Wenn Sie möchten, können Sie Benutzern die Installation oder Ausführung von Programmen in Windows 11/10 sowie der Windows Server-Familie verbieten. Sie können dies tun, indem Sie bestimmte verwenden Gruppenrichtlinie Einstellungen, um das Verhalten des Windows Installers zu steuern, die Ausführung bestimmter Programme zu verhindern oder sie über das einzuschränken Registrierungseditor.
Möglicherweise wird eine Fehlermeldung angezeigt:
Die Installation ist durch Systemrichtlinien verboten. Wenden Sie sich an Ihren Systemadministrator
Der Windows Installer, msiexec.exefrüher bekannt als Microsoft Installer, ist eine Engine für die Installation, Wartung und Entfernung von Software auf modernen Microsoft Windows-Systemen.
In diesem Beitrag erfahren Sie, wie das geht Blockieren Sie die Installation von Software unter Windows 11/10.
Deaktivieren oder beschränken Sie die Verwendung von Windows Installer
Geben Sie gpedit.msc in „Suche starten“ ein und drücken Sie die Eingabetaste, um den Gruppenrichtlinien-Editor zu öffnen. Navigieren Sie zu Computerkonfigurationen > Administrative Vorlagen > Windows-Komponenten > Windows Installer. Doppelklicken Sie im rechten Bereich auf Deaktivieren Sie den Windows Installer. Konfigurieren Sie die Option nach Bedarf.
Diese Einstellung kann Benutzer daran hindern, Software auf ihren Systemen zu installieren, oder Benutzern erlauben, nur die von einem Systemadministrator angebotenen Programme zu installieren. Wenn Sie diese Einstellung aktivieren, können Sie die Optionen im Feld „Windows Installer deaktivieren“ verwenden, um eine Installationseinstellung festzulegen.
Die Option „Nie“ zeigt an, dass Windows Installer vollständig aktiviert ist. Benutzer können Software installieren und aktualisieren. Dies ist das Standardverhalten für Windows Installer unter Windows 2000 Professional, Windows XP Professional und Windows Vista, wenn die Richtlinie nicht konfiguriert ist.
Mit der Option „Nur für nicht verwaltete Apps“ können Benutzer nur die Programme installieren, die ein Systemadministrator zuweist (auf dem Desktop anbietet) oder veröffentlicht (sie zu „Programme hinzufügen oder entfernen“ hinzufügt). Dies ist das Standardverhalten von Windows Installer auf der Windows Server-Familie, wenn die Richtlinie nicht konfiguriert ist.
Die Option „Immer“ zeigt an, dass Windows Installer deaktiviert ist.
Diese Einstellung betrifft nur Windows Installer. Es hindert Benutzer nicht daran, andere Methoden zum Installieren und Aktualisieren von Programmen zu verwenden.
Verwandt: Der Systemadministrator hat Richtlinien festgelegt, um diese Installation zu verhindern
Installieren Sie immer mit erhöhten Rechten
Navigieren Sie im Gruppenrichtlinien-Editor zu Benutzerkonfiguration > Administrative Vorlagen > Windows-Komponenten. Scrollen Sie nach unten, klicken Sie auf Windows Installer und konfigurieren Sie es Installieren Sie immer mit erhöhten Rechten.
Diese Einstellung weist Windows Installer an, Systemberechtigungen zu verwenden, wenn es ein Programm auf dem System installiert.
Diese Einstellung erweitert die erhöhten Berechtigungen auf alle Programme. Diese Berechtigungen sind normalerweise Programmen vorbehalten, die dem Benutzer zugewiesen (auf dem Desktop angeboten), dem Computer zugewiesen (automatisch installiert) oder unter „Programme hinzufügen oder entfernen“ in der Systemsteuerung verfügbar gemacht wurden. Mit dieser Einstellung können Benutzer Programme installieren, die Zugriff auf Verzeichnisse erfordern, für deren Anzeige oder Änderung der Benutzer möglicherweise keine Berechtigung hat, einschließlich Verzeichnissen auf stark eingeschränkten Computern.
Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, wendet das System die Berechtigungen des aktuellen Benutzers an, wenn es Programme installiert, die ein Systemadministrator nicht verteilt oder anbietet.
Diese Einstellung erscheint sowohl in den Ordnern „Computerkonfiguration“ als auch „Benutzerkonfiguration“. Damit diese Einstellung wirksam wird, müssen Sie die Einstellung in beiden Ordnern aktivieren.
Lesen: Wichtigste Gruppenrichtlinieneinstellungen zur Verhinderung von Sicherheitsverletzungen
Erfahrene Benutzer können die durch diese Einstellung gewährten Berechtigungen nutzen, um ihre Berechtigungen zu ändern und dauerhaften Zugriff auf eingeschränkte Dateien und Ordner zu erhalten. Beachten Sie, dass die Benutzerkonfigurationsversion dieser Einstellung nicht garantiert sicher ist.
TIPP: Verwenden Sie AppLocker in Windows, um zu verhindern, dass Benutzer Anwendungen installieren oder ausführen.
Führen Sie keine bestimmten Windows-Anwendungen aus
Navigieren Sie im Gruppenrichtlinien-Editor zu Benutzerkonfiguration > Administrative Vorlagen > System.
Doppelklicken Sie hier im rechten Bereich Führen Sie keine bestimmten Windows-Anwendungen aus und wählen Sie im neuen Fenster, das geöffnet wird, die Option Aktiviert aus. Klicken Sie nun unter „Optionen“ auf „Anzeigen“. Geben Sie in den neuen Fenstern, die sich öffnen, den Pfad der Anwendung ein, die Sie nicht zulassen möchten. in diesem Fall, msiexec.exe.
Dadurch wird der Windows Installer, der sich in befindet, nicht zugelassen C:\Windows\System32\ Ordner nicht mehr ausgeführt werden.
Diese Einstellung verhindert, dass Windows die in dieser Einstellung angegebenen Programme ausführt. Wenn Sie diese Einstellung aktivieren, können Benutzer keine Programme ausführen, die Sie zur Liste der unzulässigen Anwendungen hinzufügen.
Diese Einstellung verhindert lediglich, dass Benutzer Programme ausführen, die vom Windows Explorer-Prozess gestartet werden. Es hindert Benutzer nicht daran, Programme wie den Task-Manager auszuführen, die vom Systemprozess oder anderen Prozessen gestartet werden. Wenn Sie Benutzern außerdem Zugriff auf die Eingabeaufforderung gewähren, cmd.exe hindert diese Einstellung sie nicht daran, Programme im Befehlsfenster zu starten, deren Start mit dem Windows Explorer nicht zulässig ist. Hinweis: Um eine Liste unzulässiger Anwendungen zu erstellen, klicken Sie auf Anzeigen. Geben Sie im Dialogfeld „Inhalt anzeigen“ in der Spalte „Wert“ den Namen der ausführbaren Anwendungsdatei ein (z. B. msiexec.exe).
Beschränken Sie die Installation von Programmen über den Registrierungseditor
Öffnen Sie den Registrierungseditor und navigieren Sie zum folgenden Schlüssel:
HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Policies\Explorer\DisallowRun
Erstellen Sie einen String-Wert mit einem beliebigen Namen, z. B. 1, und legen Sie seinen Wert auf die EXE-Datei des Programms fest.
Zum Beispiel, wenn Sie einschränken möchten msiexecund erstellen Sie dann einen String-Wert 1 und setzen Sie den Wert auf msiexec.exe. Wenn Sie weitere Programme einschränken möchten, erstellen Sie einfach weitere String-Werte mit den Namen 2, 3 usw. und legen Sie deren Werte auf die des Programms fest exe.
Möglicherweise müssen Sie Ihren Computer neu starten.
Lesen Sie auch:
- So blockieren Sie die Ausführung von EXE-Dateien mithilfe von Gruppenrichtlinien
- Windows Program Blocker ist eine kostenlose App- oder Anwendungsblocker-Software, die die Ausführung von Software blockiert
- So blockieren Sie die Installation von Drittanbieter-Apps in Windows.
