Sdílet prostřednictvím

AllSigningEqual – zásady skupiny

  • Článek

Pokud je zásada skupiny AllSigningEqual zakázaná, systém Windows řadí balíčky ovladačů podepsané podpisovou autoritou systému Windows (podpis Microsoft) lépe než balíčky ovladačů, které mají jednu z následujících možností:

Pokud je zásada skupiny AllSigningEqual zakázána, systém Windows zvolí balíček ovladačů podepsaný autoritou podpisu Windows před balíčkem ovladače podepsaným technologií Authenticode, i když balíček ovladačů podepsaný technologií Authenticode lépe odpovídá zařízení.

Podpisy z podpisové autority systému Windows jsou seřazené stejně a zahrnují následující typy podpisů:

  • Podpisy Premium WHQL a standardní podpisy WHQL

  • Podpisy pro balíčky vestavěných ovladačů

  • Podpisy Windows Sustained Engineering (SE)

  • Podpis WHQL pro verzi Windows, která je stejná nebo novější než hodnota LowerLogoVersion balíčku ovladače v rámci třídy nastavení zařízení.

Správce sítě může toto chování změnit povolením zásad skupiny AllSigningEqual. Systém Windows se nakonfiguruje tak, aby všechny typy podpisů Microsoft a podpisy Authenticode považoval za rovnocenné z hlediska postavení při výběru ovladače, který nejlépe vyhovuje zařízení.

Poznámka Počínaje Systémem Windows 7 je ve výchozím nastavení povolena zásada skupiny AllSigningEqual.

Představte si například situaci, kdy musí správce sítě nakonfigurovat klientské počítače v síti tak, aby nainstaloval balíčky ovladačů následujícím způsobem:

  • Klientský počítač by měl nainstalovat nový balíček ovladačů pouze v případě, že má balíček ovladače podpis Authenticode vydaný certifikační autoritou organizace, který je vytvořen pro síť. Podnik by to mohl chtít udělat, aby se zajistilo, že všechny balíčky ovladačů nainstalované na klientských počítačích jsou podepsané a že jedinou důvěryhodnou podpisovou autoritou, kterou spravuje společnost Microsoft, je certifikační autorita spravovaná společností.

  • U podepsaných balíčků ovladačů by se skóre podpisu nemělo používat k určení balíčku ovladačů, který má nejlepší pořadí. K porovnání pořadí balíčků ovladačů se používá pouze součet skóre funkce a skóre identifikátoru. Pokud je například součet skóre funkce a skóre identifikátoru nového ovladače nižší než odpovídající součet ovladače doručené pošty, nainstaluje systém Windows nový balíček ovladačů.

Aby toho dosáhl, správce sítě:

  • Přidá certifikát podnikové certifikační autority (CA) do úložiště důvěryhodných vydavatelů na klientských počítačích.

  • Na klientských počítačích povolí zásadu skupiny AllSigningEqual.

Jakmile správce sítě tímto způsobem nakonfiguruje klientské počítače, může správce podepsat balíček ovladačů, který má certifikát podnikové certifikační autority, a distribuovat ovladač do klientských počítačů. V této konfiguraci systém Windows na klientských počítačích nainstaluje nový balíček ovladačů pro zařízení místo balíčku ovladačů podepsaný společností Microsoft, pokud je součet skóre funkce a skóre identifikátoru nižší než odpovídající součet balíčku ovladačů podepsaný společností Microsoft.

Při konfiguraci zásad skupiny AllSigningEqual v systému Windows Vista a novějších verzích systému Windows postupujte takto:

  1. V nabídce Start klikněte na Spustit.

  2. Zadáním GPEdit.msc spusťte editor zásad skupiny a klikněte na OK.

  3. V levém podokně editoru zásad skupiny klikněte na Konfigurace počítače.

  4. Na stránce Šablony pro správu poklikejte na Systém.

  5. Na stránce Systém poklepejte na Instalace zařízení.

  6. Vyberte Zacházet se všemi digitálně podepsanými ovladači stejně v pořadí a výběrovém procesu ovladačů a potom klepněte na tlačítko Vlastnosti.

  7. Na kartě nastavení vyberte Povoleno (chcete-li povolit zásady skupiny AllSigningEqual) nebo Zakázáno (chcete-li zakázat zásady skupiny AllSigningEqual).

Pokud chcete zajistit, aby se nastavení aktualizovalo v cílovém systému, postupujte takto:

  1. Vytvořte zástupce na ploše Cmd.exe, klikněte pravým tlačítkem na zástupce Cmd.exe a vyberte Spustit jako správce.

  2. V okně příkazového řádku spusťte nástroj aktualizace zásad skupiny GPUpdate.exe.

Tato změna konfigurace se provede jednorázově a použije se pro všechny následné instalace balíčků ovladačů v počítači, dokud nebude znovu nakonfigurován AllSigningEqual.

Další informace o řazení balíčků ovladačů naleznete v tématu Jak systém Windows řadí ovladače.