วิธีบล็อกผู้ใช้ไม่ให้ติดตั้งหรือเรียกใช้โปรแกรมใน Windows 11/10

คุณทำได้หากต้องการ จำกัดผู้ใช้จากการติดตั้งหรือเรียกใช้โปรแกรมใน Windows 11/10/8/7 เช่นเดียวกับตระกูล Windows Vista/XP/2000 และ Windows Server คุณสามารถทำได้โดยใช้นโยบายกลุ่ม การตั้งค่าเพื่อควบคุมการทำงานของ Windows Installer ป้องกันไม่ให้บางโปรแกรมทำงานหรือจำกัดผ่าน ตัวแก้ไขรีจิสทรี .

คุณอาจเห็นข้อความแสดงข้อผิดพลาด:

การติดตั้งถูกห้ามโดยนโยบายระบบ ติดต่อผู้ดูแลระบบของคุณ

ตัวติดตั้ง Windows , msiexec.exe ซึ่งก่อนหน้านี้เรียกว่า Microsoft Installer เป็นกลไกสำหรับการติดตั้ง บำรุงรักษา และการนำซอฟต์แวร์ออกในระบบ Microsoft Windows ที่ทันสมัย

ในโพสต์นี้ เราจะมาดูวิธีการบล็อกการติดตั้งซอฟต์แวร์ ใน Windows 10/8/7

ปิดใช้งานหรือจำกัดการใช้ Windows Installer

พิมพ์ gpedit.msc ในการเริ่มต้นค้นหาและกด Enter เพื่อเปิดตัวแก้ไขนโยบายกลุ่ม ไปที่การกำหนดค่าคอมพิวเตอร์> เทมเพลตการดูแล> ส่วนประกอบ Windows> Windows Installer ในบานหน้าต่าง RHS ให้ดับเบิลคลิกที่ ปิดการใช้งาน Windows Installer . กำหนดค่าตัวเลือกตามต้องการ

การตั้งค่านี้สามารถป้องกันไม่ให้ผู้ใช้ติดตั้งซอฟต์แวร์บนระบบของตน หรืออนุญาตให้ผู้ใช้ติดตั้งเฉพาะโปรแกรมที่ผู้ดูแลระบบเสนอให้เท่านั้น หากคุณเปิดใช้งานการตั้งค่านี้ คุณสามารถใช้ตัวเลือกในกล่องปิดใช้งาน Windows Installer เพื่อสร้างการตั้งค่าการติดตั้ง

ตัวเลือก “ไม่เลย” แสดงว่า Windows Installer เปิดใช้งานอย่างสมบูรณ์แล้ว ผู้ใช้สามารถติดตั้งและอัพเกรดซอฟต์แวร์ได้ นี่เป็นลักษณะการทำงานเริ่มต้นสำหรับ Windows Installer ใน Windows 2000 Professional, Windows XP Professional และ Windows Vista เมื่อไม่ได้กำหนดค่านโยบาย

ตัวเลือก “สำหรับแอปที่ไม่มีการจัดการเท่านั้น” อนุญาตให้ผู้ใช้ติดตั้งเฉพาะโปรแกรมที่ผู้ดูแลระบบกำหนด (ข้อเสนอบนเดสก์ท็อป) หรือเผยแพร่ (เพิ่มใน Add หรือ Remove โปรแกรม). นี่เป็นลักษณะการทำงานเริ่มต้นของ Windows Installer ในตระกูล Windows Server เมื่อไม่ได้กำหนดค่านโยบาย

ตัวเลือก “เสมอ” ระบุว่า Windows Installer ถูกปิดใช้งาน

การตั้งค่านี้มีผลกับ Windows Installer เท่านั้น ไม่ได้ป้องกันผู้ใช้จากการใช้วิธีอื่นในการติดตั้งและอัปเกรดโปรแกรม

ติดตั้งด้วยสิทธิ์ยกระดับเสมอ

ใน Group Policy Editor ให้ไปที่ User Configuration> Administrative Templates> Windows Components เลื่อนลงและคลิก Windows Installer และกำหนดค่าเป็น ติดตั้งด้วยสิทธิ์ระดับสูงเสมอ .

การตั้งค่านี้กำหนดให้ Windows Installer ใช้สิทธิ์ของระบบเมื่อติดตั้งโปรแกรมใดๆ ในระบบ

การตั้งค่านี้ขยายสิทธิ์การยกระดับไปยังทุกโปรแกรม สิทธิ์เหล่านี้มักจะสงวนไว้สำหรับโปรแกรมที่ได้รับการกำหนดให้กับผู้ใช้ (มีให้บนเดสก์ท็อป) กำหนดให้กับคอมพิวเตอร์ (ติดตั้งโดยอัตโนมัติ) หรือมีให้ใน Add or Remove Programs ใน Control Panel การตั้งค่านี้อนุญาตให้ผู้ใช้ติดตั้งโปรแกรมที่ต้องการเข้าถึงไดเรกทอรีที่ผู้ใช้อาจไม่ได้รับอนุญาตให้ดูหรือเปลี่ยนแปลง ซึ่งรวมถึงไดเรกทอรีในคอมพิวเตอร์ที่มีการจำกัดการใช้งานสูง

