Windows installer group policy windows 7

При желании вы можете запретить пользователям устанавливать или запускать программы в Windows 10/8/7, а также в семействе Windows Vista/XP/2000 и Windows Server. Это можно сделать с помощью определенных параметров Групповой политики , чтобы управлять поведением установщика Windows, запретить запуск или ограничение определенных программ через Редактор реестра .

Установщик Windows , msiexec.exe , ранее известный как установщик Microsoft, – это механизм установки, обслуживания и удаления программного обеспечения в современных системах Microsoft Windows.

В этом посте мы увидим, как заблокировать установку программного обеспечения в Windows 10/8/7.

Отключить или ограничить использование установщика Windows через групповую политику

Введите gpedit.msc в начале поиска и нажмите Enter, чтобы открыть редактор групповой политики. Перейдите к Конфигурациям компьютера> Административные шаблоны> Компоненты Windows> Установщик Windows. В панели RHS дважды щелкните Отключить установщик Windows . Настройте опцию как требуется.

Этот параметр может запретить пользователям устанавливать программное обеспечение в своих системах или разрешить пользователям устанавливать только те программы, которые предлагаются системным администратором. Если вы включите этот параметр, вы можете использовать параметры в окне Отключить установщик Windows, чтобы установить параметр установки.

Параметр «Никогда» означает, что установщик Windows полностью включен. Пользователи могут устанавливать и обновлять программное обеспечение. Это поведение по умолчанию для установщика Windows в Windows 2000 Professional, Windows XP Professional и Windows Vista, когда политика не настроена.

Параметр «Только для неуправляемых приложений» позволяет пользователям устанавливать только те программы, которые назначает системный администратор (предлагает на рабочем столе) или публикует (добавляет их в «Установка и удаление программ»). Это поведение по умолчанию установщика Windows в семействе Windows Server 2003, когда политика не настроена.

Параметр «Всегда» означает, что установщик Windows отключен.

Этот параметр влияет только на установщик Windows. Это не мешает пользователям использовать другие методы для установки и обновления программ.

Всегда устанавливайте с повышенными привилегиями

В редакторе групповой политики перейдите к Конфигурация пользователя> Административные шаблоны> Компоненты Windows. Прокрутите вниз и нажмите «Установщик Windows» и установите для него значение Всегда устанавливать с повышенными привилегиями .

Этот параметр указывает установщику Windows использовать системные разрешения при установке любой программы в системе.

Этот параметр расширяет привилегии всех программ. Эти привилегии обычно зарезервированы для программ, которые были назначены пользователю (предлагаются на рабочем столе), назначены компьютеру (установлены автоматически) или стали доступны в разделе «Установка и удаление программ» на панели управления. Этот параметр позволяет пользователям устанавливать программы, которым требуется доступ к каталогам, которые пользователь может не иметь разрешения на просмотр или изменение, включая каталоги на компьютерах с ограниченными правами.

Если этот параметр отключен или не настроен, система применяет разрешения текущего пользователя при установке программ, которые системный администратор не распространяет или не предлагает.

Этот параметр отображается в папках «Конфигурация компьютера» и «Конфигурация пользователя». Чтобы этот параметр вступил в силу, необходимо включить параметр в обеих папках.

Опытные пользователи могут использовать разрешения, предоставляемые этим параметром, для изменения своих привилегий и получения постоянного доступа к файлам и папкам с ограниченным доступом. Обратите внимание, что версия этого параметра в конфигурации пользователя не гарантируется как безопасная.

Не запускайте указанные приложения Windows

В редакторе групповой политики перейдите к Конфигурация пользователя> Административные шаблоны> Система

Здесь, на панели RHS, дважды нажмите Не запускать указанные приложения Windows и в открывшемся окне выберите Включено. Теперь под опциями нажмите Показать. В открывшемся новом окне введите путь к приложению, которое вы хотите запретить; в этом случае: msiexec.exe .

Это запретит запуск установщика Windows, который находится в папке C: Windows System32 .

Этот параметр не позволяет Windows запускать программы, указанные в этом параметре. Если вы включите этот параметр, пользователи не смогут запускать программы, добавленные вами в список запрещенных приложений.

