Windows installer group policy windows 7

При желании вы можете запретить пользователям устанавливать или запускать программы в Windows 10/8/7, а также в семействе Windows Vista/XP/2000 и Windows Server. Это можно сделать с помощью определенных параметров Групповой политики , чтобы управлять поведением установщика Windows, запретить запуск или ограничение определенных программ через Редактор реестра . Установщик Windows , msiexec.exe , ранее известный как

При желании вы можете запретить пользователям устанавливать или запускать программы в Windows 10/8/7, а также в семействе Windows Vista/XP/2000 и Windows Server. Это можно сделать с помощью определенных параметров Групповой политики , чтобы управлять поведением установщика Windows, запретить запуск или ограничение определенных программ через Редактор реестра .

Установщик Windows , msiexec.exe , ранее известный как установщик Microsoft, – это механизм установки, обслуживания и удаления программного обеспечения в современных системах Microsoft Windows.

В этом посте мы увидим, как заблокировать установку программного обеспечения в Windows 10/8/7.

Содержание

  1. Отключить или ограничить использование установщика Windows через групповую политику
  2. Всегда устанавливайте с повышенными привилегиями
  3. Не запускайте указанные приложения Windows
  4. Запретить установку программ через редактор реестра

Отключить или ограничить использование установщика Windows через групповую политику

Введите gpedit.msc в начале поиска и нажмите Enter, чтобы открыть редактор групповой политики. Перейдите к Конфигурациям компьютера> Административные шаблоны> Компоненты Windows> Установщик Windows. В панели RHS дважды щелкните Отключить установщик Windows . Настройте опцию как требуется.

Этот параметр может запретить пользователям устанавливать программное обеспечение в своих системах или разрешить пользователям устанавливать только те программы, которые предлагаются системным администратором. Если вы включите этот параметр, вы можете использовать параметры в окне Отключить установщик Windows, чтобы установить параметр установки.

Параметр «Никогда» означает, что установщик Windows полностью включен. Пользователи могут устанавливать и обновлять программное обеспечение. Это поведение по умолчанию для установщика Windows в Windows 2000 Professional, Windows XP Professional и Windows Vista, когда политика не настроена.

Параметр «Только для неуправляемых приложений» позволяет пользователям устанавливать только те программы, которые назначает системный администратор (предлагает на рабочем столе) или публикует (добавляет их в «Установка и удаление программ»). Это поведение по умолчанию установщика Windows в семействе Windows Server 2003, когда политика не настроена.

Параметр «Всегда» означает, что установщик Windows отключен.

Этот параметр влияет только на установщик Windows. Это не мешает пользователям использовать другие методы для установки и обновления программ.

Всегда устанавливайте с повышенными привилегиями

В редакторе групповой политики перейдите к Конфигурация пользователя> Административные шаблоны> Компоненты Windows. Прокрутите вниз и нажмите «Установщик Windows» и установите для него значение Всегда устанавливать с повышенными привилегиями .

Этот параметр указывает установщику Windows использовать системные разрешения при установке любой программы в системе.

Этот параметр расширяет привилегии всех программ. Эти привилегии обычно зарезервированы для программ, которые были назначены пользователю (предлагаются на рабочем столе), назначены компьютеру (установлены автоматически) или стали доступны в разделе «Установка и удаление программ» на панели управления. Этот параметр позволяет пользователям устанавливать программы, которым требуется доступ к каталогам, которые пользователь может не иметь разрешения на просмотр или изменение, включая каталоги на компьютерах с ограниченными правами.

Если этот параметр отключен или не настроен, система применяет разрешения текущего пользователя при установке программ, которые системный администратор не распространяет или не предлагает.

Этот параметр отображается в папках «Конфигурация компьютера» и «Конфигурация пользователя». Чтобы этот параметр вступил в силу, необходимо включить параметр в обеих папках.

Опытные пользователи могут использовать разрешения, предоставляемые этим параметром, для изменения своих привилегий и получения постоянного доступа к файлам и папкам с ограниченным доступом. Обратите внимание, что версия этого параметра в конфигурации пользователя не гарантируется как безопасная.

Не запускайте указанные приложения Windows

В редакторе групповой политики перейдите к Конфигурация пользователя> Административные шаблоны> Система

Здесь, на панели RHS, дважды нажмите Не запускать указанные приложения Windows и в открывшемся окне выберите Включено. Теперь под опциями нажмите Показать. В открывшемся новом окне введите путь к приложению, которое вы хотите запретить; в этом случае: msiexec.exe .

Это запретит запуск установщика Windows, который находится в папке C: Windows System32 .

Этот параметр не позволяет Windows запускать программы, указанные в этом параметре. Если вы включите этот параметр, пользователи не смогут запускать программы, добавленные вами в список запрещенных приложений.

Этот параметр запрещает пользователям запускать программы, запускаемые процессом Windows Explorer.Это не мешает пользователям запускать программы, такие как диспетчер задач, которые запускаются системным процессом или другими процессами. Кроме того, если вы разрешаете пользователям получать доступ к командной строке cmd.exe, этот параметр не запрещает им запускать программы в командном окне, которые им не разрешено запускать с помощью проводника Windows. Примечание. Чтобы создать список запрещенных приложений, нажмите «Показать». В диалоговом окне «Показать содержимое» в столбце «Значение» введите имя исполняемого файла приложения (например, msiexec.exe).

Запретить установку программ через редактор реестра

Откройте редактор реестра и перейдите к следующему ключу:

 HKEY_CURRENT_USER  Software  Microsoft  Windows  Текущая версия  Policies  Explorer  DisallowRun 

Создайте строковое значение с любым именем, например, 1, и установите его значение в EXE-файле программы.

Например, если вы хотите ограничить msiexec , создайте строковое значение 1 и установите для него значение msiexec.exe . Если вы хотите ограничить большее количество программ, просто создайте дополнительные строковые значения с именами 2, 3 и т. Д. И установите для их значений исполняемый файл программы.

Возможно, вам придется перезагрузить компьютер.

Также читайте:

  1. Запретить пользователям запуск программ в Windows 10/8/7
  2. Запускайте только указанные приложения Windows
  3. Windows Program Blocker – это бесплатное ПО для блокировки приложений или приложений, блокирующее запуск программного обеспечения.
  4. Как заблокировать установку сторонних приложений в Windows 10.

You can if you wish, restrict users from installing or running programs in Windows 11/10/8/7 as well as Windows Vista/XP/2000 & Windows Server family. You can do so by using certain Group Policy settings to control the behavior of the Windows Installer, prevent certain programs from running or restrict via the Registry Editor.

You may see an error message:

The installation is forbidden by system policy, Contact your system administrator

The Windows Installer, msiexec.exe, previously known as Microsoft Installer, is an engine for the installation, maintenance, and removal of software on modern Microsoft Windows systems.

In this post, we will see how to block installation of software in Windows 10/8/7.

Disable or restrict the use of Windows Installer

Type gpedit.msc in start search and hit Enter to open the Group Policy Editor. Navigate to Computer Configurations > Administrative Templates > Windows Components > Windows Installer. In the RHS pane double-click on Disable Windows Installer. Configure the option as required.

This setting can prevent users from installing software on their systems or permit users to install only those programs offered by a system administrator. If you enable this setting, you can use the options in the Disable Windows Installer box to establish an installation setting.

The “Never” option indicates Windows Installer is fully enabled. Users can install and upgrade software. This is the default behavior for Windows Installer on Windows 2000 Professional, Windows XP Professional, and Windows Vista when the policy is not configured.

The “For non-managed apps only” option permits users to install only those programs that a system administrator assigns (offers on the desktop) or publishes (adds them to Add or Remove Programs). This is the default behavior of Windows Installer on Windows Server family when the policy is not configured.

The “Always” option indicates that Windows Installer is disabled.

This setting affects Windows Installer only. It does not prevent users from using other methods to install and upgrade programs.

Always install with elevated privileges

In the Group Policy Editor, navigate to User Configuration > Administrative Templates > Windows Components. Scroll down and click Windows Installer and configure it to Always install with elevated privileges.

This setting directs Windows Installer to use system permissions when it installs any program on the system.

This setting extends elevated privileges to all programs. These privileges are usually reserved for programs that have been assigned to the user (offered on the desktop), assigned to the computer (installed automatically), or made available in Add or Remove Programs in Control Panel. This setting lets users install programs that require access to directories that the user might not have permission to view or change, including directories on highly restricted computers.

If you disable this setting or do not configure it, the system applies the current user’s permissions when it installs programs that a system administrator does not distribute or offer.

This setting appears both in the Computer Configuration and User Configuration folders. To make this setting effective, you must enable the setting in both folders.

Skilled users can take advantage of the permissions this setting grants to change their privileges and gain permanent access to restricted files and folders. Note that the User Configuration version of this setting is not guaranteed to be secure.

TIP: Use AppLocker in Windows to prevent users from installing or running applications.

Don’t run specified Windows applications

In the Group Policy Editor, navigate to User Configuration > Administrative Templates > System

Here in RHS pane, double click Don’t run specified Windows applications and in the new window which opens select Enabled. Now Under Options click Show. In the new windows which opens enter the path of the application you wish to disallow; in this case: msiexec.exe.

This will disallow Windows Installer which is located in C:WindowsSystem32 folder from running.

This setting prevents Windows from running the programs you specify in this setting. If you enable this setting, users cannot run programs that you add to the list of disallowed applications.

This setting only prevents users from running programs that are started by the Windows Explorer process. It does not prevent users from running programs, such as Task Manager, that are started by the system process or by other processes. Also, if you permit users to gain access to the command prompt, cmd.exe, this setting does not prevent them from starting programs in the command window that they are not permitted to start by using Windows Explorer. Note: To create a list of disallowed applications, click Show. In the Show Contents dialog box, in the Value column, type the application executable name (e.g., msiexec.exe).

Restrict Programs from being installed via Registry Editor

Open Registry Editor and navigate to the following key:

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrent VersionPoliciesExplorerDisallowRun

Create String value with any name, like 1, and set its value to the program’s EXE file.

For example, If you want to restrict msiexec, then create a String value 1 and set its value to msiexec.exe. If you want to restrict more programs, then simply create more String values with names 2, 3, and so on and set their values to the program’s exe.

You may have to restart your computer.

Also read:

  1. How to block EXE files from running using Group Policy
  2. Windows Program Blocker is a free App or Application blocker software to block software from running
  3. How to block third-party app installations in Windows.

Установка программ через AD GPOДоброго времени, уважаемые читатели блога! В данном посте буду собирать ссылки на софт, который удалось заставить устанавливаться или обновляться через GPO Active Directory. Админ, однако, очень не любит ручной труд, который можно автоматизировать, особенно если он однообразен и нуден…

Очень часто выходят обновления для таких компонентов, как Adobe Flash, которые являются потенциальной дырой в браузерах пользователей. Заставить устанавливать такой компонент — пользователя равносильно тому, что совсем его не обновлять. К тому же, необходимы права администратора для данного действия, а пользователь работающий под админом в сети предприятия — это зло, которое так и пытается положить вашу сеть при очередной посещении зловредных ресурсов. И Adobe Flash — это не единственный пример. Посему мы упростим работу себе и обеспечим актуальное состояние софта на рабочих станциях в сети.

Кратко расскажу о установке программ средствами групповых политик Active Directory, назначение пакетов MSI компьютерам (assigning to computer) (взято отсюда):

Задание:

  • скопируйте к себе на компьютер файл Microsoft Installer (MSI) программного обеспечения Wininstaller. Поместите этот файл в каталог C:Distrib на своем компьютере и расшарьте его как \имя_вашего_компьютераDistrib$;
  • создайте групповую политику WinInstaller, которая бы устанавливала программное обеспечение Wininstaller на все компьютеры вашего домена в режиме назначения для компьютера и произведите установку при помощи этой групповой политики на свой компьютер.

Решение:

  1. После создания общего каталога и копирования откройте Group Policy Management Console, щелкните правой кнопкой мыши по узлу вашего домена и в контекстном меню выберите Create and Link a GPO here. Присвойте создаваемое групповой политике название Wininstaller.
  2. Щелкните правой кнопкой мыши по объекту созданной групповой политики и в контекстном меню выберите Edit. В окне Group Policy Object Editor раскройте узел Computer Configuration -> Software Settings -> Software installation, щелкните правой кнопкой мыши по узлу Software Installation и в контекстном меню выберите New -> Package.
  3. В окне Open введите путь к пакету MSI: \имя_вашего_компьютераDistrib$SWIADMLE.MSI и нажмите Open.
  4. В окне Deploy Software установите переключатель в положение Advanced и нажмите OK.
  5. В окне WinInstall Properties просмотрите все вкладки и нажмите OK. Закройте окна Group Policy Object Editor и Group Policy Management Console с сохранением внесенных изменений и перезагрузите компьютер. В процессе запуска обратите внимание на строку Installing Managed Software WinInstall, которая появится после строки Applying Computer Settings.
  6. После окончания перезагрузки обратите внимание, что в меню Programs появилась новая группа программ.

Если есть желание углубиться в познание AD и GPO, можно ознакомиться с курсом: http://www.intuit.ru/department/os/sysadmswin/, или http://www.intuit.ru/goto/course/netmsserver2003/

Ну что ж, начнем с добычу пакетов MSI:

7-Zip — http://www.7-zip.org/download.html (так же, для пользователя применил скрипт Ассоциации файлов и локализация 7-zip)
Adobe Flash Player — http://www.adobe.com/products/flashplayer/fp_distribution3.html (по ссылке и Flash Plugin и ActiveX)
Adobe Reader — https://acrobat.adobe.com/ru/ru/acrobat/pdf-reader/volume-distribution.html (необходимо оформить бесплатную лицензию)
ftp://ftp.adobe.com/pub/adobe/reader/win/AcrobatDC/1902120058/
(обновления версий в подкаталогах) наложение обновлений Reader:

> mkdir C:TempAdobeReader
> cd C:TempAdobeReader
> msiexec /a AdbeRdr1000_ru_RU.msi TARGETDIR=c:TempAdobeReaderUpdated
> msiexec /a c:TempAdobeUpdatedAdbeRdr1000_ru_RU.msi /p C:TempAdobeReaderAdbeRdrUpd1001_Tier4.msp

Google Chrome — https://www.google.com/intl/en/chrome/business/
JAVA
— http://www.java.com/ru/download/ (после распаковки инсталлера, msi в C:Users<User>AppDataLocalLowSun, инструкшн: http://www.java.com/ru/download/help/msi_install.xml)
Mozilla Firefox — http://frontmotion.com/FMFirefoxCE/download_fmfirefoxce.htm
Notepad++ — https://www.hass.de/content/notepad-msi-package-enterprise-deployment-available
OpenOffice — http://www.i-rs.ru/download или http://ru.openoffice.org/ (после распаковки установщика — готовый MSI)
Примечание, возможна ошибка установки OpenOffice на Windows 7.  
Opera — http://ftp.opera.com/pub/opera/win/ (в каталоге _версия_/autoupdate лежит MSI)
Paint.NET — exe берем отсюда: http://paintnet.ru/download/, MSI создаем по инструкции: http://paint-dot-net.narod.ru/help_ru/p5_Install.htm:

> mkdir C:TempPaintNET
> cd C:TempPaintNET
> C:TempPaintNETPaintNET.exe /createMsi CHECKFORUPDATES=0
> забираем готовые MSI с рабочего стола

ДубльГИС — http://krasnodar.2gis.ru/how-get/download/ (мануал http://help.2gis.ru/pc/full/install/corporative/)

Upd 2011.07.01: добавил Opera
Upd 2012.02.23: добавил Chrome
Upd 2018.07.24: добавил Notepad++

С Уважением, Mc.Sim!


