Sie können, wenn Sie möchten, Benutzer von der Installation oder Ausführung von Programmen in Windows 11/10/8/7 sowie Windows Vista / XP / 2000 & Windows Server Family einschränken. Sie können dies tun, indem Sie bestimmte Gruppenrichtlinieneinstellungen verwenden, um das Verhalten des Windows Installers zu steuern, die Ausführung bestimmter Programme zu verhindern oder über den Registrierungseditor einzuschränken.
Möglicherweise wird eine Fehlermeldung angezeigt:
Die Installation ist durch die Systemrichtlinie verboten, Wenden Sie sich an Ihren Systemadministrator
Der Windows Installer, msiexec.exe, früher bekannt als Microsoft Installer, ist eine Engine für die Installation, Wartung und Entfernung von Software auf modernen Microsoft Windows-Systemen.
In diesem Beitrag erfahren Sie, wie Sie die Installation von Software in Windows 10/8/7 blockieren können.
Deaktivieren oder Beschränken der Verwendung von Windows Installer
Geben Sie gpedit ein.klicken Sie auf Suche starten und drücken Sie die Eingabetaste, um den Gruppenrichtlinien-Editor zu öffnen. Navigieren Sie zu Computerkonfigurationen > Administrative Vorlagen > Windows-Komponenten > Windows Installer. Doppelklicken Sie im Bereich RHS auf Windows Installer deaktivieren. Konfigurieren Sie die Option nach Bedarf.
Diese Einstellung kann Benutzer daran hindern, Software auf ihren Systemen zu installieren, oder Benutzern erlauben, nur die von einem Systemadministrator angebotenen Programme zu installieren. Wenn Sie diese Einstellung aktivieren, können Sie die Optionen im Feld Windows Installer deaktivieren verwenden, um eine Installationseinstellung festzulegen.
Die Option „Nie“ zeigt an, dass Windows Installer vollständig aktiviert ist. Benutzer können Software installieren und aktualisieren. Dies ist das Standardverhalten für Windows Installer unter Windows 2000 Professional, Windows XP Professional und Windows Vista, wenn die Richtlinie nicht konfiguriert ist.
Mit der Option „Nur für nicht verwaltete Apps“ können Benutzer nur die Programme installieren, die ein Systemadministrator zuweist (auf dem Desktop anbietet) oder veröffentlicht (zum Hinzufügen oder Entfernen von Programmen hinzufügt). Dies ist das Standardverhalten von Windows Installer unter Windows Server, wenn die Richtlinie nicht konfiguriert ist.
Die Option „Immer“ zeigt an, dass Windows Installer deaktiviert ist.
Diese Einstellung betrifft nur Windows Installer. Es hindert Benutzer nicht daran, andere Methoden zum Installieren und Aktualisieren von Programmen zu verwenden.
Immer mit erhöhten Rechten installieren
Navigieren Sie im Gruppenrichtlinien-Editor zu Benutzerkonfiguration > Administrative Vorlagen > Windows-Komponenten. Scrollen Sie nach unten, klicken Sie auf Windows Installer und konfigurieren Sie es so, dass es immer mit erhöhten Berechtigungen installiert wird.
Diese Einstellung weist Windows Installer an, Systemberechtigungen zu verwenden, wenn ein Programm auf dem System installiert wird.
Diese Einstellung erweitert erhöhte Rechte auf alle Programme. Diese Berechtigungen sind normalerweise für Programme reserviert, die dem Benutzer zugewiesen (auf dem Desktop angeboten), dem Computer zugewiesen (automatisch installiert) oder in der Systemsteuerung unter Programme hinzufügen oder entfernen verfügbar gemacht wurden. Mit dieser Einstellung können Benutzer Programme installieren, die Zugriff auf Verzeichnisse erfordern, für die der Benutzer möglicherweise keine Berechtigung zum Anzeigen oder Ändern hat, einschließlich Verzeichnissen auf stark eingeschränkten Computern.
Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, wendet das System die Berechtigungen des aktuellen Benutzers an, wenn es Programme installiert, die ein Systemadministrator nicht verteilt oder anbietet.
Diese Einstellung wird sowohl in den Ordnern Computerkonfiguration als auch Benutzerkonfiguration angezeigt. Damit diese Einstellung wirksam wird, müssen Sie die Einstellung in beiden Ordnern aktivieren.
Erfahrene Benutzer können die Berechtigungen nutzen, die diese Einstellung gewährt, um ihre Berechtigungen zu ändern und permanenten Zugriff auf eingeschränkte Dateien und Ordner zu erhalten. Beachten Sie, dass die Benutzerkonfigurationsversion dieser Einstellung nicht garantiert sicher ist.
TIPP: Verwenden Sie AppLocker in Windows, um zu verhindern, dass Benutzer Anwendungen installieren oder ausführen.
Bestimmte Windows-Anwendungen nicht ausführen
Navigieren Sie im Gruppenrichtlinien-Editor zu Benutzerkonfiguration > Administrative Vorlagen > System
Doppelklicken Sie hier im rechten Bereich auf Bestimmte Windows-Anwendungen nicht ausführen, und wählen Sie im neuen Fenster, das sich öffnet, Aktiviert aus. Klicken Sie nun unter Optionen auf Anzeigen. Geben Sie im neuen Fenster, das sich öffnet, den Pfad der Anwendung ein, die Sie nicht zulassen möchten; in diesem Fall: msiexec.exe.
Dadurch wird Windows Installer, das sich in C:\Windows\System32 \ Ordner vom Laufen.
Diese Einstellung verhindert, dass Windows die in dieser Einstellung angegebenen Programme ausführt. Wenn Sie diese Einstellung aktivieren, können Benutzer keine Programme ausführen, die Sie der Liste der nicht zugelassenen Anwendungen hinzufügen.
Diese Einstellung verhindert nur, dass Benutzer Programme ausführen, die vom Windows Explorer-Prozess gestartet werden. Es verhindert nicht, dass Benutzer Programme wie den Task-Manager ausführen, die vom Systemprozess oder von anderen Prozessen gestartet werden. Wenn Sie Benutzern den Zugriff auf die Eingabeaufforderung gestatten, cmd.diese Einstellung hindert sie jedoch nicht daran, Programme im Befehlsfenster zu starten, die sie nicht mit Windows Explorer starten dürfen. Hinweis: Um eine Liste der nicht zugelassenen Anwendungen zu erstellen, klicken Sie auf Anzeigen. Geben Sie im Dialogfeld Inhalt anzeigen in der Spalte Wert den Namen der ausführbaren Anwendung ein (z. B. msiexec.exe).
Beschränken Sie die Installation von Programmen über den Registrierungseditor
Öffnen Sie den Registrierungseditor und navigieren Sie zu folgendem Schlüssel:
HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Policies\Explorer\DisallowRun
Erstellen Sie einen Zeichenfolgenwert mit einem beliebigen Namen, z. B. 1, und legen Sie den Wert auf die EXE-Datei des Programms fest.
Wenn Sie beispielsweise msiexec einschränken möchten, erstellen Sie einen Zeichenfolgenwert 1 und setzen Sie den Wert auf msiexec.exe. Wenn Sie weitere Programme einschränken möchten, erstellen Sie einfach weitere Zeichenfolgenwerte mit den Namen 2, 3 usw. und setzen Sie deren Werte auf die Exe-Datei des Programms.
Möglicherweise müssen Sie Ihren Computer neu starten.
Lesen Sie auch:
- Windows Program Blocker ist eine kostenlose App- oder Anwendungsblocker-Software, mit der die Ausführung von Software blockiert wird
- So blockieren Sie App-Installationen von Drittanbietern in Windows.