Исправлено: политики администратора системы блокируют установку приложения

Исправлено: политики администратора системы блокируют установку приложения

При попытке установить программу с помощью MSI-инсталлятора на компьютере с правами локального администратора может появиться ошибка: «Системный администратор установил политики, запрещающие эту установку». Я проверял другие MSI-файлы — они также не устанавливаются. Как исправить эту проблему и можно ли отключить или обойти эти политики безопасности?

Ошибка при установке MSI: Системный администратор установил политики, запрещающие эту установку

Ошибка «Системный администратор установил политики, запрещающие эту установку» может появляться при установке или обновлении приложений из MSI-пакетов или EXE-установщиков на компьютере с Windows. Это означает, что на компьютере включены политики, ограничивающие установку программного обеспечения.

Если ваша учётная запись имеет права локального администратора, вы можете установить приложение, используя простой обходной метод без изменения настроек системных политик безопасности.

  • Если установщик представляет собой файл с расширением *.EXE, кликните по нему правой кнопкой мыши и выберите Запуск от имени администратора (Run as administrator).
  • Если это MSI-пакет, откройте командную строку с правами администратора и выполните установку следующей командой: msiexec.exe /i C:\Install\MyAppInstaller.msi

Установка MSI из повышенной командной строки с помощью msiexec.exe

Если программа всё равно не устанавливается, даже с повышенными правами, проверьте настройки групповой политики (Group Policy) на этом компьютере. Для этого можно использовать графическую консоль rsop.msc или команду gpresult, чтобы просмотреть применённые GPO. Обратите внимание на параметры в разделе Компьютерная конфигурация (Computer Configuration) -> Административные шаблоны (Administrative Templates) -> Компоненты Windows (Windows Components) -> Windows Installer.

С помощью следующих параметров групповой политики можно запретить установку ПО через сервис MSISERVER:

  • Отключить Windows Installer (Turn off Windows Installer)
  • Запретить непривилегированным пользователям применять обновления, подписанные вендором (Prohibit non-administrators from applying vendor-signed updates)
  • Предотвратить использование Windows Installer для установки обновлений и апгрейдов (Prevent users from using Windows Installer to install updates and upgrades)

GPO: Отключить Windows Installer

Если эти политики активированы, откройте редактор локальной групповой политики (gpedit.msc), перейдите к указанному разделу и измените настройки следующим образом:

  • Turn off Windows Installer: Enabled с опцией Never
  • Prohibit non-administrators from applying vendor signed update: Disabled
  • Prevent users from using Windows Installer to install updates and upgrades: Disabled
Политика регулирует возможность непривилегированных пользователей обновлять установленные приложения (по умолчанию отключена). Если же установленное приложение работает в привилегированном режиме (с правами SYSTEM), необходимо дополнительно включить следующую опцию Групповой политики:

  • Разрешить пользователям устанавливать патчи для привилегированных продуктов (Allow users to patch elevated products): Enabled

После внесения изменений примените новые настройки командой:

gpupdate /force

Никогда не отключать Windows Installer через GPO

Если на компьютере отсутствует редактор локальной групповой политики (например, в Windows Home) или ограничения применяются напрямую через реестр, внесите изменения в реестр. Перейдите к разделу HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer и установите следующие параметры:

DisableMSI = 0
DisablePatch = 0
DisableLUAPatching=0
AllowLockdownPatch=1

Создайте эти параметры вручную, если они отсутствуют.

Параметры реестра DisablePatch и DisableMSI

Отметим, что в отличие от обычных редакций Windows, для Windows Server значение политики Turn off Windows Installer по умолчанию установлено в «Только для управляемых приложений». Это означает, что уже установленные приложения не могут обновляться под обычным пользователем.Политика 'Turn off Windows Installer' в Windows Server: по умолчанию For managed applications only

Из-за этого при обновлении некоторых продуктов Autodesk от пользователя, не входящего в локальные администраторы, появляется ошибка:

Эта установка запрещена системной политикой. Обратитесь к системному администратору.

Ошибка 'Эта установка запрещена системной политикой. Обратитесь к системному администратору'
Данная политика должна быть отключена, чтобы разрешить установку обновлений приложений пользователям без админских прав или же запускать обновления с правами локального администратора.

Ограничения на установку программ также могут налагаться с помощью Политик ограничений программного обеспечения (Software Restriction Policies) или AppLocker. Проверьте итоговые настройки групповой политики по следующим путям:

  • Компьютерная конфигурация (Computer Configuration) -> Настройки Windows (Windows Settings) -> Параметры безопасности (Security Settings) -> Политики ограничений программного обеспечения (Software Restriction Policies)
  • Компьютерная конфигурация (Computer Configuration) -> Настройки Windows (Windows Settings) -> Параметры безопасности (Security Settings) -> Контроль приложений (Application Control Policies) -> AppLocker

Если ошибка появляется при установке или обновлении браузера Google Chrome, сбросьте политики браузера, удалив ключ реестра HKLM\SOFTWARE\Policies\Google.

Подробнее о сбросе настроек групповой политики (Group Policy) в Windows читайте в нашей статье.
Поделиться

Похожие записи

Ответить

Ваш адрес email не будет опубликован. Обязательные поля помечены *