Теги: Active Directory, Group Policy, Microsoft Windows, MSI, установка

Whether you manage company computers or don’t want your children playing around with your computer, preventing them from installing software in your Windows isn’t hard. As a matter of fact, too many programs installed can degrade your computer’s performance or worse a huge security risk that cripples your system. Fortunately, there are a lot of techniques to prevent users from installing software in Windows 10, 8 and 7.

Prevent users from installing software in Windows via Local Group Policy Editor

We can use Group Policy Editor to disable the Windows Installer. This is the simplest way to prevent software installation. 

  1. Go to Start Menu. In the Search box, type in’gpedit.msc‘ (without quotes) and the Group Policy Editor box should appear.
  2. Go to Computer Configurations > Administrative templates > Windows Components > Windows Installer.
  3. In the right-hand side pane, look for Turn off Windows Installer, double-click it. Then select Enabled in the top pane.
    The description in the information window next to it tells you that enabling this will “prevent users from installing software on their systems”.
  4. Select an option in the bottom pane, the options are ‘Always’, ‘For non-managed applications only’ and ‘Never.’ ‘For non-managed applications only’ means users can only install programs assigned to the desktop by the administrator. ‘Always’ disables Windows Installer altogether while ‘Never’ means it is enabled for all users. Therefore, ‘Always‘ is the best option.
  5. Select OK. To test if it works, try to run a Windows Installer package (usually in a msi file extension). It should display an error message “The system administrator has set policies to prevent software installation.

Prevent users from installing software via Group Policy Editor

Prevent running specific Windows Applications via Local Group Policy Editor

In this method, you’ll still use the Local Group Policy Editor,  however,  you need to specify which application to block from running into Windows.

  1. Go to Start Menu, In the Search box, type in’gpedit.msc‘ (without quotes) and the Group Policy Editor box should appear.
  2. Go to User Configuration > Administrative Templates > System. In the right-hand side pane, look for Don’t Run Specified Windows Applications. As the title implies, this is used for preventing certain programs from being executed, therefore we can also block the Windows Installer using this method.
  3. Double-click that and another window appears. When you click Enabled, a new option appears called List of Disallowed Applications. Click Show and a third window appears where you type in the location of the program to be blocked. Now, you’re going to add the Windows Installer Program which is called msiexec.exe and is found at: ‘C:WindowsSystem32msiexec.exe‘. Copy and paste that into the space provided in the box and click OK. The Windows Installer should now be blocked.

Prevent software installation via Registry Editor 

This time, you will use a very important Windows component called Registry Editor or regedit. Take note that Registry is a very critical part of Windows, so make sure to follow the following steps very carefully and change only the part I have specified to avoid any problem. Needless to say, backup your Windows first.

  1. Click on Start Menu, In the Search box, type regedit and press Enter.
  2. Click Yes when User Account Control window asks you a permission to perform changes to your computer.
  3. Navigate to the following key:
    HKEY_LOCAL_MACHINESoftwareClassesMsi.PackageDefaultIcon

    To do this double-click the folder to navigate inside the registry editor or simply copy-and-paste this key into the input box just below the menu bar.

  4. On the right side, Right-click (Default), choose Edit and change the 0 to 1 to disable Windows Installer (msiexec.exe).

Finally, restart your PC to allow this change to take effect.Disable Windows Installer via regedit

Prevent any Installer Program from running into Windows via Registry Editor

Follow the steps below very carefully as you will use Registry Editor again in this tutorial.

  1. Click on Start Menu, In the Search box, type regedit, and press Enter.
  2. Click Yes when User Account Control window asks you permission to perform changes to your computer.
    Again, before proceeding, make sure that you strictly follow the steps below or else, you might end-up crippling your Windows.
  3. In the Registry Editor. Go to the following key:

    HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrent VersionPolicies
  4. In the left pane, right-click on Policies, then select New > Key, type in Explorer and press Enter. If the Explorer key already exists, just skip this step.
  5. Now, select the Explorer key on the left pane. Right-click an empty area on the right side, select New > DWORD (32-bit) Value.
  6. Rename the newly created item to DisallowRun, then double-click it and change its value to 1.
  7. Right-click on the Explorer key on the left pane, then select New > Key, type in DisallowRun and press Enter.
  8. Select the DisallowRun key on the left pane, then right-click on a blank area and select New > String Value.
  9. Create a new String value with a number 1 and set its value to the program’s EXE file you want to block. If you want to add more programs to block, just create more String entries with names 2,3,4 and so on with a corresponding installer’s filename as value.
  10. Finally, log-off or restart your PC to allow these changes to take effect. This time, when you open a blocked program, you’ll receive an error message  “This operation has been cancelled due to restrictions in effect on this computer. Please contact your system administrator.

Third-party options to prevent users from installing software in Windows 10, 8, 7

If you’re uncomfortable playing around with your Windows settings, there are a variety of options to get the job done for you. Here are some third-party softwares that you could use.

Install-Block

Plan: Paid, Free Trial Period
Website: http://bashsoftware.net/

As you can see in the screenshot, the Install-Block program continuously monitors running applications then if the application’s window title matches “install”, “setup” or “license agreement”, it will be blocked.

InstallGuard

Plan: Free
Website: http://www.completelock.com/

It says on their website: “Blocks all installations from starting on your system without your authorization, including Microsoft Installer (msiexec.exe), InstallShield and all other commercial installers. You can also block custom processes (executables) from being executed on your system…” To use InstallGuard (which won’t be discussed here) you should read their help guide first to maximize its potential and to avoid any unwanted result. Visit their website provided above.

WinGuard Pro

Plan: Paid, 30 Days Free Trial
Website: http://www.winguardpro.com/

WinGuard Pro is pretty straightforward to use. To block something, open the program, go to Program Lock tab, then click Lock Program. A list of open apps will then appear in a box and you would choose the one you want to be locked. Hence, you should add all installer programs into the list. One of these is obviously Windows Installer or msiexec.exe.

Содержание

  • Способ 1: Редактирование локальных групповых политик
  • Способ 2: Проверка каталога «Installer» через «Редактор реестра»
    • Вариант 1: Изменение содержимого раздела «Installer»
    • Вариант 2: Удаление раздела «Installer»
  • Способ 3: Проверка «Локальной политики безопасности»
  • Способ 4: Изменение параметров контроля учетных записей
  • Вопросы и ответы

Данная установка запрещена политикой, заданной системным администратором

Способ 1: Редактирование локальных групповых политик

Уточним, что «Редактор локальной групповой политики» доступен только в версиях Windows Профессиональная и Корпоративная. Если вы выполнили команду из следующей инструкции и оказалось, что этот инструмент отсутствует, переходите к Способу 2, где практически те же действия производятся при помощи «Редактора реестра».

  1. Обладателям упомянутых сборок потребуется открыть утилиту «Выполнить» комбинацией клавиш Win + R, в поле ввести gpedit.msc и нажать на Enter для подтверждения команды.
  2. Запуск редактора локальной групповой политики для исправления ошибки Данная установка запрещена политикой, заданной системным администратором

  3. В появившемся окне «Редактора локальной групповой политики» откройте раздел «Конфигурация компьютера», выберите каталог «Административные шаблоны» и перейдите к подпапке «Компоненты Windows».
  4. Переход по пути в папке редактора локальной групповой политики для решения ошибкиДанная установка запрещена политикой, заданной системным администратором

  5. Разверните каталог «Установщик Windows».
  6. Открытие папки с групповыми политиками для решения ошибки Данная установка запрещена политикой, заданной системным администратором

  7. Удостоверьтесь, что абсолютно все параметры находятся в состоянии «Не задано».
  8. Просмотр значений групповых политик для решения ошибки Данная установка запрещена политикой, заданной системным администратором

  9. Если это не так, нажмите по необходимой строке дважды и в окне настройки отметьте маркером соответствующий пункт. Перед выходом не забудьте применить изменения.
  10. Изменение значений групповых политик для решения ошибки Данная установка запрещена политикой, заданной системным администратором

Лучше перезагрузить компьютер, чтобы новые настройки вступили в силу. При запуске нового сеанса проверьте, была ли исправлена ошибка «Данная установка запрещена политикой, заданной системным администратором». Если она снова появляется при попытке инсталлировать софт, приступайте к выполнению следующих методов.

Способ 2: Проверка каталога «Installer» через «Редактор реестра»

Рассматриваемая проблема бывает напрямую связана с наличием папки «Installer» в системном реестре. В ее устранении может помочь как редактирование параметров этого каталога, так и удаление его целиком.

Вариант 1: Изменение содержимого раздела «Installer»

Этот метод подразумевает настройку ключей внутри него, приводя их в состояние, при котором политики, отклоняющие удаление софта, попросту не будут функционировать.

  1. Через ту же утилиту «Выполнить» (Win + R) зайдите в «Редактор реестра», вписав в поле команду regedit и активировав ее нажатием по Enter.
  2. Переход в редактор реестра для удаления папки при решении ошибки Данная установка запрещена политикой, заданной системным администратором

  3. Вставьте в адресную строку путь HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows и перейдите по нему.
  4. Переход по пути для создания папки в редакторе реестра при решении ошибки Данная установка запрещена политикой, заданной системным администратором

  5. На панели слева найдите рассматриваемую папку, а в случае ее отсутствия — создайте.
  6. Создание папки в редакторе реестра для решения ошибки Данная установка запрещена политикой, заданной системным администратором

  7. В корне каталога щелкните ПКМ, наведите курсор на «Создать» и добавьте три параметра DWORD.
  8. Создание параметров в редакторе реестра для решения ошибки Данная установка запрещена политикой, заданной системным администратором

  9. Каждому присвойте название «DisableMSI», «DisableLUAPatching» и «DisablePatch» соответственно.
  10. Название параметров в редакторе реестра для решения ошибки Данная установка запрещена политикой, заданной системным администратором

    Lumpics.ru

  11. Дважды щелкните по каждой строке и проверьте, чтобы значение было «0».
  12. Настройка параметров в редакторе реестра для решения ошибки Данная установка запрещена политикой, заданной системным администратором

Уже по традиции выполните перезагрузку ПК и переходите к инсталляции проблемного софта.

Вариант 2: Удаление раздела «Installer»

За действие политики может отвечать каталог с параметрами в реестре, провоцируя появление ошибки при инсталляции определенных программ. Лучший способ проверить это — найти каталог и, в случае его наличия, удалить.

  1. Перейдите по первому пути HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows, вставив этот адрес в адресную строку.
  2. Переход по пути в редакторе реестра для решения ошибки Данная установка запрещена политикой, заданной системным администратором

  3. Слева найдите папку «Installer», а если она отсутствует, проверьте второй путь (см. шаг 5).
  4. Выбор папки для удаления в редакторе реестра при решении ошибки Данная установка запрещена политикой, заданной системным администратором

  5. При наличии директории кликните по ней ПКМ и в контекстном меню выберите пункт «Удалить».
  6. Удаление папки в редакторе реестра для решения ошибки Данная установка запрещена политикой, заданной системным администратором

  7. Второй путь — HKEY_CURRENT_USERSOFTWAREPoliciesMicrosoftWindows. В нем предстоит отыскать и удалить тот же каталог.
  8. Переход по второму пути в редакторе реестра для проверки папки при решении ошибки Данная установка запрещена политикой, заданной системным администратором

Известно, что изменения, внесенные в реестр, применяются преимущественно после перезагрузки компьютера, поэтому снова произведите это действие, а затем запустите повторную инсталляцию проблемной программы.

Способ 3: Проверка «Локальной политики безопасности»

В приложении «Локальная политика безопасности» есть несколько параметров, влияющих на установку программного обеспечения. Если их настройки сбились, изменились сторонними средствами или администратором, возможно появление рассматриваемой в этой статье проблемы. Для проверки параметров выполните следующие действия:

  1. В меню «Пуск» через поиск отыщите приложение «Средства администрирования Windows».
  2. Запуск Администрирование для решения ошибки Данная установка запрещена политикой, заданной системным администратором

  3. Появится меню «Администрирование», где дважды кликните по пункту «Локальная политика безопасности».
  4. Переход к локальной политике безопасности для решения ошибки Данная установка запрещена политикой, заданной системным администратором

  5. В окне управления выделите «Политики ограниченного использования программ». Если появилось уведомление, что политики не определены, щелкните по папке ПКМ и выберите пункт «Создать политику ограниченного использования программ».
  6. Настройка параметров локальной политики безопасности для решения ошибки Данная установка запрещена политикой, заданной системным администратором

  7. Теперь в каталог добавится несколько объектов, среди которых следует найти «Применение» и сделать по нему двойной клик ЛКМ.
  8. Выбор параметра локальной политики безопасности для решения ошибки Данная установка запрещена политикой, заданной системным администратором

  9. Примените политику «Всех пользователей, кроме локальных администраторов» и сохраните данную настройку.
  10. Настройка локальной политики безопасности для решения ошибки Данная установка запрещена политикой, заданной системным администратором

Сейчас можно не перезагружать операционную систему, а сразу перейти к проверке эффективности выполненных инструкций. Не меняйте настройку обратно, даже если результат все еще окажется неудовлетворительным.

Способ 4: Изменение параметров контроля учетных записей

Этот метод крайне редко оказывается эффективным, однако его необходимо попробовать реализовать, если ничего из вышеперечисленного не помогло. Суть способа состоит в том, чтобы изменить параметры контроля учетных записей, разрешив тем самым установку приложений без отправки уведомлений администратору.

  1. Откройте меню «Пуск», где отыщите это меню, введя его название.
  2. Переход к проверке контроля учетных записей для решения ошибки Данная установка запрещена политикой, заданной системным администратором

  3. После открытия переместите ползунок в состояние «Никогда не уведомлять».
  4. Проверка контроля учетных записей для решения ошибки Данная установка запрещена политикой, заданной системным администратором

  5. Обязательно нажмите «ОК», чтобы применить новые параметры.
  6. Применение контроля учетных записей для решения проблемы Данная установка запрещена политикой, заданной системным администратором

Теперь системный администратор не будет получать уведомлений о любых изменениях, вносимых в ОС, поэтому вы можете смело переходить к установке софта, проверяя, как новые параметры повлияли на этот процесс.

