Установка программ групповыми политиками

Эта групповая политика позволяет централизованно для компьютеров устанавливать пакеты (из настроенного репозитория) и удалять пакеты (установленные из репозитория).

• 1 Настройка политики

• 1.1 На рабочей станции
• 1.2 На машине Windows

Настройка политики

На рабочей станции

Шаг 1. На машине с установленными ADMC и GPUI получить ключ Kerberos для администратора домена.

Шаг 2. В ADMC создать новый объект групповой политики (GPO) и связать его с OU, в который входят машины или учетные записи пользователей, для которых будет применяться политика.

Шаг 3. Запустить GPUI:

• из модуля удаленного управления базой данных конфигурации (ADMC), выбрав в контекстном меню объекта групповой политики пункт «Изменить…»:
• или с указанием каталога групповой политики:

Урок 12. Групповые политики Active Directory

$ gpui-main -p «smb://dc.test.alt/SysVol/test.alt/Policies/»

где dc.test.alt – имя контроллера домена, а «» – GUID шаблона групповой политики для редактирования.

Откроется окно редактирования групповых политик.

Шаг 4. Перейти в «Компьютер»/«Пользователь» -> «Административные шаблоны» -> «Система ALT» -> «Управление пакетами»:

Шаг 5. Для задания списка пакетов, которые необходимо установить, щелкнуть левой кнопкой мыши на политике «Установка пакетов», откроется диалоговое окно настройки политики:

Примечание: Для задания списка пакетов, которые необходимо удалить, необходимо выбрать политику «Удаление пакетов».

Для включения политики следует установить отметку в поле «Включено».

Для задания списка пакетов, которые должны быть установлены/удалены нажать кнопку «Редактировать» и в открывшемся окне ввести список пакетов, по одному на каждой строке:

• добавление строки — кнопка «Добавить»;
• удаление строки — кнопка «Удалить»;
• ввести названия пакета — щелчок мыши по строке;
• редактирование названия пакета — двойной щелчок мыши по строке с пакетом;
• применить изменения — кнопка «Ок»;
• отменить изменения — кнопка «Отмена».

Шаг 6. (Опционально) Включить политику «Синхронная работа с политиками». Включение данной настройки запретит работу (установка, удаление) с пакетами в фоновом режиме, что может замедлить работу компьютера при применении политики (при загрузке машины, если политика машинная, или входе пользователя в систему, если политика пользовательская).

Настройка AD GP:Установка и настройки UltraVNC через Групповые политики домена

Для включения этой политики следует в разделе «Компьютер»/«Пользователь» -> «Административные шаблоны» -> «Система ALT» -> «Управление пакетами» выбрать пункт «Синхронная работа с пакетами», в открывшемся окне установить отметку в поле «Включено» и нажать кнопку «ОК», для сохранения изменений:

Шаг 7. Так как политики управления пакетами относятся к экспериментальным, на машинах Альт где они применяются должны быть включены «Экспериментальные групповые политики». Включить «Экспериментальные групповые политики» можно, выбрав в разделе «Компьютер» -> «Административные шаблоны» -> «Система ALT» -> «Групповые политики» пункт «Экспериментальные групповые политики» и установив в открывшемся окне отметку в поле «Включено»:

Примечание: Включить/отключить механизм групповых политик управления пакетами (Packages) можно, включив/отключив политики «Установка и удаление программ» или «Установка и удаление программ для пользователей» («Компьютер» -> «Административные шаблоны» -> «Система ALT» -> «Групповые политики» -> «Механизмы GPUpdate»):

На машине Windows

Шаг 1. На машине с установленным RSAT открыть консоль «Управление групповыми политиками» (gpmc.msc).

Шаг 2. Создать новый объект групповой политики (GPO) и связать его с OU, в который входят машины или учетные записи пользователей, для которых будет применяться политика.

Шаг 3. В контекстном меню GPO выбрать пункт «Редактировать». Откроется редактор GPO.

Шаг 4. Перейти в «Конфигурация компьютера»/«Конфигурация пользователя» -> «Политики» -> «Административные шаблоны» -> «Система ALT» -> «Управление пакетами»:

В правом окне редактора отобразится список политик.

Шаг 5. Для задания списка пакетов, которые необходимо установить, дважды щелкнуть на политике «Установка пакетов», откроется диалоговое окно настройки политики:

Примечание: Для задания списка пакетов, которые необходимо удалить, необходимо выбрать политику «Удаление пакетов».

Для включения политики следует установить отметку в поле «Включить».

Для задания списка пакетов, которые должны быть установлены/удалены нажать кнопку «Показать» и в открывшемся окне ввести список пакетов, по одному на каждой строке:

Шаг 6. (Опционально) Включить политику «Синхронная работа с политиками». Включение данной настройки запретит работу (установка, удаление) с пакетами в фоновом режиме, что может замедлить работу компьютера при применении политики (при загрузке машины, если политика машинная, или входе пользователя в систему, если политика пользовательская).