Этот параметр запрещает пользователям запускать программы, запускаемые процессом Windows Explorer.Это не мешает пользователям запускать программы, такие как диспетчер задач, которые запускаются системным процессом или другими процессами. Кроме того, если вы разрешаете пользователям получать доступ к командной строке cmd.exe, этот параметр не запрещает им запускать программы в командном окне, которые им не разрешено запускать с помощью проводника Windows. Примечание. Чтобы создать список запрещенных приложений, нажмите «Показать». В диалоговом окне «Показать содержимое» в столбце «Значение» введите имя исполняемого файла приложения (например, msiexec.exe).

Запретить установку программ через редактор реестра

Откройте редактор реестра и перейдите к следующему ключу:

 HKEY_CURRENT_USER  Software  Microsoft  Windows  Текущая версия  Policies  Explorer  DisallowRun 

Создайте строковое значение с любым именем, например, 1, и установите его значение в EXE-файле программы.

Например, если вы хотите ограничить msiexec , создайте строковое значение 1 и установите для него значение msiexec.exe . Если вы хотите ограничить большее количество программ, просто создайте дополнительные строковые значения с именами 2, 3 и т. Д. И установите для их значений исполняемый файл программы.

Возможно, вам придется перезагрузить компьютер.

Также читайте:

1. Запретить пользователям запуск программ в Windows 10/8/7
2. Запускайте только указанные приложения Windows
3. Windows Program Blocker – это бесплатное ПО для блокировки приложений или приложений, блокирующее запуск программного обеспечения.
4. Как заблокировать установку сторонних приложений в Windows 10.

You can if you wish, restrict users from installing or running programs in Windows 11/10/8/7 as well as Windows Vista/XP/2000 & Windows Server family. You can do so by using certain Group Policy settings to control the behavior of the Windows Installer, prevent certain programs from running or restrict via the Registry Editor.

You may see an error message:

The installation is forbidden by system policy, Contact your system administrator

The Windows Installer, msiexec.exe, previously known as Microsoft Installer, is an engine for the installation, maintenance, and removal of software on modern Microsoft Windows systems.

In this post, we will see how to block installation of software in Windows 10/8/7.

Disable or restrict the use of Windows Installer

Type gpedit.msc in start search and hit Enter to open the Group Policy Editor. Navigate to Computer Configurations > Administrative Templates > Windows Components > Windows Installer. In the RHS pane double-click on Disable Windows Installer. Configure the option as required.

This setting can prevent users from installing software on their systems or permit users to install only those programs offered by a system administrator. If you enable this setting, you can use the options in the Disable Windows Installer box to establish an installation setting.

The “Never” option indicates Windows Installer is fully enabled. Users can install and upgrade software. This is the default behavior for Windows Installer on Windows 2000 Professional, Windows XP Professional, and Windows Vista when the policy is not configured.

The “For non-managed apps only” option permits users to install only those programs that a system administrator assigns (offers on the desktop) or publishes (adds them to Add or Remove Programs). This is the default behavior of Windows Installer on Windows Server family when the policy is not configured.

The “Always” option indicates that Windows Installer is disabled.

This setting affects Windows Installer only. It does not prevent users from using other methods to install and upgrade programs.

Always install with elevated privileges

In the Group Policy Editor, navigate to User Configuration > Administrative Templates > Windows Components. Scroll down and click Windows Installer and configure it to Always install with elevated privileges.

This setting directs Windows Installer to use system permissions when it installs any program on the system.

This setting extends elevated privileges to all programs. These privileges are usually reserved for programs that have been assigned to the user (offered on the desktop), assigned to the computer (installed automatically), or made available in Add or Remove Programs in Control Panel. This setting lets users install programs that require access to directories that the user might not have permission to view or change, including directories on highly restricted computers.

If you disable this setting or do not configure it, the system applies the current user’s permissions when it installs programs that a system administrator does not distribute or offer.

This setting appears both in the Computer Configuration and User Configuration folders. To make this setting effective, you must enable the setting in both folders.

Skilled users can take advantage of the permissions this setting grants to change their privileges and gain permanent access to restricted files and folders. Note that the User Configuration version of this setting is not guaranteed to be secure.

TIP: Use AppLocker in Windows to prevent users from installing or running applications.

Don’t run specified Windows applications

In the Group Policy Editor, navigate to User Configuration > Administrative Templates > System

Here in RHS pane, double click Don’t run specified Windows applications and in the new window which opens select Enabled. Now Under Options click Show. In the new windows which opens enter the path of the application you wish to disallow; in this case: msiexec.exe.

This will disallow Windows Installer which is located in C:WindowsSystem32 folder from running.

This setting prevents Windows from running the programs you specify in this setting. If you enable this setting, users cannot run programs that you add to the list of disallowed applications.

This setting only prevents users from running programs that are started by the Windows Explorer process. It does not prevent users from running programs, such as Task Manager, that are started by the system process or by other processes. Also, if you permit users to gain access to the command prompt, cmd.exe, this setting does not prevent them from starting programs in the command window that they are not permitted to start by using Windows Explorer. Note: To create a list of disallowed applications, click Show. In the Show Contents dialog box, in the Value column, type the application executable name (e.g., msiexec.exe).

Restrict Programs from being installed via Registry Editor

Open Registry Editor and navigate to the following key:

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrent VersionPoliciesExplorerDisallowRun

Create String value with any name, like 1, and set its value to the program’s EXE file.

For example, If you want to restrict msiexec, then create a String value 1 and set its value to msiexec.exe. If you want to restrict more programs, then simply create more String values with names 2, 3, and so on and set their values to the program’s exe.

You may have to restart your computer.

Also read:

1. How to block EXE files from running using Group Policy
4. Windows Program Blocker is a free App or Application blocker software to block software from running
5. How to block third-party app installations in Windows.

Доброго времени, уважаемые читатели блога! В данном посте буду собирать ссылки на софт, который удалось заставить устанавливаться или обновляться через GPO Active Directory. Админ, однако, очень не любит ручной труд, который можно автоматизировать, особенно если он однообразен и нуден…

Очень часто выходят обновления для таких компонентов, как Adobe Flash, которые являются потенциальной дырой в браузерах пользователей. Заставить устанавливать такой компонент — пользователя равносильно тому, что совсем его не обновлять. К тому же, необходимы права администратора для данного действия, а пользователь работающий под админом в сети предприятия — это зло, которое так и пытается положить вашу сеть при очередной посещении зловредных ресурсов. И Adobe Flash — это не единственный пример. Посему мы упростим работу себе и обеспечим актуальное состояние софта на рабочих станциях в сети.

Кратко расскажу о установке программ средствами групповых политик Active Directory, назначение пакетов MSI компьютерам (assigning to computer) (взято отсюда):

Задание:

• скопируйте к себе на компьютер файл Microsoft Installer (MSI) программного обеспечения Wininstaller. Поместите этот файл в каталог C:Distrib на своем компьютере и расшарьте его как \имя_вашего_компьютераDistrib$;
• создайте групповую политику WinInstaller, которая бы устанавливала программное обеспечение Wininstaller на все компьютеры вашего домена в режиме назначения для компьютера и произведите установку при помощи этой групповой политики на свой компьютер.

Решение:

1. После создания общего каталога и копирования откройте Group Policy Management Console, щелкните правой кнопкой мыши по узлу вашего домена и в контекстном меню выберите Create and Link a GPO here. Присвойте создаваемое групповой политике название Wininstaller.
2. Щелкните правой кнопкой мыши по объекту созданной групповой политики и в контекстном меню выберите Edit. В окне Group Policy Object Editor раскройте узел Computer Configuration -> Software Settings -> Software installation, щелкните правой кнопкой мыши по узлу Software Installation и в контекстном меню выберите New -> Package.
3. В окне Open введите путь к пакету MSI: \имя_вашего_компьютераDistrib$SWIADMLE.MSI и нажмите Open.
4. В окне Deploy Software установите переключатель в положение Advanced и нажмите OK.
5. В окне WinInstall Properties просмотрите все вкладки и нажмите OK. Закройте окна Group Policy Object Editor и Group Policy Management Console с сохранением внесенных изменений и перезагрузите компьютер. В процессе запуска обратите внимание на строку Installing Managed Software WinInstall, которая появится после строки Applying Computer Settings.
6. После окончания перезагрузки обратите внимание, что в меню Programs появилась новая группа программ.

Если есть желание углубиться в познание AD и GPO, можно ознакомиться с курсом: http://www.intuit.ru/department/os/sysadmswin/, или http://www.intuit.ru/goto/course/netmsserver2003/

Ну что ж, начнем с добычу пакетов MSI:

7-Zip — http://www.7-zip.org/download.html (так же, для пользователя применил скрипт Ассоциации файлов и локализация 7-zip)
Adobe Flash Player — http://www.adobe.com/products/flashplayer/fp_distribution3.html (по ссылке и Flash Plugin и ActiveX)
Adobe Reader — https://acrobat.adobe.com/ru/ru/acrobat/pdf-reader/volume-distribution.html (необходимо оформить бесплатную лицензию)
ftp://ftp.adobe.com/pub/adobe/reader/win/AcrobatDC/1902120058/
(обновления версий в подкаталогах) наложение обновлений Reader:

> mkdir C:TempAdobeReader
> cd C:TempAdobeReader
> msiexec /a AdbeRdr1000_ru_RU.msi TARGETDIR=c:TempAdobeReaderUpdated
> msiexec /a c:TempAdobeUpdatedAdbeRdr1000_ru_RU.msi /p C:TempAdobeReaderAdbeRdrUpd1001_Tier4.msp

Google Chrome — https://www.google.com/intl/en/chrome/business/
JAVA — http://www.java.com/ru/download/ (после распаковки инсталлера, msi в C:Users<User>AppDataLocalLowSun, инструкшн: http://www.java.com/ru/download/help/msi_install.xml)
Mozilla Firefox — http://frontmotion.com/FMFirefoxCE/download_fmfirefoxce.htm
Notepad++ — https://www.hass.de/content/notepad-msi-package-enterprise-deployment-available
OpenOffice — http://www.i-rs.ru/download или http://ru.openoffice.org/ (после распаковки установщика — готовый MSI)
Примечание, возможна ошибка установки OpenOffice на Windows 7.  
Opera — http://ftp.opera.com/pub/opera/win/ (в каталоге _версия_/autoupdate лежит MSI)
Paint.NET — exe берем отсюда: http://paintnet.ru/download/, MSI создаем по инструкции: http://paint-dot-net.narod.ru/help_ru/p5_Install.htm:

> mkdir C:TempPaintNET
> cd C:TempPaintNET
> C:TempPaintNETPaintNET.exe /createMsi CHECKFORUPDATES=0
> забираем готовые MSI с рабочего стола

ДубльГИС — http://krasnodar.2gis.ru/how-get/download/ (мануал http://help.2gis.ru/pc/full/install/corporative/)

Upd 2011.07.01: добавил Opera
Upd 2012.02.23: добавил Chrome
Upd 2018.07.24: добавил Notepad++

С Уважением, Mc.Sim!

Теги: Active Directory, Group Policy, Microsoft Windows, MSI, установка

Whether you manage company computers or don’t want your children playing around with your computer, preventing them from installing software in your Windows isn’t hard. As a matter of fact, too many programs installed can degrade your computer’s performance or worse a huge security risk that cripples your system. Fortunately, there are a lot of techniques to prevent users from installing software in Windows 10, 8 and 7.

Prevent users from installing software in Windows via Local Group Policy Editor

We can use Group Policy Editor to disable the Windows Installer. This is the simplest way to prevent software installation. 

1. Go to Start Menu. In the Search box, type in’gpedit.msc‘ (without quotes) and the Group Policy Editor box should appear.
2. Go to Computer Configurations > Administrative templates > Windows Components > Windows Installer.
3. In the right-hand side pane, look for Turn off Windows Installer, double-click it. Then select Enabled in the top pane.
   The description in the information window next to it tells you that enabling this will “prevent users from installing software on their systems”.
4. Select an option in the bottom pane, the options are ‘Always’, ‘For non-managed applications only’ and ‘Never.’ ‘For non-managed applications only’ means users can only install programs assigned to the desktop by the administrator. ‘Always’ disables Windows Installer altogether while ‘Never’ means it is enabled for all users. Therefore, ‘Always‘ is the best option.
5. Select OK. To test if it works, try to run a Windows Installer package (usually in a msi file extension). It should display an error message “The system administrator has set policies to prevent software installation.“

Prevent running specific Windows Applications via Local Group Policy Editor

In this method, you’ll still use the Local Group Policy Editor,  however,  you need to specify which application to block from running into Windows.

1. Go to Start Menu, In the Search box, type in’gpedit.msc‘ (without quotes) and the Group Policy Editor box should appear.
2. Go to User Configuration > Administrative Templates > System. In the right-hand side pane, look for Don’t Run Specified Windows Applications. As the title implies, this is used for preventing certain programs from being executed, therefore we can also block the Windows Installer using this method.
3. Double-click that and another window appears. When you click Enabled, a new option appears called List of Disallowed Applications. Click Show and a third window appears where you type in the location of the program to be blocked. Now, you’re going to add the Windows Installer Program which is called msiexec.exe and is found at: ‘C:WindowsSystem32msiexec.exe‘. Copy and paste that into the space provided in the box and click OK. The Windows Installer should now be blocked.

Prevent software installation via Registry Editor 

This time, you will use a very important Windows component called Registry Editor or regedit. Take note that Registry is a very critical part of Windows, so make sure to follow the following steps very carefully and change only the part I have specified to avoid any problem. Needless to say, backup your Windows first.

1. Click on Start Menu, In the Search box, type regedit and press Enter.
2. Click Yes when User Account Control window asks you a permission to perform changes to your computer.
3. Navigate to the following key:

   HKEY_LOCAL_MACHINESoftwareClassesMsi.PackageDefaultIcon

   To do this double-click the folder to navigate inside the registry editor or simply copy-and-paste this key into the input box just below the menu bar.

4. On the right side, Right-click (Default), choose Edit and change the 0 to 1 to disable Windows Installer (msiexec.exe).

Finally, restart your PC to allow this change to take effect.

Prevent any Installer Program from running into Windows via Registry Editor

Follow the steps below very carefully as you will use Registry Editor again in this tutorial.

1. Click on Start Menu, In the Search box, type regedit, and press Enter.
2. Click Yes when User Account Control window asks you permission to perform changes to your computer.
   Again, before proceeding, make sure that you strictly follow the steps below or else, you might end-up crippling your Windows.
3. In the Registry Editor. Go to the following key:
   

   HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrent VersionPolicies

4. In the left pane, right-click on Policies, then select New > Key, type in Explorer and press Enter. If the Explorer key already exists, just skip this step.
5. Now, select the Explorer key on the left pane. Right-click an empty area on the right side, select New > DWORD (32-bit) Value.
6. Rename the newly created item to DisallowRun, then double-click it and change its value to 1.
7. Right-click on the Explorer key on the left pane, then select New > Key, type in DisallowRun and press Enter.
8. Select the DisallowRun key on the left pane, then right-click on a blank area and select New > String Value.
9. Create a new String value with a number 1 and set its value to the program’s EXE file you want to block. If you want to add more programs to block, just create more String entries with names 2,3,4 and so on with a corresponding installer’s filename as value.
10. Finally, log-off or restart your PC to allow these changes to take effect. This time, when you open a blocked program, you’ll receive an error message  “This operation has been cancelled due to restrictions in effect on this computer. Please contact your system administrator.”

Third-party options to prevent users from installing software in Windows 10, 8, 7

If you’re uncomfortable playing around with your Windows settings, there are a variety of options to get the job done for you. Here are some third-party softwares that you could use.

Install-Block

Plan: Paid, Free Trial Period
Website: http://bashsoftware.net/

As you can see in the screenshot, the Install-Block program continuously monitors running applications then if the application’s window title matches “install”, “setup” or “license agreement”, it will be blocked.

InstallGuard

Plan: Free
Website: http://www.completelock.com/

It says on their website: “Blocks all installations from starting on your system without your authorization, including Microsoft Installer (msiexec.exe), InstallShield and all other commercial installers. You can also block custom processes (executables) from being executed on your system…” To use InstallGuard (which won’t be discussed here) you should read their help guide first to maximize its potential and to avoid any unwanted result. Visit their website provided above.

WinGuard Pro

Plan: Paid, 30 Days Free Trial
Website: http://www.winguardpro.com/

WinGuard Pro is pretty straightforward to use. To block something, open the program, go to Program Lock tab, then click Lock Program. A list of open apps will then appear in a box and you would choose the one you want to be locked. Hence, you should add all installer programs into the list. One of these is obviously Windows Installer or msiexec.exe.

Помогла ли Вам статья?

1. Отключение или ограничение использования установщика Windows (Windows Installer) с помощью Групповой политики.

Windows Installer (msiexec.exe), является средством  для установки, обслуживания и удаления программного обеспечения системы Windows.

Для того, чтобы установить запрет на установку приложений для всех пользователей, откройте редактор Групповых политик (gpedit.msc) и откройте раздел  Конфигурация компьютера (Computer Configuration) – Административные шаблоны (Administrative Tеmplates) – Компоненты Windows (Windows Components) – Установщик Windows (Windows Installer).В правой части окна Настройки (Settings) выберите строку Отключить Windows Installer (Disable Windows Installer) и дважды щелкните по ней. Значение Disable – отключает возможность установки программ, значение Enable включает ее. Тут все просто.

Запретить же установку приложений конкретному пользователю (учетной записи) можно путем создания соответствующей оснастки. Для этого откройте консоль mmc (в меню Пуск – Поиск) и в меню Файл выберите Добавить оснастку. Откроется список всех доступных компонентов системы. Выберите Group Police (Групповые политики), нажмите стрелку вправо для добавления, а затем нажмите кнопку Browse (Обзор). Выберите вкладку Users (Пользователи), нужную учетную запись и нажмите Ок, а потом Finish (Готово).

В меню Файл выберите “Сохранить как” и присвойте пользовательской оснастке свое имя.

После этого повторите действия, описанные мною выше, только теперь запрет на установку программ будет распространяться лишь на выбранного пользователя.

2) Всегда производить установку с повышенными привилегиями.

В редакторе Групповой политики, перейдите к Конфигурация пользователя — Административные шаблоны — Компоненты Windows. Прокрутите ползунок вниз и выберите установщик Windows и Allwaus install with elevated privileges (Всегда производить установку с повышенными привилегиями).

Этот параметр предписывает Windows Installer использовать системные разрешения при установке любой программы в системе.

Эта настройка распространяется на повышенные привилегии для всех программ. Эти привилегии, как правило, зарезервированы для программ, которые были назначены для пользователя (предлагается на рабочем столе), отнесенные к компьютеру (устанавливается автоматически), или доступны в Установка и удаление программ на панели управления. Этот параметр позволяет пользователям устанавливать программы, которые требуют доступа к каталогам, на которые пользователь может не иметь разрешения для просмотра и изменения.

Примечание: если вы отключите эту опцию или не настроите ее, система будет применять разрешения текущего пользователя (или администратора) при установке программ, т.е. с обычными правами. Этот параметр отображается в редакторе Групповых политик как в разделе Конфигурация компьютера, так и в Конфигурация пользователя. Чтобы этот параметр вступил в силу, его необходимо задать в обоих разделах.

3) Не запускать указанные приложения для Windows.

В редакторе Групповой политики перейдите к Конфигурация пользователя — Административные шаблоны – Система.

Здесь, в боковой панели справа, дважды щелкните Не запускать указанные приложения Windows (Do not run specified Windows applications), и в новом окне, которое откроется, выберите Включено. Теперь разделе Параметры выберите команду Показать (Show). Нажмите Add (Добавить) и в новом окне введите путь, который открывает приложение, которое вы хотите запретить, в данном случае: msiexec.exe.

Это позволит запретить работу Windows Installer, который расположен в C:WindowsSystem32msiexec.exe.

Если этот параметр включен, пользователи не могут запускать программы, которые вы добавляете в список запрещенных приложений.

Примечание: если пользователи имеют доступ к командной строке (cmd.exe), этот параметр не мешает им осуществлять запуск программ в окне командной строки.

И раз уж я завел в этой статье речь о Групповых политиках, хочу поделиться некоторыми полезными сведениями, косвенно относящимся к этой оснастке.

Почти каждая настройка в ОС Windows помимо Групповых политик дублируется в редакторе системного реестра. Но не многие знают, что в сети существует он-лайн севис MSDN, в котором содержится структурированная справочная информация о настройке огромного количества функций Windows через системный реестр. Пользоваться им удобно, нужно лишь знать английский язык. Кроме того, есть также аналогичный справочник в формате документа Exel, который вы можете скачать тут.

4) Запрет установки программ с помощью редактора реестра.

Предварительно сделайте  бэкап нижеуказанной ветки реестра, или создайте точку восстановления.