Еще статьи по данной теме:

Помогла ли Вам статья?

Наиболее часто встречаемой проблемой, из-за которой пользователи не могут открыть этот файл, является неверно назначенная программа.
Чтобы исправить это в ОС Windows вам необходимо нажать правой кнопкой на файле, в контекстном меню навести мышь на пункт «Открыть с помощью»,
а выпадающем меню выбрать пункт «Выбрать программу…». В результате вы увидите список установленных программ на вашем компьютере,
и сможете выбрать подходящую. Рекомендуем также поставить галочку напротив пункта «Использовать это приложение для всех файлов MSI».

Другая проблема, с которой наши пользователи также встречаются довольно часто — файл MSI поврежден.
Такая ситуация может возникнуть в массе случаев. Например: файл был скачан не польностью в результате ошибки сервера,
файл был поврежден изначально и пр. Для устранения данной проблемы воспользуйтесь одной из рекомендаций:

  • Попробуйте найти нужный файл в другом источнике в сети интернет. Возможно вам повезет найти более подходящую версию. Пример поиска в Google: «Файл filetype:MSI» . Просто замените слово «файл» на нужное вам название;
  • Попросите прислать вам исходный файл еще раз, возможно он был поврежден при передаче;

При наличии на компьютере установленной антивирусной программы
можносканировать все файлы на компьютере, а также каждый файл в отдельности
. Можно выполнить сканирование любого файла, щелкнув правой кнопкой мыши на файл и выбрав соответствующую опцию для выполнения проверки файла на наличие вирусов.

Например, на данном рисунке выделен файл my-file.msi
, далее необходимо щелкнуть правой кнопкой мыши по этому файлу, и в меню файла выбрать опцию «сканировать с помощью AVG»
. При выборе данного параметра откроется AVG Antivirus, который выполнит проверку данного файла на наличие вирусов.

Иногда ошибка может возникнуть в результате неверной установки программного обеспечения
, что может быть связано с проблемой, возникшей в процессе установки. Это может помешать вашей операционной системе связать ваш файл MSI с правильным прикладным программным средством
, оказывая влияние на так называемые «ассоциации расширений файлов»
.

Иногда простая переустановка 7-Zip
может решить вашу проблему, правильно связав MSI с 7-Zip. В других случаях проблемы с файловыми ассоциациями могут возникнуть в результате плохого программирования программного обеспечения
разработчиком, и вам может потребоваться связаться с разработчиком для получения дополнительной помощи.

Совет:
Попробуйте обновить 7-Zip до последней версии, чтобы убедиться, что установлены последние исправления и обновления.

Это может показаться слишком очевидным, но зачастую непосредственно сам файл MSI может являться причиной проблемы
. Если вы получили файл через вложение электронной почты или загрузили его с веб-сайта, и процесс загрузки был прерван (например, отключение питания или по другой причине), файл может повредиться
. Если возможно, попробуйте получить новую копию файла MSI и попытайтесь открыть его снова.

Осторожно:
Поврежденный файл может повлечь за собой возникновение сопутствующего ущерба предыдущей или уже существующей вредоносной программы на вашем ПК, поэтому очень важно, чтобы на вашем компьютере постоянно работал обновленный антивирус.

Если ваш файл MSI связан с аппаратным обеспечением на вашем компьютере
, чтобы открыть файл вам может потребоваться обновить драйверы устройств
, связанных с этим оборудованием.

Эта проблема обычно связана с типами мультимедийных файлов
, которые зависят от успешного открытия аппаратного обеспечения внутри компьютера, например, звуковой карты или видеокарты
. Например, если вы пытаетесь открыть аудиофайл, но не можете его открыть, вам может потребоваться обновить драйверы звуковой карты
.

Совет:
Если при попытке открыть файл MSI вы получаете сообщение об ошибке, связанной с.SYS file
, проблема, вероятно, может быть связана с поврежденными или устаревшими драйверами устройств
, которые необходимо обновить. Данный процесс можно облегчить посредством использования программного обеспечения для обновления драйверов, такого как DriverDoc .

Если шаги не решили проблему
, и у вас все еще возникают проблемы с открытием файлов MSI, это может быть связано с отсутствием доступных системных ресурсов
. Для некоторых версий файлов MSI могут потребоваться значительный объем ресурсов (например, память/ОЗУ, вычислительная мощность) для надлежащего открытия на вашем компьютере. Такая проблема встречается достаточно часто, если вы используете достаточно старое компьютерное аппаратное обеспечение
и одновременно гораздо более новую операционную систему.

Такая проблема может возникнуть, когда компьютеру трудно справиться с заданием, так как операционная система (и другие службы, работающие в фоновом режиме) могут потреблять слишком много ресурсов для открытия файла MSI
. Попробуйте закрыть все приложения на вашем ПК, прежде чем открывать Windows Installer Package. Освободив все доступные ресурсы на вашем компьютере вы обеспечите налучшие условия для попытки открыть файл MSI.

Если вы выполнили все описанные выше шаги
, а ваш файл MSI по-прежнему не открывается, может потребоваться выполнить обновление оборудования
. В большинстве случаев, даже при использовании старых версий оборудования, вычислительная мощность может по-прежнему быть более чем достаточной для большинства пользовательских приложений (если вы не выполняете много ресурсоемкой работы процессора, такой как 3D-рендеринг, финансовое/научное моделирование или интенсивная мультимедийная работа). Таким образом, вполне вероятно, что вашему компьютеру не хватает необходимого объема памяти
(чаще называемой «ОЗУ», или оперативной памятью) для выполнения задачи открытия файла.

Доброго времени суток, Хабр! Хочу представить интересный, по моему мнению, способ создания msi-инсталляторов для любого программного обеспечения и, как следствие, развертывание его средствами GPO. Подчеркну, что описанный метод не подразумевает создание «слепков» системы, а использует нативные инсталляторы софта, при чем для создания msi применяются только бесплатные для коммерческого использования продукты.

Введение, пара ссылок и дисклеймер

Каждый нормальный инсталлятор ПО имеет возможность автоматической установки с определенными или заложенными по умолчанию параметрами. Суть моего метода проста и заключается в том, чтобы запаковать нативный инсталлятор в «контейнер» msi и запустить его с необходимыми параметрами командной строки. В сети куча информации по автоматической установке того или иного приложения, и я не буду заострять на этом внимание. Наша цель, повторюсь, — установка ПО средствами групповых политик. Кстати, некоторые из вас могут возразить, что установку можно производить через ZAW, но, к сожалению, данный метод применим только для установки с правами текущего пользователя и не может применяться для централизованной автоматической установки приложений.

Интересный цикл статей по установке ПО через ГП . Для новичков рекомендую прочитать все, чтобы потом не спрашивать, чем отличается тип установки «назначенный» от «публичный».

Необходимый софт. Exe to MSI Converter freeware и всем известная orca Первый нужен для того, чтобы создать msi из exe, а вторая — чтобы получившийся msi-ник смог установиться через групповые политики.

Метод не претендует на полную уникальность и в некоторых местах могут встречаться излишества, которых можно было бы избежать, но это связанно отсутствием желания и необходимости слишком глубоко вникать в параметры таблиц msi-пакетов. Первоначальной целью ставилось быстро найти бесплатный способ создания msi и после нескольких часов, проведенных в чтении зарубежных форумов и бесконечных перезагрузках виртуальной машины, метод был найден. Также, статья — это не обзор интерфейса программ, и скриншотов вы не увидите.

