установке более важных драйверов.

Вот таким вот образом можно наделить юзеров правами, а с себя скинуть лишнюю работу.

Для установки некоторого программного обеспечения требуется наличие прав администратора. Кроме этого и сам администратор может ставить ограничение на установку различного софта. В случае когда требуется выполнить инсталляцию, а разрешения на нее нет, предлагаем воспользоваться несколькими простыми методами, описанными ниже.

Устанавливаем программу без прав администратора

В сети интернет присутствует множество различного ПО, позволяющего обходить защиту и выполнять инсталляцию программы под видом обычного пользователя. Мы не рекомендуем их использовать особенно на рабочих компьютерах, так как это может нести за собой серьезные последствия. Мы же представим безопасные способы установки. Давайте рассмотрим их подробнее.

Способ 1: Выдача прав на папку с программой

Чаще всего права администратора софту требуются в том случае, когда будут проводиться действия с файлами в своей папке, например, на системном разделе жесткого диска. Владелец может предоставить полные права другим юзерам на определенные папки, что позволит выполнять дальнейшую установку под логином обычного пользователя. Делается это следующим образом:

Войдите в систему через учетную запись администратора. Подробнее о том, как это сделать в Виндовс 7 читайте в нашей статье по ссылке ниже.

Теперь во время установки программы вам потребуется указать папку, к которой предоставили полный доступ, и весь процесс должен пройти успешно.

Способ 2: Запуск программы с учетной записи обычного пользователя

В тех случаях когда нет возможности попросить администратора предоставить права доступа, рекомендуем воспользоваться встроенным в Windows решением. С помощью утилиты через командную строку осуществляются все действия. От вас требуется только следовать инструкции:

«Выполнить»

Win + R

cmd

«ОК»

runas /user:User_Name\administrator Program_Name.exe

Способ 3: Использование портативной версии программы

Некоторое ПО имеет портативную версию, не требующую установки. Вам будет достаточно скачать ее с официального сайта разработчика и запустить. Выполнить это можно очень просто:

Перейдите на официальный сайт необходимой программы и откройте страницу загрузки.
Начните загрузку файла с подписью «Portable».

Вы можете перекинуть файл софта на любое съемное устройство хранения информации и запускать его на разных компьютерах без прав администратора.

Сегодня мы рассмотрели несколько простых способов как установить и использовать различные программы без прав администратора. Все они не сложные, но требуют выполнения определенных действий. Мы же рекомендуем для установки софта просто войти в систему с учетной записи администратора, если это доступно. Подробнее об этом читайте в нашей статье по ссылке ниже.

Мы рады, что смогли помочь Вам в решении проблемы.

Отблагодарите автора, поделитесь статьей в социальных сетях.

Опишите, что у вас не получилось. Наши специалисты постараются ответить максимально быстро.

Скачивая программы с сайтов разработчиков или других источников, вы, наверное, не раз замечали, что одни из исполняемых файлов этих программ имеют на себе характерную иконку щита, а другие нет. Что это означает? А означает это следующее: если исполняемый файл программы или её ярлык на рабочем столе отмечен этим жёлто-голубым значком, значит данная программа требует прав администратора. В связи с этим у многих пользователей возникает вопрос: а можно ли каким-то образом обойти это ограничение и установить/запустить программу в обычной учётной записи пользователя? Ответ на него будет зависеть от того, для каких целей разрабатывалась программа и с какими объектами файловой системы ей предстоит работать.

Как установить программу без прав администратора

В действительности многие из таких программ прекрасно могут работать без прав администратора, если владельцем компьютера им предоставлены соответствующие разрешения на папку Program Files и используемые ими ветки реестра. Являясь же обычным пользователем, вы можете устанавливать и запускать только те программы, которые не используют системный каталог ProgramFiles, если же вы запустите установочный файл приложения, требующего повышенных прав, то, во-первых, автоматически сработает UAC (контроль учётных записей), во-вторых, на экране появится окно с запросом пароля администратора.
Отключение админом UAC не решает проблемы, поскольку устанавливаемая программа всё равно попросит вас ввести пароль администратора. Что можно предпринять в этой ситуации? Воспользоваться функцией, или правильнее сказать, уровнем прав текущего пользователя AsInvoker, подавляющим UAC и сообщающим программе, что она может запуститься с привилегиями родительского процесса, то есть буквально с теми правами, которые имеются на данный момент у пользователя. Но «может» ещё не означает, что она действительно запустится, ведь привилегии в системе AsInvoker не повышает.

Если в файле манифеста программы чётко прописано, что запускаться/устанавливаться программа должна исключительно с правами администратора, то AsInvoker не поможет. Так, нам так и не удалось установить системный настройщик Winaero Tweaker, а если бы и удалось, мы бы всё равно не смогли им пользоваться. Теперь, когда вы приблизительно знаете, как это работает в теории, перейдём к решению поставленной задачи на практике. Всё очень просто. Создайте Блокнотом обычный текстовый файл и вставьте в него следующий код:

cmd /min /C "set __COMPAT_LAYER=RunAsInvoker && start "" "%1""
Сохраните файл как install.cmd (имя можно дать произвольное, главное, чтобы расширение было CMD или BAT), а затем перетащите на созданный скрипт установочный файл программы, которую хотите установить без прав администратора. На секунду на экране появится окно командной строки, а затем запустится мастер-установщик приложения. Когда вы дойдёте до шага «Папка установки», вам нужно будет заменить стандартный путь C:\ProgramFiles\название-программы другим путём, ведущим к какому-нибудь каталогу в профиле пользователя. Например, вы можете создать папку Programs в расположении %userprofile% и.
В неё то и нужно устанавливать программы, поскольку на стандартную папку ProgramFiles у вас всё равно нет прав. Ярлык установленной программы на рабочем столе и в меню создан, скорее всего, не будет, поэтому вам потребуется зайти в папку с инсталлированным приложением и создать его вручную.
Теперь что касается минусов данного решения. Весьма вероятно, что установленные программы не смогут сохранять часть своих настроек, если по умолчанию они должны хранится в тех ключах реестра, которые обычный пользователь не может изменять по причине отсутствия у него прав администратора.

Использование AsInvoker в учётной записи администратора

И в завершении хотелось бы сказать пару слов о том, что AsInvoker даёт администратору. Когда вы работаете в учётной записи администратора, все программы запускаются с правами вашей учётной записи (не путайте это, пожалуйста, с запуском программ от имени администратора, то есть с повышением привилегий в рамках одной учётной записи).

А теперь предположим, что у вас есть программа, которой вы не хотите предоставлять права вашей учётной записи. Чтобы не создавать обычную учётную запись, вы можете воспользоваться функцией. Чтобы продемонстрировать разницу между запущенной обычным способом программой (в примере использовался штатный редактор реестра) и той же программой, запущенной через скрипт с прописанным в нём уровнем прав родительского процесса, мы добавили в Диспетчер задач дополнительную колонку «С повышенными правами».

В первом случае напротив процесса в этой колонке указано «Да», а во втором — нет, то есть редактор реестра запустился с пониженными привилегиями. Поскольку запущенный в таком режиме regedit утрачивает часть своих полномочий, некоторые ключи реестра окажутся недоступными для редактирования. Это же касается любой другой программы. Не имея соответствующих прав, такая программа, если она окажется небезопасной, уже не сможет перезаписать важные системные файлы и ключи реестра.

Читайте также: