При попытке установить программу с помощью установочного MSI пакета на рабочей станции (права локального администратора имеются) возникает ошибка «Данная установка запрещена политикой, заданной системным администратором». Пытался запускать другие MSI файлы, они также не устанавливаются. Что делать?
Ответ
Сообщение Данная установка запрещена политикой, заданной системным администратором (The system administrator has set policies to prevent this installation) при установке (обновлении) программ из MSI пакетов или exe-инсталляторов указывает на то, что на компьютере включены политики, ограничивающие установку программ.
Если ваш пользователь обладает правами локального администратора, то вместо модификации локальных политик безопасности предлагаем простое обходное решение.
- Если это установщик, упакованный в EXE, щелкните по нему и выберите Запуск от имени администратора.
- Если это MSI пакет, откройте командную строку с правами администратора и запустите установку командой:
msiexec.exe /i C:InstallMyApp-Installer.msi
Если программа не устанавливается даже с повышенными привилегиями, проверьте настройки групповых политик на компьютере. Можно получить настройки результирующих GPO на компьютере с помощью графической оснастки rsop.msc или с помощью команды gpresult. Проверьте, есть ли настроенные параметры политик в разделе Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Установщик Windows (Computer Configuration -> Administrative Templates -> Windows Components -> Windows Installer). Параметры GPO, которые могут отграничивать права установки программ через службу msiserver :
- Отключение установщика Windows (Turn off Windows Installer)
- Запретить пользователям, не являющимися администраторами, устанавливать обновления, подписанные изготовителем программы (Prohibit non-administrators from applying vendor signed updates)
- Запретить пользователям устанавливать обновления через Windows Installer (Prevent users from using to install updates and upgrades)
Если хотя бы одна из политик настроена, откройте редактор локальной GPO ( gpedit.msc ), перейдите в указанную выше ветку GPO, и измените настройку политики:
- Turn off Windows Installer:
Enabledсо значениемNever - Prohibit non-administrators from applying vendor signed update:
Disabled - Prevent users from using to install updates and upgrades:
Disabled
- Allow user to patch elevated products:
Enabled
После внесения изменений, примените настройки локальной GPO, выполнив команду:
gpupdate /force
Если на компьютере отсутствует редактор локальной GPO (например, в случае Home редакции Windows), или ограничивающие настройки применены непосредсвенно через реестр, нужно отредактировать значения в реестре. Перейдите в ветку HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsInstaller и измените значение параметров следующим образом:
DisableMSI = 0 DisablePatch = 0 DisableLUAPatching=0 AllowLockdownPatch=1
Если параметры отсутствуют, можно создать их вручную.
В частности, это вызывает ошибку при обновлении компонентов 1C под пользователем, не являющимся локальным администратором:
Установка запрещена на основании системной политики. Обратитесь к системному администратору.
Чтобы разрешить установку обновлений 1С под пользователем, нужно отключить политику. Либо выполнять обновлений с правами администратора.
Также ограничения на установку программ (запуск определённых типов файлов) может быть внедрены с помощью политик ограниченного использования программ ( Software Restriction Policies) или AppLocker. Проверьте результирующие настройки политик в разделах:
- Computer Configuration -> Windows Settings -> Security Settings -> Software Restriction Policies
- Computer Configuration -> Windows Settings -> Security Settings -> Application Control Policies -> Applocker
HKEY_LOCAL_MACHINESOFTWAREPoliciesGoogle .
Подробнее о сбросе локальных политик в Windows.
Добавить комментарий