Создание и подготовка пакета

Пример установки будет произведен для Mozilla Firefox, т. к. это широко известный продукт, не имеющий msi-инсталлятора от разработчиков.

  1. Запускаем exe to msi и указываем в нем путь к exe-установщику firefox. По ранее найденной в сети информации становится понятно, что по-тихому установить огнелиса можно с параметрами -ms -ira
    . Их-то и указываем во втором поле exe to msi и жмем «Build MSI».
  2. Казалось бы все, msi-пакет готов. Действительно, запустив получившийся результат мы получим установленный в системе firefox и в статье можно было бы ставить точку. К сожалению, не все так просто. Текущий пакет установки не пригоден для развертывания через GPO и при загрузке компьютера вы будете получать совершенно ничего не объясняющие ошибки в логах «произошла неисправимая ошибка…» А все дело в том, что разработчики exe to msi тоже хотят есть и их бесплатный продукт генерирует msi «не по правилам».
  3. Ну что ж, берем орку и открываем в ней наш эмсиайник.
  4. Первым делом находим в левом списке таблицу Property
    и обращаем внимания на два поля — ProductCode
    и UpgradeCode
    . Эти два поля должны быть уникальны для каждого продукта, а наш exe to msi генерит всегда одинаковые. Ну что ж, не беда, жмем в верхнем меню View -> Summary Information
    , находим поле PackageCode
    и жмем New GUID
    . Получившийся результат копируем в буфер обмена и вставляем в ProductCode
    . Повторяем для UpgradeCode
    и наконец для самого PackageCode
    . Тут же в Summary Information
    правим поле Title
    на Mozilla Firefox, остальное по желанию. Это, по сути, ни на что не влияет.
  5. Опять же в таблице Property
    меням ProductName
    на Mozilla Firefox (я до кучи меняю еще ARPCONTACT
    и Manufacturer
    ). Можно так же поставить правильное значение для ProductVersion
    .
  6. Вроде бы GUID и прочие «IDы» поменяли, но как показывает практика, этого недостаточно. Жмите в orca Tools –> Validate
    , снимите птицу Show INFO Messages
    и нажимайте Go
    .
  7. Как видите, вылезла куча ошибок на наличие/отсутствие некоторых таблиц и значений. Я не стал заморачиваться и просто взял первый попавшийся (7zip x64 9.20) небольшой msi и скопировал оттуда 4 недостающие таблицы (через Export-Import, естественно): _Validation, AdminExecuteSequence, AdminUISequence и AdvtExecuteSequence
    . На самом деле, я уверен, что можно создать «правильный» msi-инсталлятор, без лишнего мусора, но не забывайте, наша цель всего лишь запустить родной setup приложения в тихую.
  8. После добавления таблиц проходим снова Tools –> Validate
    (к слову, первый раз проверку можно вообще не делать и сразу импортировать таблицы). Если вы тоже взяли за основу msi от 7zip, то результатом будет шесть эрроров, которые необходимо устранить. Жмите Close
    , удаляйте лишние поля, отмеченные красным.
  9. В конце можно еще раз проверить валидацию и убедиться что остались лишь ничем не мешающие варнинги. Сохраняем msi.
  10. Вот в принципе и все, осталось добавить msi в ГП и назначить необходимые свойства.

Нюансы

  1. При установке описанным выше методом у вас появятся как бы две копии софта. Первая — собственно нужное приложение, а вторая — исходный msi-ник, ведь мы же его как бы поставили. В принципе, это ни на что не влияет, кроме как на отображение в «Установка и удаление программ», и то, только в Windows XP (если вы ничего не меняли, кроме указанного мной). Минусом может быть появление лишних программ при автоматической инвентаризации софта, если вы ее используете.
  2. Автоматически удалить приложение теми же средствами развертывания не получится. Точнее получится, но удалится только и так не нужный msi-контейнер. Ну можно повозиться со свойствами msi при его создании, чтобы оно захватывало с собой установленное ранее приложение, так же втихую. Я такой задачи не ставил.
  3. При установке обновлений ПО нужно указывать в свойствах ГП приложения, чтобы оно заменяло предыдущее, т.е обязательно предварительно удаляло старое. Это гарантирует, что у вас не будут плодиться те самые никому не сдавшиеся левые дубли приложений в «установке и удалении программ».
  4. Чтобы установить приложение, имеющее дистрибутив из нескольких файлов, вам придется сначала упаковать его в exe, который при запуске сам распакуется и даст команду для тихой установки. Рекомендую создавать sfx-архивы средствами того же 7-zip.
  5. Ничего не мешает ставить ПО через скрипты автозагрузки. Более того, такой метод более гибкий, и я давно его использую через свои скрипты. Вот только использование родных средств ГП получается намного быстрее, т. к. простое создание msi из exe занимает пару минут.
  6. Windows 7 почему-то не пишет «Установка управляемого приложения…», а просто говорит «пожалуйста, подождите». При первом развертывании всей кучи софта разом или при установке тяжелого приложения это может сподвигнуть юзера на звонок админу или нажатие кнопки резет.

На этом вроде бы все, надеюсь было интересно, делитесь опытом.

Введение

Наши инсталляторы для Windows содержат полный пакет установки клиентской части программы (MSI) (собранный на основе Windows Installer v2.0). Инструкции по сетевой установке предполагают, что пользователь знаком с основами Windows Installer, в частности, с развертыванием MSI файлов. Этот пакет может использоваться с любой операционной системой Windows, поддерживающей Windows Installer v2.0.

Установка на сервер сети

  1. Сделайте двойной щелчок на полученном файле (Yenka_Setup_(MSI).exe
    )
  2. Инсталлируйте этот пакет в папку общего доступа к вашим программам.
  3. Внимание

    : Программа должна быть активирована ДО развертывания пакета в сети. Для этого запустите «Yenka.exe» из папки, в которую вы установили программу (<путь установки>program filesYenkaSoftwareYenka.exe), и следуйте Инструкциям по активации .

Установка

Установка пакета MSI при помощи командной строки

  1. В поле команд введите строку:
    msiexec /i»<путь к MSI файлу> YK.msi »

    где: <путь к MSI файлу> это путь к файлу пакета Windows Installer. Например, строка может выглядеть так: msiexec /i»C:Program FilesYenkaYK.msi»
  2. Нажмите клавишу ENTER
    Внимание: Сервис Windows Installer повзоляет провести установку в «незаметном» режиме, с использованием ключа «/q». Например: msiexec /i»C:Program FilesYenkaYK.msi» /q
    . Чтобы показать индикатор процесса установки, вы можете использовать ключ «/qb
    «.

Удаление пакета MSI при помощи командной строки

  1. В меню «Пуск» выберите команду «Выполнить…»
  2. В поле команд введите строку:
    msiexec /x»<путь к MSI файлу>YK.msi»

    где: <путь к MSI файлу> это путь к файлу пакета Windows Installer
  3. Нажмите клавишу ENTER

Ошибка windows installer – это одна из самых распространенных всплывающих неполадок, с которой сталкиваются пользователи операционной системы Windows.

Ошибка может появляться независимо от версии вашей ОС.

Причины появления ошибки

Выполнить сканирование ОС можно с помощью команды Sfc /scannow. Вводить ее нужно в окно командной строки.

Запустить командную строку можно также еще двумя способами:

  • Пуск -> Все программы -> Стандартные -> Командная строка.
  • Пуск -> Выполнить и введите имя программы cmd.exe

Через несколько минут вам будет предоставлена детальная информация о дисках ОС , испорченных файлах, неполадках в работе служб и других системных программ.