Откройте редактор реестра (regedit.exe) и перейдите в следующий раздел:

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrent VersionPoliciesExplorerDisallowRun

Создайте в разделе DisallowRun строковой параметр с именем 1 и установите в его значение название EXE-файла программы.

Примечание: если раздел DisallowRun отсутствует, создайте его.

Например, если вы хотите ограничить мsiexec, создайте строковой параметр 1 и установите его значение в msiexec.exe . Если вы хотите ограничить больше программ, то просто создать больше строковых параметров с именами 2, 3 и так далее, и установите их значения в EXE-программы. Перезагрузите компьютер.

5. Запрет запуска программ при помощи Родительского контроля.

В Панели управления откройте апплет Учетные записи пользователей – Управление другой учетной записью. Выберите нужную учетную запись пользователя и установите для нее Родительский контроль:

В следующем окне включите Родительский контроль и Ограничение на запуск программ:

После построения списка, выберите те программы, которые разрешено запускать пользователю. Если в списке нужная программа отсутствует, ее можно добавить вручную, нажав кнопку Обзор.

Нажмите Ок.

Примечание: есть некоторые условия для разрешения/запрета  запуска приложений при помощи Родительского контроля. Во-первых, учетная запись пользователя, для которого вы вводите ограничения должна быть с Обычными правами. Во-вторых, настройка Родительского контроля должна осуществляться с учетной записи, имеющей права Администратора, что очевидно. И в третьих, учетная запись Администратора должна быть защищена паролем.

Ну вот и все. Желаю успешного применения советов, о которых я рассказал в этой статье.

Доброго времени суток, Хабр! Хочу представить интересный, по моему мнению, способ создания msi-инсталляторов для любого программного обеспечения и, как следствие, развертывание его средствами GPO. Подчеркну, что описанный метод не подразумевает создание «слепков» системы, а использует нативные инсталляторы софта, при чем для создания msi применяются только бесплатные для коммерческого использования продукты.

Введение, пара ссылок и дисклеймер

Каждый нормальный инсталлятор ПО имеет возможность автоматической установки с определенными или заложенными по умолчанию параметрами. Суть моего метода проста и заключается в том, чтобы запаковать нативный инсталлятор в «контейнер» msi и запустить его с необходимыми параметрами командной строки. В сети куча информации по автоматической установке того или иного приложения, и я не буду заострять на этом внимание. Наша цель, повторюсь, — установка ПО средствами групповых политик. Кстати, некоторые из вас могут возразить, что установку можно производить через ZAW, но, к сожалению, данный метод применим только для установки с правами текущего пользователя и не может применяться для централизованной автоматической установки приложений.

Интересный цикл статей по установке ПО через ГП. Для новичков рекомендую прочитать все, чтобы потом не спрашивать, чем отличается тип установки «назначенный» от «публичный».

Необходимый софт. Exe to MSI Converter freeware и всем известная orca Первый нужен для того, чтобы создать msi из exe, а вторая — чтобы получившийся msi-ник смог установиться через групповые политики.

Метод не претендует на полную уникальность и в некоторых местах могут встречаться излишества, которых можно было бы избежать, но это связанно отсутствием желания и необходимости слишком глубоко вникать в параметры таблиц msi-пакетов. Первоначальной целью ставилось быстро найти бесплатный способ создания msi и после нескольких часов, проведенных в чтении зарубежных форумов и бесконечных перезагрузках виртуальной машины, метод был найден. Также, статья — это не обзор интерфейса программ, и скриншотов вы не увидите.

Создание и подготовка пакета

Пример установки будет произведен для Mozilla Firefox, т. к. это широко известный продукт, не имеющий msi-инсталлятора от разработчиков.

