Политика разрешающая установку программ



Установка программ с помощью групповых политик

date21.10.2011
useritpro
directoryГрупповые политики
commentsкомментариев 15

Прежде чем приступить к описанию процесса установки ПО с помощью групповых политик, оговорим, что распространение ПО на с помощью политик не всегда является оптимальным решением и имеет ряд ограничений. Вот несколько основных недостатков этого метода установки софта:

1. Невозможность планирования установки ПО. При установке софта при помощи групповой политики, установить или деинсталлировать ПО можно только при следующей загрузке системы. Поэтому практически невозможно, организовать массовое обновление какого-либо ПО, например, в ночное время, когда нагрузка на сеть минимальная. В этом случае лучше использовать, например, SCCM. Используя окна обслуживания (maintenance) или настройки WOL(Wake On LAN).

2. Поддерживаются только MSI и ZAP установщики. Формат дистрибуции приложений в групповых политиках– это лишь популярный MSI installer и менее известные пакеты ZAP. В этом случае опять предпочтительнее использование SCCM, т.к. он поддерживает использование всех возможных установщиков.

3. Фиксированный порядок установки приложений. При добавления нового приложения в объект групповой политики, оно устанавливается на ПК последним, и поменять этот порядок нельзя.

4. Отсутствие контроля. При установке ПО через групповую политику, пакет установщика выполняется на целевом компьютере, однако какая-либо обратная связь отсутствует. Поэтому вы с уверенностью не сможете сказать установилось ли ваше ПО на конкретном компьютере или нет.

Установка программ с помощью групповых политик в Windows

Итак, после того, как вы познакомились с основными недостатками установки софта средствами групповых политик, перейдем к конкретному примеру. Отметим, что с помощью групповых политик правильно было бы устанавливать общесистемное ПО, которое используется на всех ПК организации, это может быть, например, антивирусный агент, клиент SCCM или InTune. В данной статье мы будем описывать установку агента InTune.

Windows InTune – это новый сервис Microsoft, предназначенный для служб ИТ, позволяющий управлять и осуществлять мониторинг компьютеров с помощью веб консоли. Этот сервис зачастую называют «облачным» SCCM, причем эта облачная служба позволяет управлять множеством рабочих станций без необходимости создания серверной инфраструктуры.

Т.к. ни одна из компонент InTune не устанавливается на сервера, поэтому все что нужно – это расставить клиентов InTune на рабочих станциях. Естественно, его можно расставить вручную, но если в вашей организации больше чем 10 ПК, то это может превратиться в головную боль. Поэтому мы попытаемся организовать процесс установки Windows InTune с помощью групповых политик.

Настраиваем дистрибутив для установки с помощью Group Policy

1. Качаем дистрибутив клиента InTune Client.

2. Жмем правой кнопкой по файлу “Windows_Intune_Setup.zip” и выбираем “Extract All”

description: image

3. Распаковываем содержимое файла Windows_Intune_Setup.exe в текущую папку, набрав команду “Windows_Intune_Setup.exe /extract .”.

4. Копируем файлы (список их ниже) на сетевую папку, с которой будет производиться установка.

Совет: Для корректной работы необходимо, чтобы группа “Domain Computers” имела права на чтение из указанной сетевой папки, иначе ПК организации не смогут скачать и установить эти файлы.

Настраиваем групповую политику для установки ПО

5. Перейдите в режим редактирования групповой политики, применяемой к целевым компьютерам, на которые вы хотите установить клиент InTune.

description: image

6. Перейдите в раздел “Computer Configuration > Policies > Software Settings > Software installation”. Щелкните правой кнопкой по элементу “Software installation”, выберите “New>Packages”

description: image

7. Выберите сетевую папку, в которую вы поместили файлы установщика, найдите и укажите файл “Windows_Intune_X64.msi” и затем нажмите “Open”

description: image

8. Выберите опцию “Advanced” и нажмите “OK”

9. Т.к. в данном случае мы устанавливаем 64 битную версию клиента,рекомендуется добавить к имени приложения постфикс “x64”.

description: image

10. Согласимся с настройками по-умолчанию и нажмем “OK”

description: image

В результате у вас получится примерно такая картинка.

И данное ПО будет установлено на компьютеры, к котором применяется данная политика, при следующей перезагрузке ПК.

description: image

Предыдущая статьяПредыдущая статья Следующая статья Следующая статья

Источник

Данная установка запрещена политикой, заданной системным администратором — как исправить

Установка запрещена системной политикой — как исправить

При установке программ или компонентов в Windows 10, 8.1 или Windows 7, вы можете столкнуться с ошибкой: окно с заголовком «Установщик Windows» и текстом «Данная установка запрещена политикой, заданной системным администратором». Как итог, программа не устанавливается.