Командная строка не только найдет испорченные и повреждённые файл, но и заменит их на работоспособные.

После сканирования закройте командную строку и перезагрузите ваш персональный компьютер или ноутбук. Попробуйте запустить процесс установки любого исполняемого файла.

Также компания Майкрософт предлагает пользователям автоматическую утилиту, которая способна решить проблему работы инсталлера.

Перейдите по веб-адресу официального сайта компании https://support.microsoft.com/ru-ru/mats/program_install_and_uninstall

В открывшемся окне нажмите на клавишу «Запустить сейчас». Утилита восстановит правильную конфигурацию инсталлера.

Стоит заметить, что утилита не работает с восьмой версией операционной системы.

Неполадка при установке может быть вызвана тем, что installer не имеет доступа к файлам формата msi. Пользователь может разрешить эту проблему самостоятельно.

Следуйте нижеприведенной инструкции:

  • Найдите ваш установочный файл и нажмите на нем правой кнопкой мышки;
  • Выберите окно свойств;
  • Перейдите на вкладку настройки безопасности;
  • В текстовом поле групп или пользователей проверьте, есть ли пользователь с именем «система». Если его нет, необходимо добавить юзера вручную;

  • Для добавления нового пользователя нажмите на кнопку Изменить и затем на кнопку Добавить;
  • В текстовом поле имен выбираемого объекта напишите слово «система» (без кавычек). Если вы используете английскую версию операционной системы, введите слово System;
  • Введённое слово должно мгновенно стать подчеркнутым, как показано на рисунке ниже;

  • Поставьте галочку напротив поля полного доступа и теперь нажмите на кнопку ОК;

Теперь установщик сможет получить доступ к исполняемому файлу. Установка должна быть завершена без проблем.

Заметьте, что в некоторых случаях блокировать доступ к установочному файлу может антивирусное программное обеспечение .

Чтобы решить этот вариант неполадки необходимо зайти в операционную систему под учетной записью администратора, выключить антивирус и включить в настройках свойств антивируса совместимость с другими версиями ОС, как показано на рисунке ниже.

Ошибка Windows Installer — Способы решения неполадки

1. Отключение или ограничение использования установщика Windows (Windows Installer) с помощью Групповой политики.

Windows Installer (msiexec.exe), является средством  для установки, обслуживания и удаления программного обеспечения системы Windows.

Для того, чтобы установить запрет на установку приложений для всех пользователей, откройте редактор Групповых политик (gpedit.msc) и откройте раздел  Конфигурация компьютера (Computer Configuration) – Административные шаблоны (Administrative Tеmplates) – Компоненты Windows (Windows Components) – Установщик Windows (Windows Installer).В правой части окна Настройки (Settings) выберите строку Отключить Windows Installer (Disable Windows Installer) и дважды щелкните по ней. Значение Disable – отключает возможность установки программ, значение Enable включает ее. Тут все просто.

Запретить же установку приложений конкретному пользователю (учетной записи) можно путем создания соответствующей оснастки. Для этого откройте консоль mmc (в меню Пуск – Поиск) и в меню Файл выберите Добавить оснастку. Откроется список всех доступных компонентов системы. Выберите Group Police (Групповые политики), нажмите стрелку вправо для добавления, а затем нажмите кнопку Browse (Обзор). Выберите вкладку Users (Пользователи), нужную учетную запись и нажмите Ок, а потом Finish (Готово).

В меню Файл выберите “Сохранить как” и присвойте пользовательской оснастке свое имя.

После этого повторите действия, описанные мною выше, только теперь запрет на установку программ будет распространяться лишь на выбранного пользователя.

2) Всегда производить установку с повышенными привилегиями.

В редакторе Групповой политики, перейдите к Конфигурация пользователя — Административные шаблоны — Компоненты Windows. Прокрутите ползунок вниз и выберите установщик Windows и Allwaus install with elevated privileges (Всегда производить установку с повышенными привилегиями).

Этот параметр предписывает Windows Installer использовать системные разрешения при установке любой программы в системе.

Эта настройка распространяется на повышенные привилегии для всех программ. Эти привилегии, как правило, зарезервированы для программ, которые были назначены для пользователя (предлагается на рабочем столе), отнесенные к компьютеру (устанавливается автоматически), или доступны в Установка и удаление программ на панели управления. Этот параметр позволяет пользователям устанавливать программы, которые требуют доступа к каталогам, на которые пользователь может не иметь разрешения для просмотра и изменения.

Примечание: если вы отключите эту опцию или не настроите ее, система будет применять разрешения текущего пользователя (или администратора) при установке программ, т.е. с обычными правами. Этот параметр отображается в редакторе Групповых политик как в разделе Конфигурация компьютера, так и в Конфигурация пользователя. Чтобы этот параметр вступил в силу, его необходимо задать в обоих разделах.

3) Не запускать указанные приложения для Windows.

В редакторе Групповой политики перейдите к Конфигурация пользователя — Административные шаблоны – Система.

Здесь, в боковой панели справа, дважды щелкните Не запускать указанные приложения Windows (Do not run specified Windows applications), и в новом окне, которое откроется, выберите Включено. Теперь разделе Параметры выберите команду Показать (Show). Нажмите Add (Добавить) и в новом окне введите путь, который открывает приложение, которое вы хотите запретить, в данном случае: msiexec.exe.

Это позволит запретить работу Windows Installer, который расположен в C:WindowsSystem32msiexec.exe.

Если этот параметр включен, пользователи не могут запускать программы, которые вы добавляете в список запрещенных приложений.

Примечание: если пользователи имеют доступ к командной строке (cmd.exe), этот параметр не мешает им осуществлять запуск программ в окне командной строки.

И раз уж я завел в этой статье речь о Групповых политиках, хочу поделиться некоторыми полезными сведениями, косвенно относящимся к этой оснастке.

Почти каждая настройка в ОС Windows помимо Групповых политик дублируется в редакторе системного реестра. Но не многие знают, что в сети существует он-лайн севис MSDN, в котором содержится структурированная справочная информация о настройке огромного количества функций Windows через системный реестр. Пользоваться им удобно, нужно лишь знать английский язык. Кроме того, есть также аналогичный справочник в формате документа Exel, который вы можете скачать тут.

4) Запрет установки программ с помощью редактора реестра.

Предварительно сделайте  бэкап нижеуказанной ветки реестра, или создайте точку восстановления.

Откройте редактор реестра (regedit.exe) и перейдите в следующий раздел:

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrent VersionPoliciesExplorerDisallowRun

Создайте в разделе DisallowRun строковой параметр с именем 1 и установите в его значение название EXE-файла программы.

Примечание: если раздел DisallowRun отсутствует, создайте его.

Например, если вы хотите ограничить мsiexec, создайте строковой параметр 1 и установите его значение в msiexec.exe . Если вы хотите ограничить больше программ, то просто создать больше строковых параметров с именами 2, 3 и так далее, и установите их значения в EXE-программы. Перезагрузите компьютер.

5. Запрет запуска программ при помощи Родительского контроля.

В Панели управления откройте апплет Учетные записи пользователей – Управление другой учетной записью. Выберите нужную учетную запись пользователя и установите для нее Родительский контроль:

В следующем окне включите Родительский контроль и Ограничение на запуск программ:

После построения списка, выберите те программы, которые разрешено запускать пользователю. Если в списке нужная программа отсутствует, ее можно добавить вручную, нажав кнопку Обзор.

Нажмите Ок.