1. Запускаем exe to msi и указываем в нем путь к exe-установщику firefox. По ранее найденной в сети информации становится понятно, что по-тихому установить огнелиса можно с параметрами -ms -ira. Их-то и указываем во втором поле exe to msi и жмем «Build MSI».
2. Казалось бы все, msi-пакет готов. Действительно, запустив получившийся результат мы получим установленный в системе firefox и в статье можно было бы ставить точку. К сожалению, не все так просто. Текущий пакет установки не пригоден для развертывания через GPO и при загрузке компьютера вы будете получать совершенно ничего не объясняющие ошибки в логах «произошла неисправимая ошибка…» А все дело в том, что разработчики exe to msi тоже хотят есть и их бесплатный продукт генерирует msi «не по правилам».
3. Ну что ж, берем орку и открываем в ней наш эмсиайник.
4. Первым делом находим в левом списке таблицу Property и обращаем внимания на два поля — ProductCode и UpgradeCode. Эти два поля должны быть уникальны для каждого продукта, а наш exe to msi генерит всегда одинаковые. Ну что ж, не беда, жмем в верхнем меню View -> Summary Information, находим поле PackageCode и жмем New GUID. Получившийся результат копируем в буфер обмена и вставляем в ProductCode. Повторяем для UpgradeCode и наконец для самого PackageCode. Тут же в Summary Information правим поле Title на Mozilla Firefox, остальное по желанию. Это, по сути, ни на что не влияет.
5. Опять же в таблице Property меням ProductName на Mozilla Firefox (я до кучи меняю еще ARPCONTACT и Manufacturer). Можно так же поставить правильное значение для ProductVersion.
6. Вроде бы GUID и прочие «IDы» поменяли, но как показывает практика, этого недостаточно. Жмите в orca Tools –> Validate, снимите птицу Show INFO Messages и нажимайте Go.
7. Как видите, вылезла куча ошибок на наличие/отсутствие некоторых таблиц и значений. Я не стал заморачиваться и просто взял первый попавшийся (7zip x64 9.20) небольшой msi и скопировал оттуда 4 недостающие таблицы (через Export-Import, естественно): _Validation, AdminExecuteSequence, AdminUISequence и AdvtExecuteSequence. На самом деле, я уверен, что можно создать «правильный» msi-инсталлятор, без лишнего мусора, но не забывайте, наша цель всего лишь запустить родной setup приложения в тихую.
8. После добавления таблиц проходим снова Tools –> Validate (к слову, первый раз проверку можно вообще не делать и сразу импортировать таблицы). Если вы тоже взяли за основу msi от 7zip, то результатом будет шесть эрроров, которые необходимо устранить. Жмите Close, удаляйте лишние поля, отмеченные красным.
9. В конце можно еще раз проверить валидацию и убедиться что остались лишь ничем не мешающие варнинги. Сохраняем msi.
10. Вот в принципе и все, осталось добавить msi в ГП и назначить необходимые свойства.

Нюансы

1. При установке описанным выше методом у вас появятся как бы две копии софта. Первая — собственно нужное приложение, а вторая — исходный msi-ник, ведь мы же его как бы поставили. В принципе, это ни на что не влияет, кроме как на отображение в «Установка и удаление программ», и то, только в Windows XP (если вы ничего не меняли, кроме указанного мной). Минусом может быть появление лишних программ при автоматической инвентаризации софта, если вы ее используете.
2. Автоматически удалить приложение теми же средствами развертывания не получится. Точнее получится, но удалится только и так не нужный msi-контейнер. Ну можно повозиться со свойствами msi при его создании, чтобы оно захватывало с собой установленное ранее приложение, так же втихую. Я такой задачи не ставил.
3. При установке обновлений ПО нужно указывать в свойствах ГП приложения, чтобы оно заменяло предыдущее, т.е обязательно предварительно удаляло старое. Это гарантирует, что у вас не будут плодиться те самые никому не сдавшиеся левые дубли приложений в «установке и удалении программ».
4. Чтобы установить приложение, имеющее дистрибутив из нескольких файлов, вам придется сначала упаковать его в exe, который при запуске сам распакуется и даст команду для тихой установки. Рекомендую создавать sfx-архивы средствами того же 7-zip.
5. Ничего не мешает ставить ПО через скрипты автозагрузки. Более того, такой метод более гибкий, и я давно его использую через свои скрипты. Вот только использование родных средств ГП получается намного быстрее, т. к. простое создание msi из exe занимает пару минут.
6. Windows 7 почему-то не пишет «Установка управляемого приложения…», а просто говорит «пожалуйста, подождите». При первом развертывании всей кучи софта разом или при установке тяжелого приложения это может сподвигнуть юзера на звонок админу или нажатие кнопки резет.

На этом вроде бы все, надеюсь было интересно, делитесь опытом.