В этой инструкции подробно о способах решить проблему с установкой ПО и исправить ошибку. Для исправления, ваша учетная запись Windows должна иметь права администратора. Схожая ошибка, но имеющая отношение к драйверам: Установка этого устройства запрещена на основании системной политики.

Отключение политик, запрещающих установку программ

При появлении ошибки установщика Windows «Данная установка запрещена политикой, заданной системным администратором» в первую очередь следует попробовать посмотреть, заданы ли какие-либо политики, ограничивающие установку ПО и, если таковые имеются, удалить или отключить их.

Данная установка запрещена политикой заданной системным администратором

Шаги могут быть разными в зависимости от используемой редакции Windows: если у вас установлена Pro или Enterprise версия, вы можете использовать редактор локальной групповой политики, если Домашняя — редактор реестра. Далее рассмотрены оба варианта.

Просмотр политик установки в редакторе локальной групповой политики

Для Windows 10, 8.1 и Windows 7 Профессиональной и корпоративной вы можете использовать следующие шаги:

Исправление запрета установки в gpedit

  1. Нажмите клавиши Win+R на клавиатуре, введите gpedit.msc и нажмите Enter.
  2. Зайдите в раздел «Конфигурация компьютера» — «Административные шаблоны» — «Компоненты Windows» — «Установщик Windows».
  3. В правой панели редактора убедитесь, что никакие политики ограничения установки не заданы. Если это не так, дважды кликните по политике, значение которой нужно изменить и выберите «Не задано» (это значение по умолчанию).
  4. Зайдите в аналогичный раздел, но в «Конфигурация пользователя». Проверьте, чтобы и там все политики были не заданы.
Читайте также:  Установка драйверов для сетевого оборудования

Перезагрузка компьютера после этого обычно не требуется, можно сразу попробовать запустить установщик.

С помощью редактора реестра

Проверить наличие политик ограничения установки ПО и удалить их при необходимости можно и с помощью редактора реестра. Это будет работать и в домашней редакции Windows.

Удаление системных политик установщика Windows

  1. Нажмите клавиши Win+R, введите regedit и нажмите Enter.
  2. В редакторе реестра перейдите к разделуи проверьте, есть ли в нем подраздел Installer. Если есть — удалите сам раздел или очистите все значения из этого раздела.
  3. Аналогичным образом, проверьте, есть ли подраздел Installer в разделеи, при его наличии, очистите его от значений или удалите.
  4. Закройте редактор реестра и попробуйте снова запустить установщик.

Обычно, если причина ошибки действительно в политиках, приведенных вариантов оказывается достаточно, однако есть и дополнительные методы, иногда оказывающиеся работоспособными.

Дополнительные методы исправить ошибку «Данная установка запрещена политикой»

Если предыдущий вариант не помог, можно попробовать следующие два способа (первый — только для Pro и Enterprise редакций Windows).

Политики ограничения выполнения программ

  1. Зайдите в Панель управления — Администрирование — Локальная политика безопасности.
  2. Выберите «Политики ограниченного использования программ».
  3. Если политики не определены, нажмите правой кнопкой мыши по «Политики ограниченного использования программ» и выберите «Создать политику ограниченного использования программ».
  4. Дважды нажмите по «Применение» и в разделе «Применять политику ограниченного использования программ» выберите «всех пользователей, кроме локальных администраторов».
  5. Нажмите Ок и обязательно перезагрузите компьютер.

Проверьте, была ли исправлена проблема. Если нет, рекомендую снова зайти в этот же раздел, нажать правой кнопкой по разделу политик ограниченного использования программ и удалить их.

Второй метод также предполагает использование редактора реестра:

Отключить политику DisableMSI в редакторе реестра

  1. Запустите редактор реестра (regedit).
  2. Перейдите к разделуи создайте (при отсутствии) в нем подраздел с именем Installer
  3. В этом подразделе создайте 3 параметра DWORD с именами DisableMSI, DisableLUAPatching и DisablePatch и значением 0 (ноль) у каждого из них.
  4. Закройте редактор реестра, перезагрузите компьютер и проверьте работу установщика.

Если ошибка возникает при установке или обновлении Google Chrome, попробуйте удалить раздел реестра HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\ — это может сработать.

Думаю, один из способов поможет вам решить проблему, а сообщение о том, что установка запрещена политикой больше не появится. Если же нет — задавайте вопросы в комментариях с подробным описанием проблемы, я постараюсь помочь.

