3 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Записки старого админа

Содержание

Частая ситуация, когда администратору необходимо установить большое количество одинаковых программ на все или часть компьютеров в сети.

Для этого случая, компания Microsoft разработала технологию для установки ПО на любое количество машин в домене. Всё это делается не просто, а очень просто.

Когда я с этой технологией познакомился впервые, мне очень это понравилось и естественно я теперь почти всегда это делаю только таким способом. Да, есть конечно здесь и недостатки, но инсталляция на 100 машин за вечер намного хуже, чем эти недостатки.

О недостатках:
Первое, программы которые не имеют для своей инсталляции файлов с расширением msi, то есть exe или другие — этим способом не установишь. Но не всё потеряно, можно найти специальные компиляторы или даже целые студии по преобразованию exe файла в msi.
Второе, необходимо немного времени для того что бы прописались групповые политики на машины и после чего необходима перезагрузка машин на которые должно установится ПО.
Третье, в момент первой загрузки (после применения групповых политик) производится установка ПО и необходимо подождать завершения данного процесса.
Четвертое, большая загрузка сети и дисков сервера на котором расположен инсталляционный пакет в момент установки ПО на компьютеры сети.

Теперь основные пункты, что за чем.

1. Создать папку общего доступа для хранения ваших пакетов MSI.
2. Создать административные инсталляции ваших пакетов MSI и поместить их в эту папку общего доступа.
3. Добавить пакеты в GPO, которые применяются к компьютерам в AD.
4. Модифицировать права доступа к пакетам в GPO, если в них что то изменилось.
5. Подождать пока применяться политики на ПК и после чего перезагрузить их.

А теперь подробнее.

Создание папки общего доступа
Для назначения публикации приложений с помощью групповых политик необходимо иметь центральное место для исходных файлов приложений. Путь к этому месту должен быть доступен для всех компьютеров вашей сети, к которым применяется данная политика. Проще всего, создать папку общего доступа на файловом сервере и копировать в нее исходные файлы.
Обязательно необходимо убедиться, что учетные записи необходимых машин имеют право чтения и выполнения в этой папке. Группы «Authenticated Users» и «Everyone» включая машинные учетные записи.

Создание административных инсталляций
Для примера, я покажу как установить с помощью GPO MS-Office на компьютеры в организационном юните Computers.
Для этого необходимо иметь уже готовый пакет *.msi, который в офисе уже есть.
Выполняем следующие действия:

WIN+R -> cmd -> D:

В появившейся консоли выполняем команду:

D:cd InstallOffice D:InstallOffice> msiexec -a pro11.msi

Перед вами появится, самое обычное окно мастера инсталляции в котором необходимо указать все необходимые данные: Имя организации, Серийный номер, локальный путь куда положить готовую инсталляцию.

Добавление пакетов в GPO
Для добавления пакета в GPO, необходимо открыть «Управление групповой политикой», далее раскрыть необходимый нам организационный юнит и создать объект GPO. После создания, отредактировать его.
Привожу скрин с отрытыми двумя вкладками «ACtive Directory пользователи и компьютеры» и «Управление GPO», для того что бы наглядно было видно, что и как:

Теперь о редактировании созданного нами объекта.
Конфигурация компьютера -> Политики -> Конфигурация программ -> и щелкаем второй кнопкой мышки по Установка программ для появления меню в котором выбираем пункт «новый пакет» и создаем его:

Также привожу скрин:

При указании абсолютного пути к пакету, необходимо указать полный сетевой путь, как на скрине приведенном выше.

Перезагрузка компьютеров.
Для ускорения применения политик на сетевых ПК, можно запустить на домен контроллере такую команду:

gpudate /force /sync

И спустя минут 5-10 перезагрузить назначенные ПК.

После перезагрузки пройдет немного времени, пока вы уведите приглашение на вход и сообщение о том что производится установка программного обеспечения.. После входа в любую учетную запись, увидите установленный пакет.