Для включения этой политики следует в разделе «Конфигурация компьютера»/«Конфигурация пользователя» -> «Политики» -> «Административные шаблоны» -> «Система ALT» -> «Управление пакетами» выбрать пункт «Синхронная работа с пакетами», в открывшемся окне установить отметку в поле «Включить» и нажать кнопку «ОК»/«Применить», для сохранения изменений:

Шаг 7. Так как политики управления пакетами относятся к экспериментальным, на машинах Альт где они применяются должны быть включены «Экспериментальные групповые политики». Включить «Экспериментальные групповые политики» можно, выбрав в разделе «Конфигурация компьютера» -> «Политики» -> «Административные шаблоны» -> «Система ALT» -> «Групповые политики» пункт «Экспериментальные групповые политики»:

Дважды щелкнуть на политике «Экспериментальные групповые политики», в открывшемся окне установить отметку в поле «Включить»:

Примечание: Включить/отключить механизм групповых политик управления пакетами (Packages) можно, включив/отключив политики «Установка и удаление программ» или «Установка и удаление программ для пользователей» («Конфигурация компьютера» -> «Политики» -> «Административные шаблоны» -> «Система ALT» -> «Групповые политики» -> «Механизмы GPUpdate»):

Файлы настроек политики

Все настройки политики хранятся в файлах:

PReg [SoftwareBaseALTPoliciesGPUpdate;GlobalExperimental;;;] [SoftwareBaseALTPoliciesPackages;Sync;;;] [SoftwareBaseALTPoliciesPackagesInstall;gimp;;;gimp] [SoftwareBaseALTPoliciesPackagesInstall;simple-scan;;;simple-scan] [SoftwareBaseALTPoliciesPackagesRemove;python3-tools;;;python3-tools]

Источник: www.altlinux.org

Как обойти установленный в локальных групповых политиках запрет на запуск программ

Администраторы просто обожают редактор локальных групповых политик, используя его для ограничения доступа к различным функциям и приложениям. Например, ваш администратор может отключить возможность запуска всех имеющихся на корпоративном компьютере приложений, кроме тех, которые находятся в белом списке. Если вы попробуете открыть, скажем, командную строку или Regedit, чтобы там чего-то нашаманить, то получите уведомление.

«Операция отменена из-за ограничений, действующих на этом компьютере»

К счастью, многие админы не особо заморачиваются с тем, чтобы сделать эти ограничения по-настоящему эффективными, поэтому их сравнительно легко обойти.

Для этого мы будем использовать лазейки в самой политике «Выполнять только указанные приложения Windows».

Во-первых, обратите внимание, что оная политика запрещает запуск приложений только из процесса Проводника, но не из командной строки.

Во-вторых, речь идет именно об именах программ белого списка, а не о самих исполняемых файлах.

Переименуйте файл программы

Соответственно, если переименовать исполняемый файл программы, не находящейся в списке разрешенного ПО, то ее можно будет запускать.

Правда, здесь есть одно «но».

Для переименования исполняемых файлов приложений в папке Program Files вам понадобятся права администратора, которых у вас может и не быть. Поэтому вам придется скопировать каталог программы из папки Program Files на рабочий стол, а затем переименовать исполняемый файл, присвоив ему название любого приложения из белого списка.

Многие портированные таким образом программы остаются в рабочем состоянии, если не считать потери части настроек, хранящихся в реестре. Со штатными приложениями всё немного сложнее, так как вам придется копировать еще и связанные с их исполняемыми файлами динамические библиотеки.

Исключение составляет командная строка, скопируйте ее файл cmd.exe из каталога System32 на рабочий стол или в отдельную папку, переименуйте и запустите.

Готово, теперь вы можете запускать через консоль другие штатные приложения, например, именно таким образом мы открыли заблокированный графический редактор Microsoft Paint .

Отредактируйте белый список программ из-под LiveCD

Второй способ обхода ограничений на запуск программ более продвинутый, требующий наличия загрузочного диска WinPE 10-8 Sergei Strelec.

С его помощью мы получаем доступ к реестру и редактируем белый список, добавляя в него программу, доступ к которой хотим открыть.

Сделать это с помощью редактора реестра в работающей системе, скорее всего, не получится, так как у вас не будет необходимых прав.

Загрузите компьютер с LiveCD Стрельца, запустите с рабочего стола утилиту Registry Editor PE и разверните в ней ключ:

HKLM_С_user_adminSOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorerRestrictRun

Заменив «admin» именем локальной учетной записи, из-под которой устанавливались ограничения.