А вдруг и это будет интересно:

19.09.2018 в 20:47

Здравствуйте. Не могу установить гугл хром и гугл диск.
Запуская программу установки появляется сообщение: Администратор вашей сети применил групповую политику, которая не позволяет выполнить установку.
Помогите пожалуйста решить проблему.

20.09.2018 в 12:45

А это не какой-то рабочий компьютер? Быть может, тогда действительно админ запретил устанавливать свои браузеры.

20.09.2018 в 13:05

Нет, это мой личный компьютер.
Такая проблема возникла недавно, так как раньше хром я могла установить.
Когда возникла эта ошибка, я удалила все данные о хроме. Думала, что это поможет решить проблему.
И теперь не могу установить и хром, и гугл диск

21.09.2018 в 16:29

а нет ли точек восстановления системы? Если есть, можно попробовать восстановить на дату, когда проблемы еще не было.

03.04.2019 в 13:21

Да, прямо точь в точь такая же проблема

04.12.2018 в 17:55

Такая же беда, не устанавливается гугл хром, Администратор вашей сети применил групповую политику… Точек восстановления нет увы, как уже быть не знаю. Сможете помочь?

15.12.2018 в 03:25

Здравствуйте, есть проблема с установщиком, «Администратор вашей сети применил групповую политику… » прочитал вашу статью, перепробовал все описанные методы, но к сожалению ничего не изменилось, Администратор по прежнему рулит… как проще всего исправить? и из-за чего такое возникло? Заранее спасибо за развернутый ответ.

15.12.2018 в 10:34

А редактор локальной групповой политики у вас работает? Если да, то для всех ли там параметров установлено «не задано» (по умолчанию так должно быть) в разделе Установщик Windows?

15.12.2018 в 06:15

Windows 10 корпоративная 2016 года лицензия такая же проблема как у Дарии
возникла спонтанно

Источник

8 параметров групповой политики Windows, которые должен знать каждый администратор

Групповая политика Windows – это мощный инструмент для настройки многих аспектов Windows. Большинство настроек, которые она предлагает, нацелены на администраторов ПК, чтобы отслеживать и контролировать стандартные учетные записи. Если вы администрируете ПК в корпоративной среде или несколько учетных записей дома, вам обязательно стоит воспользоваться групповой политикой Windows для контроля использования ПК сотрудниками и членами семьи.

Ниже мы перечислили 8 настроек групповой политики Windows, которые, несомненно, упростят административные задачи.

Примечание. Редактор групповой политики недоступен в стандартной и домашней версиях Windows. Для использования групповой политики у вас должна быть профессиональная или корпоративная версия Windows.

Доступ к редактору групповой политики Windows

Вы должны получить доступ к редактору групповой политики, прежде чем выполнять какие-либо из приведенных ниже настроек. Хотя существует множество способов доступа к редактору групповой политики Windows, но использование диалогового окна «Выполнить» является самым быстрым и работает во всех версиях Windows.

Читайте также:  Freebsd установка с флешку

Нажмите клавиши Win + R, чтобы открыть диалоговое окно «Выполнить». Здесь введите gpedit.msc и нажмите Enter или ОК, чтобы открыть редактор групповой политики.

Кроме того, перед доступом к групповой политике убедитесь, что вы вошли в систему под учетной записью администратора. Стандартные учетные записи не имеют доступа к групповой политике.

Отслеживайте вход в аккаунт

С помощью групповой политики вы можете заставить Windows записывать все успешные и неудачные попытки входа на ПК с любой учетной записи. Вы можете использовать такую информацию, чтобы отслеживать, кто входит в систему на ПК и пытался ли кто-то войти в систему или нет.

В редакторе групповой политики перейдите в указанное ниже место и дважды щелкните Аудит событий входа в систему.

Конфигурация компьютераКонфигурация WindowsПараметры безопасностиЛокальные политикиПолитика аудита

Здесь установите флажки рядом с вариантами Успех и Отказ. Когда вы нажмете ОК, Windows начнет регистрировать входы в систему на ПК.

Для просмотра этих журналов вам потребуется доступ к другому полезному инструменту WindowsWindows Event Viewer. Снова откройте диалоговое окно «Выполнить» и введите в нём eventvwr, чтобы открыть средство просмотра событий Windows.

Здесь разверните «Журналы Windows», а затем выберите в нём опцию «Безопасность». На средней панели вы должны увидеть все недавние события. Пусть вас не смущают все эти события, вам просто нужно найти успешные и неудачные события входа в систему из этого списка.

Успешные события входа в систему имеют идентификатор события: 4624, а неудачные – идентификатор события: 4625. Просто найдите эти идентификаторы событий, чтобы найти логины и увидеть точную дату и время входа.

Двойной щелчок по этим событиям покажет более подробную информацию вместе с точным именем учетной записи пользователя, который вошел в систему.

Запретить доступ к Панели управления

Панель управления – это центр всех настроек Windows, как безопасности, так и удобства использования. Однако, эти настройки могут оказаться действительно плохими в неопытных руках. Если компьютер будет использовать начинающий пользователь или вы не хотите, чтобы кто-то вмешивался в конфиденциальные настройки, вам определенно следует запретить доступ к Панели управления.

Для этого перейдите в указанное ниже место в редакторе групповой политики и дважды щелкните Запретить доступ к панели управления.

Конфигурация пользователяАдминистративные шаблоныПанель управления

Здесь выберите опцию Включено, чтобы запретить доступ к Панели управления. Теперь опция Панели управления будет удалена из меню «Пуск», и никто не сможет получить к ней доступ из любого места, включая диалоговое окно «Выполнить».

Все параметры в Панели управления также будут скрыты, и доступ к ним любым другим способом покажет ошибку.

Запретить пользователям устанавливать программы

Очистка компьютера, зараженного вредоносным ПО, может занять некоторое время. Чтобы пользователи не устанавливали зараженное программное обеспечение, вам следует отключить установщик Windows в групповой политике.

Перейдите в указанное ниже место и дважды щелкните Запретить установки пользователям

Конфигурация компьютераАдминистративные шаблоныКомпоненты WindowsУстановщик Windows

Выберите здесь вариант Включено и выберите Скрыть установки для пользователей в раскрывающемся меню на панели «Параметры» ниже.

Теперь пользователи не смогут устанавливать новые программы на ПК. Хотя они по-прежнему смогут загружать или перемещать их в хранилище ПК.

Отключите съемные запоминающие устройства

USB-накопители и другие съемные устройства хранения данных могут быть очень опасными для ПК. Если кто-то случайно (или намеренно) подключит зараженное вирусом запоминающее устройство к компьютеру, оно может заразить весь ваш компьютер и даже вывести его из строя.

Чтобы запретить пользователям использовать съёмные запоминающие устройства, перейдите в указанное ниже место и дважды щелкните Съемные диски: запретить чтение.

Конфигурация пользователяАдминистративные шаблоныСистемаДоступ к съемным носителям

Включите эту опцию, и компьютер не будет считывать данные любого типа с внешнего запоминающего устройства. Кроме того, под ним есть опция Съемные диски: запретить запись. Вы можете включить её, если не хотите, чтобы кто-либо записывал (сохранял) данные на съёмное устройство хранения.

Запретить запуск определенных приложений

Групповая политика также позволяет создать список приложений, чтобы предотвратить их запуск. Он идеально подходит для того, чтобы пользователи не тратили время на известные приложения. Перейдите в указанное ниже место и откройте опцию Не запускать указанные приложения Windows.

Конфигурация пользователяАдминистративные шаблоныСистема

Включите эту опцию и нажмите кнопку Показать ниже, чтобы начать создание списка приложений, которые вы хотите заблокировать.

Чтобы создать список, вы должны ввести имя исполняемого файла приложения, чтобы иметь возможность заблокировать его; тот, у которого .exe в конце, например, CCleaner.exe, CleanMem.exe или launcher.exe. Лучший способ найти точное имя исполняемого файла приложения – это найти папку приложения в проводнике Windows и скопировать точное имя исполняемого файла (вместе с его расширением .exe).

Введите имя исполняемого файла в список и нажмите ОК, чтобы начать его блокировку.

Под этим параметром групповой политики также есть опция Выполнять только указанные приложения Windows. Если вы хотите отключить все типы приложений, кроме нескольких важных, используйте эту опцию и создайте список приложений, которые вы хотите разрешить. Это отличный вариант, если вы хотите создать действительно строгую рабочую среду.

Читайте также:  Datsun on do магнитола установка

Отключите командную строку и редактор реестра

Когда Панель управления попадает в «плохие руки» – это плохо, но ещё хуже – если это будут командная строка и редактор реестра. Оба этих инструмента могут легко вывести Windows из строя, особенно редактор реестра, который может повредить Windows без возможности восстановления.

Вы должны отключить и командную строку, и редактор реестра Windows, если вас беспокоит безопасность (и состояние) компьютера.

Переместитесь в указанное ниже место:

Конфигурация пользователяАдминистративные шаблоныСистема

Здесь включите параметры Запретить использование командной строки и Запретить доступ к средствам редактирования реестра, чтобы пользователи не могли получить доступ к командной строке и редактору реестра.