Напоминаю всем копирующим мой контент о существовании закона «Об авторском праве».
В связи с этим, прошу во избежании конфликтов при копировании данного материала, ставить на него ссылку:

Также, вы можете отблагодарить меня переслав любую сумму на любой кошелек WebMoney, для поддержания данного ресурса. Или просто админу на пиво 😉

Кошельки для получения благодарности:
R386985788805
U234140473141
Z147712360455

3 комментария

Здравтсвуйте, подскажите пожалуйста.

Я настроил удаленную установку програм через gpo, все работало нормально, проги устанавливались. Политика применялась к круппе пользователей «room_118»

Далее мне нужно было настроить srp для защиты дисков:
я настроил политику:

1 — запретил доступ к диску C:
2 — НАСТРОИЛ ПАРАМЕТРЫ БЕЗОПАСНОСТИ и поставил уровень безопасности «обычный пользователь»
Эта политика также применялась к круппе пользователей «room_118».

И после этого программы перестали устанавливаться удаленно. Система пишет: установка управляемого программного обеспечения «название программы» всего несколько секунд и не устанавливает прогаммноре обеспечение.

Admin:
Всё верно, приоритет запрета всегда выше разрешений. Как минимум Вам нужно сделать разрешение для группы system. А вообще, я бы сделал несколько по другому:
Ничего не запрещать, а всего лишь — неразрешать запись и изменение для «всех», а кому нужно — разрешил бы запись. Вот как то так.

Здравствуйте. Спасибо за статью. Пропало два скриншота, но они сохранились в кэше гугла

Спасибо за статью! Хочу отметить, что сейчас появилось довольно много удобных программ для развертывания ПО по сети. В пример хочу привести Total Software Deployment. Она пока ещё сыровата, да и идеальным решением её пока назвать трудно, но мне удалось выполнить удалённую установку примерно 80% программ при помощи неё на около 200 ПК. Единственное чего в ней не хватает, так это функционала для удаления программ по сети.

Add your comment now

Установка программ из MSI

Все изложенное далее относится к работе с инсталляционными пакетами типа MSI (расширение .msi). Файлы MSI есть (или их можно извлечь) для многих программ (Adobe Acrobat, The Bat, Opera, Firefox и пр.).

Предположим, мы хотим автоматически установить (а по мере выхода обновлений, устанавливать обновления) броузер Firefox. Файл msi для Firefox можно взять здесь (в новом окне).

Настройку шаблона .adm я пропущу, т.к. далеко не всегда это нужно, а еще чаще этот шаблон фиг найдешь. В итоге — дефолтные настройки (либо, если будем ставить поверх старой версии — настройки будут сохранены). Шаблон .adm нам не нужен.

Дополнительный сценарий – запрещаем удалять установленный программный продукт

Как я и обещал, сейчас в качестве бонуса будет рассмотрен последний в этом цикле статей сценарий, в котором будет заново назначен для пользователей редактор XML Notepad, однако с таким условием, чтобы пользователь не смог его удалить при помощи компонента панели управления «Программы и компоненты».

Читать еще:  Что делать если системный блок сильно шумит?

Все эти действия будут выполняться внутри созданного ранее объекта групповой политики «GPSI-01». Как следует поступить для выполнения указанной выше задачи:

Рис. 3. Вкладка «Развертывания» диалогового окна свойств инсталляционного пакета

Сейчас пришло время проверять. В очередной раз следует выполнить команду Gpupdate с параметром /force (специально для форсированного применения) и немного подождать, пока операционная система предложит выйти из системы.

После выполнения входа программа будет установлена. Это хорошо, половина дела сделана. Остается перейти к панели управления и открыть компонент «Программы и компоненты». Как только пользователь перейдет к этому апплету сразу будет видно, что отсюда мы более не вправе удалять данное приложение. Однако, если пользователь очень захочет это сделать, он пока еще сможет удалить программу, используя файл деинсталляции ПО uninstall.exe.

Чтобы предотвратить такие действия, следует воспользоваться возможностями политик ограниченного использования программ или такого компонента современных операционных систем, как AppLocker. Однако об этих возможностях речь пойдет не в этой статье.

Запретить пользователям установку или запуск программ в Windows 10/8/7

При желании вы можете запретить пользователям устанавливать или запускать программы в Windows 10/8/7, а также в семействе Windows Vista/XP/2000 и Windows Server. Это можно сделать с помощью определенных параметров Групповой политики , чтобы управлять поведением установщика Windows, запретить запуск или ограничение определенных программ через Редактор реестра .

Установщик Windows , msiexec.exe , ранее известный как установщик Microsoft, — это механизм установки, обслуживания и удаления программного обеспечения в современных системах Microsoft Windows.

В этом посте мы увидим, как заблокировать установку программного обеспечения в Windows 10/8/7.

  1. Отключить или ограничить использование установщика Windows через групповую политику
  2. Всегда устанавливайте с повышенными привилегиями
  3. Не запускайте указанные приложения Windows
  4. Запретить установку программ через редактор реестра

Отключить или ограничить использование установщика Windows через групповую политику

Введите gpedit.msc в начале поиска и нажмите Enter, чтобы открыть редактор групповой политики. Перейдите к Конфигурациям компьютера> Административные шаблоны> Компоненты Windows> Установщик Windows. В панели RHS дважды щелкните Отключить установщик Windows . Настройте опцию как требуется.

Этот параметр может запретить пользователям устанавливать программное обеспечение в своих системах или разрешить пользователям устанавливать только те программы, которые предлагаются системным администратором. Если вы включите этот параметр, вы можете использовать параметры в окне Отключить установщик Windows, чтобы установить параметр установки.

Параметр «Никогда» означает, что установщик Windows полностью включен. Пользователи могут устанавливать и обновлять программное обеспечение. Это поведение по умолчанию для установщика Windows в Windows 2000 Professional, Windows XP Professional и Windows Vista, когда политика не настроена.

Параметр «Только для неуправляемых приложений» позволяет пользователям устанавливать только те программы, которые назначает системный администратор (предлагает на рабочем столе) или публикует (добавляет их в «Установка и удаление программ»). Это поведение по умолчанию установщика Windows в семействе Windows Server 2003, когда политика не настроена.

Параметр «Всегда» означает, что установщик Windows отключен.

Этот параметр влияет только на установщик Windows. Это не мешает пользователям использовать другие методы для установки и обновления программ.

Всегда устанавливайте с повышенными привилегиями

В редакторе групповой политики перейдите к Конфигурация пользователя> Административные шаблоны> Компоненты Windows. Прокрутите вниз и нажмите «Установщик Windows» и установите для него значение Всегда устанавливать с повышенными привилегиями .

Этот параметр указывает установщику Windows использовать системные разрешения при установке любой программы в системе.

Этот параметр расширяет привилегии всех программ. Эти привилегии обычно зарезервированы для программ, которые были назначены пользователю (предлагаются на рабочем столе), назначены компьютеру (установлены автоматически) или стали доступны в разделе «Установка и удаление программ» на панели управления. Этот параметр позволяет пользователям устанавливать программы, которым требуется доступ к каталогам, которые пользователь может не иметь разрешения на просмотр или изменение, включая каталоги на компьютерах с ограниченными правами.

Если этот параметр отключен или не настроен, система применяет разрешения текущего пользователя при установке программ, которые системный администратор не распространяет или не предлагает.

Этот параметр отображается в папках «Конфигурация компьютера» и «Конфигурация пользователя». Чтобы этот параметр вступил в силу, необходимо включить параметр в обеих папках.

Опытные пользователи могут использовать разрешения, предоставляемые этим параметром, для изменения своих привилегий и получения постоянного доступа к файлам и папкам с ограниченным доступом. Обратите внимание, что версия этого параметра в конфигурации пользователя не гарантируется как безопасная.