Создайте в правой колонке редактора новый строковый параметр,

с именем добавляемого в белый список приложения и установите в качестве его значения имя исполняемого файла программы.

Всё готово, вы отредактировали локальные групповые политики в обход манипуляций вашего администратора, тем самым разрешив самому себе запускать заблокированную им программу.

Источник: www.white-windows.ru

Установка устройства запрещена на основании системной политики Windows 7 8 10 – что делать

При установке программ или компонентов в Windows 10, 8.1 или Windows 7, вы можете столкнуться с ошибкой: окно с заголовком «Установщик Windows» и текстом «Данная установка запрещена политикой, заданной системным администратором». Как итог, программа не устанавливается.

В этой инструкции подробно о способах решить проблему с установкой ПО и исправить ошибку. Для исправления, ваша учетная запись Windows должна иметь права администратора. Схожая ошибка, но имеющая отношение к драйверам: Установка этого устройства запрещена на основании системной политики.

Отключение политик запрещающих установку программ

В некоторых случаях при запуске установочного файла Виндовс выдаёт предупреждение и сообщение безопасности. Их можно отключить на время установки проблемного ПО.

ВАЖНО. Сразу после окончания манипуляций необходимо вернуть этот параметр на прежнее место. В противном случае компьютер останется незащищённым.

• Откройте панель управления, выполнив поиск в меню «Пуск».
• Переключите параметр «Вид» на «Большие значки», и найдите «Учётные записи пользователей».
• Откройте пункт и нажмите «Изменить настройки управления учётными записями пользователей».

Вы заметите, что на слайдере можно выбрать несколько вариантов. Если ваш слайдер установлен на верхнем уровне, количество таких предупреждающих системных сообщений будет максимальным. При этом описанная выше ошибка чаще всего возникает именно из-за контроля учётных записей пользователей. Если установка запрещена на основании системной политики, для начала нужно отключить политики запрещающих установку программ. Попробуйте уменьшить значение на единицу, если оно находится на верхней отметке.

Проверьте, помогло ли это. Повторите этот процесс, если ошибка по-прежнему появляется или полностью отключается от UAC. Можно сразу установить минимальное значение и перейти к установке проблемного софта. Не зависимо от результата инсталляции, обязательно верните ползунок в прежнее положение.

Способ 3: Проверка «Локальной политики безопасности»

В приложении «Локальная политика безопасности» есть несколько параметров, влияющих на установку программного обеспечения. Если их настройки сбились, изменились сторонними средствами или администратором, возможно появление рассматриваемой в этой статье проблемы. Для проверки параметров выполните следующие действия:

1. В меню «Пуск» через поиск отыщите приложение «Средства администрирования Windows».
2. Появится меню «Администрирование», где дважды кликните по пункту «Локальная политика безопасности».
3. В окне управления выделите «Политики ограниченного использования программ». Если появилось уведомление, что политики не определены, щелкните по папке ПКМ и выберите пункт «Создать политику ограниченного использования программ».
4. Теперь в каталог добавится несколько объектов, среди которых следует найти «Применение» и сделать по нему двойной клик ЛКМ.
5. Примените политику «Всех пользователей, кроме локальных администраторов» и сохраните данную настройку.

Сейчас можно не перезагружать операционную систему, а сразу перейти к проверке эффективности выполненных инструкций. Не меняйте настройку обратно, даже если результат все еще окажется неудовлетворительным.

Просмотр политик установки в редакторе локальной групповой политики

Error вызван запрещающей настройки безопасности, и её придётся редактировать.

• Выполнить – gpedit.msc.
• Конфигурация компьютера/Административные шаблоны/Компоненты Виндовс/Установщик Windows.
• Перейдите в правую сторону экрана.
• Дважды щёлкните опцию «Отключение установщика Windows», установите флажок рядом с параметром «Включено» и установите для параметра «Отключить установщик Windows» значение «Никогда».

Перезагрузите компьютер, чтобы сохранить эти изменения и проверить, можно ли установить программу.

Oшибка установщика Windows Installer, решение проблемы +видео

Довольно распространённая проблема среди пользователей операционной системы Windows любых версий – ошибка msi при установке программ из файла с расширением .msi. В этой статье я опишу часто встречаемые проблемы с установщиком Windows 7/10/XP и варианты их решения, а также сделаю видео по текущему вопросу.

Файлы с расширением .msi это обычные пакеты установки (дистрибутивы) из которых ставится программа. В отличии от обычных «setup.exe», для запуска файла msi система использует службу Windows Installer (процесс msiexec.exe). Говоря простыми словами, установщик Windows разархивирует и запускает файлы из дистрибутива. Когда Windows Installer не работает, то появляются различные ошибки.