หากคุณปิดใช้งานการตั้งค่านี้หรือไม่ได้กำหนดค่า ระบบจะใช้การอนุญาตของผู้ใช้ปัจจุบันเมื่อติดตั้งโปรแกรมที่ผู้ดูแลระบบไม่ได้แจกจ่ายหรือเสนอ

การตั้งค่านี้จะปรากฏทั้งในโฟลเดอร์การกำหนดค่าคอมพิวเตอร์และการกำหนดค่าผู้ใช้ เพื่อให้การตั้งค่านี้มีผล คุณต้องเปิดใช้งานการตั้งค่าในทั้งสองโฟลเดอร์

ผู้ใช้ที่มีทักษะสามารถใช้ประโยชน์จากการอนุญาตที่การตั้งค่านี้มอบให้เพื่อเปลี่ยนสิทธิ์และเข้าถึงไฟล์และโฟลเดอร์ที่ถูกจำกัดอย่างถาวร โปรดทราบว่าเวอร์ชันการกำหนดค่าผู้ใช้ของการตั้งค่านี้ไม่รับประกันว่าจะปลอดภัย

เคล็ดลับ :ใช้ AppLocker ใน Windows เพื่อป้องกันไม่ให้ผู้ใช้ติดตั้งหรือเรียกใช้แอปพลิเคชัน

อย่าเรียกใช้แอปพลิเคชัน Windows ที่ระบุ

ใน Group Policy Editor ให้ไปที่ User Configuration> Administrative Templates> System

ในบานหน้าต่าง RHS ให้ดับเบิลคลิก อย่าเรียกใช้แอปพลิเคชัน Windows ที่ระบุ และในหน้าต่างใหม่ที่เปิดขึ้นให้เลือก Enabled ตอนนี้ภายใต้ตัวเลือกคลิกแสดง ในหน้าต่างใหม่ที่เปิดขึ้น ให้ป้อนเส้นทางของแอปพลิเคชันที่คุณต้องการไม่อนุญาต ในกรณีนี้:msiexec.exe .

การดำเนินการนี้จะไม่อนุญาตให้ Windows Installer ซึ่งอยู่ใน C:\Windows\System32\ โฟลเดอร์ไม่ให้ทำงาน

การตั้งค่านี้ป้องกันไม่ให้ Windows เรียกใช้โปรแกรมที่คุณระบุในการตั้งค่านี้ หากคุณเปิดใช้งานการตั้งค่านี้ ผู้ใช้จะไม่สามารถเรียกใช้โปรแกรมที่คุณเพิ่มลงในรายการแอปพลิเคชันที่ไม่ได้รับอนุญาต

การตั้งค่านี้ป้องกันไม่ให้ผู้ใช้เรียกใช้โปรแกรมที่เริ่มต้นโดยกระบวนการ Windows Explorer เท่านั้น ไม่ได้ป้องกันผู้ใช้จากการรันโปรแกรม เช่น Task Manager ที่เริ่มต้นโดยกระบวนการของระบบหรือโดยกระบวนการอื่น นอกจากนี้ ถ้าคุณอนุญาตให้ผู้ใช้เข้าถึงพรอมต์คำสั่ง cmd.exe การตั้งค่านี้ไม่ได้ป้องกันพวกเขาจากการเริ่มโปรแกรมในหน้าต่างคำสั่งที่พวกเขาไม่ได้รับอนุญาตให้เริ่มทำงานโดยใช้ Windows Explorer หมายเหตุ:หากต้องการสร้างรายการแอปพลิเคชันที่ไม่อนุญาต ให้คลิกแสดง ในกล่องโต้ตอบ แสดงเนื้อหา ในคอลัมน์ ค่า ให้พิมพ์ชื่อปฏิบัติการของแอปพลิเคชัน (เช่น msiexec.exe)

จำกัดไม่ให้ติดตั้งโปรแกรมผ่าน Registry Editor

เปิด Registry Editor และไปที่คีย์ต่อไปนี้:

HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Policies\Explorer\DisallowRun

สร้างค่า String ด้วยชื่อใดก็ได้ เช่น 1 และตั้งค่าเป็นไฟล์ EXE ของโปรแกรม

ตัวอย่างเช่น หากคุณต้องการจำกัด msiexec จากนั้นสร้างค่าสตริง 1 และตั้งค่าเป็น msiexec.exe . หากคุณต้องการจำกัดโปรแกรมเพิ่มเติม ให้สร้างค่าสตริงเพิ่มเติมด้วยชื่อ 2, 3 และอื่นๆ แล้วตั้งค่าเป็น exe ของโปรแกรม

คุณอาจต้องรีสตาร์ทคอมพิวเตอร์

อ่านเพิ่มเติม:

1. วิธีบล็อกไฟล์ EXE ไม่ให้ทำงานโดยใช้นโยบายกลุ่ม
2. ป้องกันไม่ให้ผู้ใช้เรียกใช้โปรแกรมใน Windows
3. เรียกใช้เฉพาะ Windows Applications ที่ระบุ
4. Windows Program Blocker เป็นซอฟต์แวร์ตัวบล็อกแอปหรือแอปพลิเคชันฟรีเพื่อบล็อกไม่ให้ซอฟต์แวร์ทำงาน
5. วิธีบล็อกการติดตั้งแอปของบุคคลที่สามใน Windows