Примечание: есть некоторые условия для разрешения/запрета  запуска приложений при помощи Родительского контроля. Во-первых, учетная запись пользователя, для которого вы вводите ограничения должна быть с Обычными правами. Во-вторых, настройка Родительского контроля должна осуществляться с учетной записи, имеющей права Администратора, что очевидно. И в третьих, учетная запись Администратора должна быть защищена паролем.

Ну вот и все. Желаю успешного применения советов, о которых я рассказал в этой статье.

Доброго времени суток, Хабр! Хочу представить интересный, по моему мнению, способ создания msi-инсталляторов для любого программного обеспечения и, как следствие, развертывание его средствами GPO. Подчеркну, что описанный метод не подразумевает создание «слепков» системы, а использует нативные инсталляторы софта, при чем для создания msi применяются только бесплатные для коммерческого использования продукты.

Введение, пара ссылок и дисклеймер

Каждый нормальный инсталлятор ПО имеет возможность автоматической установки с определенными или заложенными по умолчанию параметрами. Суть моего метода проста и заключается в том, чтобы запаковать нативный инсталлятор в «контейнер» msi и запустить его с необходимыми параметрами командной строки. В сети куча информации по автоматической установке того или иного приложения, и я не буду заострять на этом внимание. Наша цель, повторюсь, — установка ПО средствами групповых политик. Кстати, некоторые из вас могут возразить, что установку можно производить через ZAW, но, к сожалению, данный метод применим только для установки с правами текущего пользователя и не может применяться для централизованной автоматической установки приложений.

Интересный цикл статей по установке ПО через ГП. Для новичков рекомендую прочитать все, чтобы потом не спрашивать, чем отличается тип установки «назначенный» от «публичный».

Необходимый софт. Exe to MSI Converter freeware и всем известная orca Первый нужен для того, чтобы создать msi из exe, а вторая — чтобы получившийся msi-ник смог установиться через групповые политики.

Метод не претендует на полную уникальность и в некоторых местах могут встречаться излишества, которых можно было бы избежать, но это связанно отсутствием желания и необходимости слишком глубоко вникать в параметры таблиц msi-пакетов. Первоначальной целью ставилось быстро найти бесплатный способ создания msi и после нескольких часов, проведенных в чтении зарубежных форумов и бесконечных перезагрузках виртуальной машины, метод был найден. Также, статья — это не обзор интерфейса программ, и скриншотов вы не увидите.

Создание и подготовка пакета

Пример установки будет произведен для Mozilla Firefox, т. к. это широко известный продукт, не имеющий msi-инсталлятора от разработчиков.

  1. Запускаем exe to msi и указываем в нем путь к exe-установщику firefox. По ранее найденной в сети информации становится понятно, что по-тихому установить огнелиса можно с параметрами -ms -ira. Их-то и указываем во втором поле exe to msi и жмем «Build MSI».
  2. Казалось бы все, msi-пакет готов. Действительно, запустив получившийся результат мы получим установленный в системе firefox и в статье можно было бы ставить точку. К сожалению, не все так просто. Текущий пакет установки не пригоден для развертывания через GPO и при загрузке компьютера вы будете получать совершенно ничего не объясняющие ошибки в логах «произошла неисправимая ошибка…» А все дело в том, что разработчики exe to msi тоже хотят есть и их бесплатный продукт генерирует msi «не по правилам».
  3. Ну что ж, берем орку и открываем в ней наш эмсиайник.
  4. Первым делом находим в левом списке таблицу Property и обращаем внимания на два поля — ProductCode и UpgradeCode. Эти два поля должны быть уникальны для каждого продукта, а наш exe to msi генерит всегда одинаковые. Ну что ж, не беда, жмем в верхнем меню View -> Summary Information, находим поле PackageCode и жмем New GUID. Получившийся результат копируем в буфер обмена и вставляем в ProductCode. Повторяем для UpgradeCode и наконец для самого PackageCode. Тут же в Summary Information правим поле Title на Mozilla Firefox, остальное по желанию. Это, по сути, ни на что не влияет.
  5. Опять же в таблице Property меням ProductName на Mozilla Firefox (я до кучи меняю еще ARPCONTACT и Manufacturer). Можно так же поставить правильное значение для ProductVersion.
  6. Вроде бы GUID и прочие «IDы» поменяли, но как показывает практика, этого недостаточно. Жмите в orca Tools –> Validate, снимите птицу Show INFO Messages и нажимайте Go.
  7. Как видите, вылезла куча ошибок на наличие/отсутствие некоторых таблиц и значений. Я не стал заморачиваться и просто взял первый попавшийся (7zip x64 9.20) небольшой msi и скопировал оттуда 4 недостающие таблицы (через Export-Import, естественно): _Validation, AdminExecuteSequence, AdminUISequence и AdvtExecuteSequence. На самом деле, я уверен, что можно создать «правильный» msi-инсталлятор, без лишнего мусора, но не забывайте, наша цель всего лишь запустить родной setup приложения в тихую.
  8. После добавления таблиц проходим снова Tools –> Validate (к слову, первый раз проверку можно вообще не делать и сразу импортировать таблицы). Если вы тоже взяли за основу msi от 7zip, то результатом будет шесть эрроров, которые необходимо устранить. Жмите Close, удаляйте лишние поля, отмеченные красным.
  9. В конце можно еще раз проверить валидацию и убедиться что остались лишь ничем не мешающие варнинги. Сохраняем msi.
  10. Вот в принципе и все, осталось добавить msi в ГП и назначить необходимые свойства.

Нюансы

  1. При установке описанным выше методом у вас появятся как бы две копии софта. Первая — собственно нужное приложение, а вторая — исходный msi-ник, ведь мы же его как бы поставили. В принципе, это ни на что не влияет, кроме как на отображение в «Установка и удаление программ», и то, только в Windows XP (если вы ничего не меняли, кроме указанного мной). Минусом может быть появление лишних программ при автоматической инвентаризации софта, если вы ее используете.
  2. Автоматически удалить приложение теми же средствами развертывания не получится. Точнее получится, но удалится только и так не нужный msi-контейнер. Ну можно повозиться со свойствами msi при его создании, чтобы оно захватывало с собой установленное ранее приложение, так же втихую. Я такой задачи не ставил.
  3. При установке обновлений ПО нужно указывать в свойствах ГП приложения, чтобы оно заменяло предыдущее, т.е обязательно предварительно удаляло старое. Это гарантирует, что у вас не будут плодиться те самые никому не сдавшиеся левые дубли приложений в «установке и удалении программ».
  4. Чтобы установить приложение, имеющее дистрибутив из нескольких файлов, вам придется сначала упаковать его в exe, который при запуске сам распакуется и даст команду для тихой установки. Рекомендую создавать sfx-архивы средствами того же 7-zip.
  5. Ничего не мешает ставить ПО через скрипты автозагрузки. Более того, такой метод более гибкий, и я давно его использую через свои скрипты. Вот только использование родных средств ГП получается намного быстрее, т. к. простое создание msi из exe занимает пару минут.
  6. Windows 7 почему-то не пишет «Установка управляемого приложения…», а просто говорит «пожалуйста, подождите». При первом развертывании всей кучи софта разом или при установке тяжелого приложения это может сподвигнуть юзера на звонок админу или нажатие кнопки резет.

На этом вроде бы все, надеюсь было интересно, делитесь опытом.

Like this post? Please share to your friends:
  • Windows installer for smartrf flash programmer 2
  • Windows installer error windows installer service could not be accessed
  • Windows installer download for windows 7 32 bit
  • Windows installer cleanup utility что это
  • Windows installer cleanup utility скачать торрент