Скрыть диски с разделами

Если на компьютере имеется диск с конфиденциальными данными, вы можете скрыть его из раздела «Этот компьютер», чтобы пользователи не могли его найти. Это хорошая мера, чтобы ввести пользователей в заблуждение, но её не следует использовать как метод защиты данных от посторонних глаз.

Перейдите в указанное ниже место и включите параметр Скрыть выбранные диски из окна «Мой компьютер».

Конфигурация пользователяАдминистративные шаблоныКомпоненты WindowsПроводник

После включения щелкните раскрывающееся меню на панели «Параметры» и выберите, какие диски вы хотите скрыть.

Диски будут скрыты, когда вы нажмете ОК.

Настройки для меню «Пуск» и панели задач

Групповая политика предлагает множество настроек для меню «Пуск» и панели задач, чтобы настроить их по своему усмотрению. Настройки идеально подходят как администраторам, так и обычным пользователям, которые хотят настроить меню «Пуск» и панель задач Windows.

Перейдите в указанное ниже место в редакторе групповой политики, и вы найдёте все настройки с объяснением того, что они делают.

Конфигурация пользователяАдминистративные шаблоныМеню «Пуск» и панель задач

Настройки действительно просты для понимания, поэтому я не думаю, что мне придется объяснять каждую из них. Кроме того, Windows предлагает подробное описание для каждой настройки. Некоторые из вещей, которые вы можете сделать, включают: изменение функции кнопки питания в меню «Пуск», запрет пользователям закреплять программы на панели задач, ограничение возможностей поиска, скрытие области уведомлений, скрытие значка батареи, предотвращение изменений в настройках панели задач и меню «Пуск», запрещение пользователям использовать любые параметры питания (выключение, переход в спящий режим и т.д.), удаление параметра «Выполнить» из меню «Пуск» и множество других настроек.

Пора показать, кто здесь главный

Вышеупомянутые настройки групповой политики должны помочь вам получить контроль над ПК и убедиться, что всё идёт так как надо, когда другие пользователи его используют.

Групповая политика имеет сотни опций для управления различными функциями Windows, и выше приведены лишь некоторые из наиболее полезных. Поэтому вам следует изучить редактор групповой политики и посмотреть, нет ли в нём скрытых жемчужин.

Только убедитесь, что вы создали точку восстановления системы, прежде чем вносить какие-либо изменения.

Какая из этих настроек групповой политики Windows вам нравится? Делитесь с нами в комментариях.

Источник

Политика разрешающая установку программ

Эта политика распространяет повышенные привилегии на все программы. Эти привилегии обычно зарезервированы для программ, которые были назначены этому пользователю (предложены на рабочем столе), назначены этому компьютеру (установлены автоматически), или были сделаны доступными в окне "Установка и удаление программ" панели управления. Эта политика позволяет пользователям устанавливать программы, которые требуют доступа к папкам, которые пользователь не может просматривать или изменять, включая папки на компьютерах с высоким уровнем ограничений.

Если эта политика отключена или не задана, система применяет разрешения текущего пользователя при установке программ, не распространяемых или назначаемых системным администратором.

Замечание: эта политика появляется как в папке "Конфигурация компьютера", так и папке "Конфигурация пользователя". Чтобы эта политика вступила в силу, следует включить ее в обеих папках.

надеюсь, кто-нибудь может дать доп. пояснения.

Домен 2003, пользователь ХП.

Нужна дать пользователю права на свободную инсталяцию.

Always install with . включен и на комп и на пользоваетеля (политику обновлял)
Пользователь добавлен в локальные админы (как альтернативная попытка)

При инсталяции, пользователь все равно не имеет доступа на запись в папке ПрограмФайлс.

Поможите пожалуйста решить эту проблему.

Да и дело как раз в том, что не хочется давать права на папку, пользователь сам то косячить не начнет, но все же не есть безопастно иметь такой аккаунт.

Пробовал методом Sergey Sosnovsky:
Конф. польз. — адм.шабл. —комп.Win — Установщик — Всегда производить установку с повышенными полномочиями

эту политику положил в ОУ, где лежат эти 3 пользователя, gpupdate -> не могут устанавливать, говорит нужны административные права

в этот же ОУ положил пару компов, gpupdate -> не могут устанавливать, говорит нужны административные права

отредактировал политику добавил в ветке Конф.комп. — адм.шабл. —комп.Win — Установщик — Всегда производить установку с повышенными полномочиями -> не могут устанавливать, говорит нужны административные права

Источник

Adblock
detector