Не запускайте указанные приложения Windows

В редакторе групповой политики перейдите к Конфигурация пользователя> Административные шаблоны> Система

Здесь, на панели RHS, дважды нажмите Не запускать указанные приложения Windows и в открывшемся окне выберите Включено. Теперь под опциями нажмите Показать. В открывшемся новом окне введите путь к приложению, которое вы хотите запретить; в этом случае: msiexec.exe .

Это запретит запуск установщика Windows, который находится в папке C: Windows System32 .

Этот параметр не позволяет Windows запускать программы, указанные в этом параметре. Если вы включите этот параметр, пользователи не смогут запускать программы, добавленные вами в список запрещенных приложений.

Этот параметр запрещает пользователям запускать программы, запускаемые процессом Windows Explorer.Это не мешает пользователям запускать программы, такие как диспетчер задач, которые запускаются системным процессом или другими процессами. Кроме того, если вы разрешаете пользователям получать доступ к командной строке cmd.exe, этот параметр не запрещает им запускать программы в командном окне, которые им не разрешено запускать с помощью проводника Windows. Примечание. Чтобы создать список запрещенных приложений, нажмите «Показать». В диалоговом окне «Показать содержимое» в столбце «Значение» введите имя исполняемого файла приложения (например, msiexec.exe).

Запретить установку программ через редактор реестра

Откройте редактор реестра и перейдите к следующему ключу:

Создайте строковое значение с любым именем, например, 1, и установите его значение в EXE-файле программы.

Например, если вы хотите ограничить msiexec , создайте строковое значение 1 и установите для него значение msiexec.exe . Если вы хотите ограничить большее количество программ, просто создайте дополнительные строковые значения с именами 2, 3 и т. Д. И установите для их значений исполняемый файл программы.

Возможно, вам придется перезагрузить компьютер.

Также читайте:

  1. Запретить пользователям запуск программ в Windows 10/8/7
  2. Запускайте только указанные приложения Windows
  3. Windows Program Blocker — это бесплатное ПО для блокировки приложений или приложений, блокирующее запуск программного обеспечения.
  4. Как заблокировать установку сторонних приложений в Windows 10.

Планирование установки программного обеспечения

Несмотря на то, что на первый взгляд с данным расширением клиентской стороны групповой политики, кажется все очень просто и прозрачно, крайне важно тщательно спланировать процесс распространения программного обеспечения на ваших клиентов. На этом этапе очень важно четко понимать разницу между публикацией и назначением приложений, о чем уже было много сказано в предыдущих разделах. Еще раз напомню, при назначении приложения компьютеру или пользователю программное обеспечение устанавливается автоматически при следующей загрузке компьютера или входе пользователя в систему, а при публикации пользователю нужно будет установить приложение самостоятельно. Тут можно руководствоваться такими стандартными сценариями:

  • В том случае, если компьютеры в вашей организации являются общедоступными и всем пользователям необходим одинаковый набор программных продуктов, то целесообразно устанавливать их путем назначения для компьютеров. Соответственно, приложения при следующей загрузке компьютеров устанавливаются на компьютеры пользователей;
  • В том случае, если какое-то конкретное приложение нужно для работы только нескольким пользователям в компании, то оптимальным вариантом будет публикация приложений для таких пользователей. При следующем входе в систему эти пользователи смогут или самостоятельно установить программу из компонента панели управления «Программы и компоненты» или приложение установится автоматически при открытии файла, расширение которого ассоциировано с таким приложением;
  • В том случае, если приложение необходимо установить пользователям из разных подразделений, стоит его назначать для того подразделения, в которое будут входить все эти пользователи;
  • В том случае, если в вашей организации используются приложения, которые обновляются очень часто вместе с теми, на которые практически не выпускаются обновления, лучше всего для этого создать как минимум два объекта GPO. В одном таком объекте GPO будут размещены приложения, которые редко обновляются, а во втором – те приложения, обновления на которые выходят чаще.
Читать еще:  Стиль разделов gpt установка Windows 10

Также не стоит распространять все программные продукты при помощи одного объекта групповой политики, так как в результате применения такого объекта GPO, несмотря на то, что задержка перед входом в систему клиентского компьютера может значительно уменьшится (в отличие от использования отдельного объекта групповой политики для каждого приложения), размер и конфигурация объекта групповой политики увеличится в несколько раз. После того как вы спланируете структуру ваших объектов GPO, перед тем как распространять приложения пользователям, обязательно протестируйте их применение в лабораторной среде, что позволит вам облегчить свою работу при последующей поддержке ваших пользователей.

Несмотря на все преимущества распространения программного обеспечения средствами групповой политики можно также найти и множество недостатков, на которые следует обратить свое внимание при планировании распространения ПО. Например, к одному из таких недостатков можно отнести то, что распространять программное обеспечение средствами групповой политики можно только в домене Active Directory. А если в вашей организации пользователи еще работают под управлением таких операционных систем, как Windows 95/98 или Windows NT, то развернуть приложения для таких клиентов средствами GPO будет невозможно. Помимо этого, при развертывании приложений средствами групповой политики вы не можете настроить график установки или распространять приложения при помощи многоадресного сетевого вещания. Другими словами, распространение программного обеспечения средствами групповой политики не обеспечивает набор определенного функционала, который может понадобиться для управления программным обеспечением в крупной организации. В таких случаях лучше всего использовать такой продукт, как System Center Configuration Manager.

Установка на рабочих станциях

Далее достаточно просто перезагрузить рабочие станции, чтобы автоматически установился Firefox ДО того, как появится окно для ввода логина/пароля. Иными словами, пользователь будет не в силах чего-то не установить, забыть и пр. Поэтому этот способ так хорош. Вы удаленно решаете, что будет установлено / обновлено на рабочих станциях.

Windows XP бывает не с первой перезагрузки «принимает» нове политики, поэтому можно подойти к юзеру, выполнить команду «gpupdate /force» (не обязательно под админом) и перезагрузить его компьютер.

Обязательно проверьте установку на своем / тестовом компьютере ДО того, как юзеры придут следующим утром, включат компьютеры. а вдруг косяк? Поэтому хотя бы первый раз сначала испытайте на себе.

Частая ситуация, когда администратору необходимо установить большое количество одинаковых программ на все или часть компьютеров в сети.

Для этого случая, компания Microsoft разработала технологию для установки ПО на любое количество машин в домене. Всё это делается не просто, а очень просто.

Когда я с этой технологией познакомился впервые, мне очень это понравилось и естественно я теперь почти всегда это делаю только таким способом. Да, есть конечно здесь и недостатки, но инсталляция на 100 машин за вечер намного хуже, чем эти недостатки.

О недостатках:
Первое, программы которые не имеют для своей инсталляции файлов с расширением msi, то есть exe или другие — этим способом не установишь. Но не всё потеряно, можно найти специальные компиляторы или даже целые студии по преобразованию exe файла в msi.
Второе, необходимо немного времени для того что бы прописались групповые политики на машины и после чего необходима перезагрузка машин на которые должно установится ПО.
Третье, в момент первой загрузки (после применения групповых политик) производится установка ПО и необходимо подождать завершения данного процесса.
Четвертое, большая загрузка сети и дисков сервера на котором расположен инсталляционный пакет в момент установки ПО на компьютеры сети.

Теперь основные пункты, что за чем.

1. Создать папку общего доступа для хранения ваших пакетов MSI.
2. Создать административные инсталляции ваших пакетов MSI и поместить их в эту папку общего доступа.
3. Добавить пакеты в GPO, которые применяются к компьютерам в AD.
4. Модифицировать права доступа к пакетам в GPO, если в них что то изменилось.
5. Подождать пока применяться политики на ПК и после чего перезагрузить их.

А теперь подробнее.

Создание папки общего доступа
Для назначения публикации приложений с помощью групповых политик необходимо иметь центральное место для исходных файлов приложений. Путь к этому месту должен быть доступен для всех компьютеров вашей сети, к которым применяется данная политика. Проще всего, создать папку общего доступа на файловом сервере и копировать в нее исходные файлы.
Обязательно необходимо убедиться, что учетные записи необходимых машин имеют право чтения и выполнения в этой папке. Группы «Authenticated Users» и «Everyone» включая машинные учетные записи.

Создание административных инсталляций
Для примера, я покажу как установить с помощью GPO MS-Office на компьютеры в организационном юните Computers.
Для этого необходимо иметь уже готовый пакет *.msi, который в офисе уже есть.
Выполняем следующие действия:

WIN+R -> cmd -> D:

В появившейся консоли выполняем команду:

D:cd InstallOffice D:InstallOffice> msiexec -a pro11.msi

Перед вами появится, самое обычное окно мастера инсталляции в котором необходимо указать все необходимые данные: Имя организации, Серийный номер, локальный путь куда положить готовую инсталляцию.

Добавление пакетов в GPO
Для добавления пакета в GPO, необходимо открыть «Управление групповой политикой», далее раскрыть необходимый нам организационный юнит и создать объект GPO. После создания, отредактировать его.
Привожу скрин с отрытыми двумя вкладками «ACtive Directory пользователи и компьютеры» и «Управление GPO», для того что бы наглядно было видно, что и как:

Теперь о редактировании созданного нами объекта.
Конфигурация компьютера -> Политики -> Конфигурация программ -> и щелкаем второй кнопкой мышки по Установка программ для появления меню в котором выбираем пункт «новый пакет» и создаем его:

Также привожу скрин:

При указании абсолютного пути к пакету, необходимо указать полный сетевой путь, как на скрине приведенном выше.

Перезагрузка компьютеров.
Для ускорения применения политик на сетевых ПК, можно запустить на домен контроллере такую команду:

gpudate /force /sync

И спустя минут 5-10 перезагрузить назначенные ПК.

После перезагрузки пройдет немного времени, пока вы уведите приглашение на вход и сообщение о том что производится установка программного обеспечения.. После входа в любую учетную запись, увидите установленный пакет.

Напоминаю всем копирующим мой контент о существовании закона «Об авторском праве».
В связи с этим, прошу во избежании конфликтов при копировании данного материала, ставить на него ссылку:

Также, вы можете отблагодарить меня переслав любую сумму на любой кошелек WebMoney, для поддержания данного ресурса. Или просто админу на пиво 😉

Кошельки для получения благодарности:
R386985788805
U234140473141
Z147712360455

3 комментария

Здравтсвуйте, подскажите пожалуйста.

Я настроил удаленную установку програм через gpo, все работало нормально, проги устанавливались. Политика применялась к круппе пользователей «room_118»

Далее мне нужно было настроить srp для защиты дисков:
я настроил политику:

1 — запретил доступ к диску C:
2 — НАСТРОИЛ ПАРАМЕТРЫ БЕЗОПАСНОСТИ и поставил уровень безопасности «обычный пользователь»
Эта политика также применялась к круппе пользователей «room_118».

И после этого программы перестали устанавливаться удаленно. Система пишет: установка управляемого программного обеспечения «название программы» всего несколько секунд и не устанавливает прогаммноре обеспечение.

Читать еще:  Неопознанная сеть без доступа в интернет

Admin:
Всё верно, приоритет запрета всегда выше разрешений. Как минимум Вам нужно сделать разрешение для группы system. А вообще, я бы сделал несколько по другому:
Ничего не запрещать, а всего лишь — неразрешать запись и изменение для «всех», а кому нужно — разрешил бы запись. Вот как то так.

Здравствуйте. Спасибо за статью. Пропало два скриншота, но они сохранились в кэше гугла

Спасибо за статью! Хочу отметить, что сейчас появилось довольно много удобных программ для развертывания ПО по сети. В пример хочу привести Total Software Deployment. Она пока ещё сыровата, да и идеальным решением её пока назвать трудно, но мне удалось выполнить удалённую установку примерно 80% программ при помощи неё на около 200 ПК. Единственное чего в ней не хватает, так это функционала для удаления программ по сети.

Add your comment now

Дополнительный сценарий – запрещаем удалять установленный программный продукт

Как я и обещал, сейчас в качестве бонуса будет рассмотрен последний в этом цикле статей сценарий, в котором будет заново назначен для пользователей редактор XML Notepad, однако с таким условием, чтобы пользователь не смог его удалить при помощи компонента панели управления «Программы и компоненты».

Все эти действия будут выполняться внутри созданного ранее объекта групповой политики «GPSI-01». Как следует поступить для выполнения указанной выше задачи:

Рис. 3. Вкладка «Развертывания» диалогового окна свойств инсталляционного пакета

Сейчас пришло время проверять. В очередной раз следует выполнить команду Gpupdate с параметром /force (специально для форсированного применения) и немного подождать, пока операционная система предложит выйти из системы.

После выполнения входа программа будет установлена. Это хорошо, половина дела сделана. Остается перейти к панели управления и открыть компонент «Программы и компоненты». Как только пользователь перейдет к этому апплету сразу будет видно, что отсюда мы более не вправе удалять данное приложение. Однако, если пользователь очень захочет это сделать, он пока еще сможет удалить программу, используя файл деинсталляции ПО uninstall.exe.

Чтобы предотвратить такие действия, следует воспользоваться возможностями политик ограниченного использования программ или такого компонента современных операционных систем, как AppLocker. Однако об этих возможностях речь пойдет не в этой статье.

Запретить пользователям установку или запуск программ в Windows 10/8/7

При желании вы можете запретить пользователям устанавливать или запускать программы в Windows 10/8/7, а также в семействе Windows Vista/XP/2000 и Windows Server. Это можно сделать с помощью определенных параметров Групповой политики , чтобы управлять поведением установщика Windows, запретить запуск или ограничение определенных программ через Редактор реестра .

Установщик Windows , msiexec.exe , ранее известный как установщик Microsoft, — это механизм установки, обслуживания и удаления программного обеспечения в современных системах Microsoft Windows.

В этом посте мы увидим, как заблокировать установку программного обеспечения в Windows 10/8/7.

  1. Отключить или ограничить использование установщика Windows через групповую политику
  2. Всегда устанавливайте с повышенными привилегиями
  3. Не запускайте указанные приложения Windows
  4. Запретить установку программ через редактор реестра

Отключить или ограничить использование установщика Windows через групповую политику

Введите gpedit.msc в начале поиска и нажмите Enter, чтобы открыть редактор групповой политики. Перейдите к Конфигурациям компьютера> Административные шаблоны> Компоненты Windows> Установщик Windows. В панели RHS дважды щелкните Отключить установщик Windows . Настройте опцию как требуется.

Этот параметр может запретить пользователям устанавливать программное обеспечение в своих системах или разрешить пользователям устанавливать только те программы, которые предлагаются системным администратором. Если вы включите этот параметр, вы можете использовать параметры в окне Отключить установщик Windows, чтобы установить параметр установки.

Параметр «Никогда» означает, что установщик Windows полностью включен. Пользователи могут устанавливать и обновлять программное обеспечение. Это поведение по умолчанию для установщика Windows в Windows 2000 Professional, Windows XP Professional и Windows Vista, когда политика не настроена.

Параметр «Только для неуправляемых приложений» позволяет пользователям устанавливать только те программы, которые назначает системный администратор (предлагает на рабочем столе) или публикует (добавляет их в «Установка и удаление программ»). Это поведение по умолчанию установщика Windows в семействе Windows Server 2003, когда политика не настроена.

Параметр «Всегда» означает, что установщик Windows отключен.

Этот параметр влияет только на установщик Windows. Это не мешает пользователям использовать другие методы для установки и обновления программ.

Всегда устанавливайте с повышенными привилегиями

В редакторе групповой политики перейдите к Конфигурация пользователя> Административные шаблоны> Компоненты Windows. Прокрутите вниз и нажмите «Установщик Windows» и установите для него значение Всегда устанавливать с повышенными привилегиями .

Этот параметр указывает установщику Windows использовать системные разрешения при установке любой программы в системе.

Этот параметр расширяет привилегии всех программ. Эти привилегии обычно зарезервированы для программ, которые были назначены пользователю (предлагаются на рабочем столе), назначены компьютеру (установлены автоматически) или стали доступны в разделе «Установка и удаление программ» на панели управления. Этот параметр позволяет пользователям устанавливать программы, которым требуется доступ к каталогам, которые пользователь может не иметь разрешения на просмотр или изменение, включая каталоги на компьютерах с ограниченными правами.

Если этот параметр отключен или не настроен, система применяет разрешения текущего пользователя при установке программ, которые системный администратор не распространяет или не предлагает.

Этот параметр отображается в папках «Конфигурация компьютера» и «Конфигурация пользователя». Чтобы этот параметр вступил в силу, необходимо включить параметр в обеих папках.

Опытные пользователи могут использовать разрешения, предоставляемые этим параметром, для изменения своих привилегий и получения постоянного доступа к файлам и папкам с ограниченным доступом. Обратите внимание, что версия этого параметра в конфигурации пользователя не гарантируется как безопасная.

Не запускайте указанные приложения Windows

В редакторе групповой политики перейдите к Конфигурация пользователя> Административные шаблоны> Система

Здесь, на панели RHS, дважды нажмите Не запускать указанные приложения Windows и в открывшемся окне выберите Включено. Теперь под опциями нажмите Показать. В открывшемся новом окне введите путь к приложению, которое вы хотите запретить; в этом случае: msiexec.exe .

Это запретит запуск установщика Windows, который находится в папке C: Windows System32 .

Этот параметр не позволяет Windows запускать программы, указанные в этом параметре. Если вы включите этот параметр, пользователи не смогут запускать программы, добавленные вами в список запрещенных приложений.

Этот параметр запрещает пользователям запускать программы, запускаемые процессом Windows Explorer.Это не мешает пользователям запускать программы, такие как диспетчер задач, которые запускаются системным процессом или другими процессами. Кроме того, если вы разрешаете пользователям получать доступ к командной строке cmd.exe, этот параметр не запрещает им запускать программы в командном окне, которые им не разрешено запускать с помощью проводника Windows. Примечание. Чтобы создать список запрещенных приложений, нажмите «Показать». В диалоговом окне «Показать содержимое» в столбце «Значение» введите имя исполняемого файла приложения (например, msiexec.exe).

Запретить установку программ через редактор реестра

Откройте редактор реестра и перейдите к следующему ключу:

Создайте строковое значение с любым именем, например, 1, и установите его значение в EXE-файле программы.

Например, если вы хотите ограничить msiexec , создайте строковое значение 1 и установите для него значение msiexec.exe . Если вы хотите ограничить большее количество программ, просто создайте дополнительные строковые значения с именами 2, 3 и т. Д. И установите для их значений исполняемый файл программы.

Возможно, вам придется перезагрузить компьютер.

Также читайте:

  1. Запретить пользователям запуск программ в Windows 10/8/7
  2. Запускайте только указанные приложения Windows
  3. Windows Program Blocker — это бесплатное ПО для блокировки приложений или приложений, блокирующее запуск программного обеспечения.
  4. Как заблокировать установку сторонних приложений в Windows 10.
Ссылка на основную публикацию
Статьи c упоминанием слов:
Adblock
detector