Вообще, меня это жутко бесит, т.к. после глупого сообщения об ошибке совсем непонятно что делать дальше. Microsoft специально разработали установщик Windows Installer для расширения возможностей установки программ (в основном это касается системных администраторов), но не позаботились должным образом о безглючной работе этой службы или хотя бы об адекватных сообщениях о проблемах. А нам теперь это разгребать

С помощью редактора реестра

Если вы по ошибке отредактируете не тот ключ, последствия могут быть довольно серьёзными. Поэтому, если вы не уверены в своих силах, лучше отложить этот способ на потом. Если данная установка по-прежнему запрещена политикой администратора, переходите к редактированию реестра.

• В редакторе реестра следуйте в директорию:

• Щёлкните ПКМ в пустой области/Создать DWORD (32-разрядный).
• Переименуйте в DisableMSI и установите параметр 1.
• Перейдите к следующему местоположению и просматривайте список, пока не найдёте ПО, которое пытались установить на компьютер.

HKEY_CLASSES_ROOT Installer Products

• Нужный вам ключ будет представлен в виде папки. Щёлкните по ней правой клавишей мыши и выберите «Удалить».

После этого попробуйте снова установить программное обеспечение и проверьте, не появилось ли сообщение об ошибке.

Ключ реестра DisableMSI

Если вы используете операционную систему Windows редакции Home, то редактор локальной групповой политики в ней не будет доступен. Внести все необходимые изменения можно через реестр. Для этого:

1. Откройте редактор реестра (regedit.exe)
2. Перейдите в раздел HKEY_LOCAL_MACHINESOFTWAREPolicies MicrosoftWindowsInstaller» найдите и удалите параметры DisableMSI и DisablePatch (при наличии, или измените на 0).

После проделанных действий обязательно перезагрузите компьютер и запустите установку нужной программы. Ошибка больше не будет появляться.

Если решить проблему не получилось, попробуйте создать новую папку внутри Program Files или Windows, скопировать в нее дистрибутив и запустите его с правами администратора.

Дополнительные методы исправить ошибку «Данная установка запрещена политикой…»

Просто попробуйте запустить файл установки от имени администратора. Это самое примитивное решение, но, тем не менее, во многих случаях оно срабатывало. Поэтому, прежде чем пытаться выполнить более сложные исправления, убедитесь, что вы попробовали запуск от админа и сэкономили себе пару часов. Найдите файл установки нужной программы и щёлкните по нему правой кнопкой мыши. В контекстном меню выберите параметр «Запуск от имени администратора» и согласитесь со всеми всплывающими предупреждениями, которые могут появиться.

Используйте «скрытую» учётную запись администратора

Возникновение такой ошибки означает, что вы на самом деле не являетесь админом своего ПК, даже если ваша учётная запись называется администратор. Этот метод заключается в том, чтобы запустить проблемный софт из учётки админа, а потом снова зайти под привычным логином.

• Нажмите Пуск или клавишу Win и введите cmd (или командная строка).
• Щёлкните его правой кнопкой мыши и выберите вариант «Запуск от имени администратора» (или выберите программу стрелками с клавиатуры и запустите её сочетанием клавиш Ctrl+Shift+Enter).
• Скопируйте и вставьте следующую команду в командной строке и нажмите «Ввод».

«net user администратор active: yes».

• Через пару секунд появится сообщение «Команда выполнена успешно».
• Скопируйте и вставьте следующую команду в командной строке и нажмите «Ввод».

• Вместо введите пароль учётки для входа в систему.
• Войдите в эту учётную запись администратора и подождите пару минут, прежде чем все будет готово.

Теперь вы можете попробовать перезагрузить компьютер, войти в новую учётную запись администратора и запустить установочный файл. После того, как вы закончите со скрытой учётной записью администратора, вы можете снова отключить её, открыв командную строку как админ и набрав следующую команду:

«net user администратор active: no».

После выполнения всех этих шагов ошибка «Данная установка запрещена политикой заданной системным администратором» больше не будет мешать нормальной работе вашего ПК.

Способ 4: Изменение параметров контроля учетных записей

Этот метод крайне редко оказывается эффективным, однако его необходимо попробовать реализовать, если ничего из вышеперечисленного не помогло. Суть способа состоит в том, чтобы изменить параметры контроля учетных записей, разрешив тем самым установку приложений без отправки уведомлений администратору.

1. Откройте меню «Пуск», где отыщите это меню, введя его название.
2. После открытия переместите ползунок в состояние «Никогда не уведомлять».
3. Обязательно нажмите «ОК», чтобы применить новые параметры.

Теперь системный администратор не будет получать уведомлений о любых изменениях, вносимых в ОС, поэтому вы можете смело переходить к установке софта, проверяя, как новые параметры повлияли на этот процесс.