组策略禁止客户端软件安装及使用

禁止安装软件介绍在某些情况下，管理员可能希望禁止用户在计算机上安装软件。

这可能是出于安全原因，以防止恶意软件的安装，或是为了遵守组织的政策和规定。

本文档将介绍如何禁止安装软件的方法，以保护计算机和数据的安全。

方法1：操作系统权限管理在大多数操作系统中，管理员可以使用权限管理功能来限制用户的软件安装权限。

以下是一些常见操作系统的方法：Windows•在 Windows 系统中，管理员可以通过配置组策略来限制用户的软件安装权限。

可以使用组策略编辑器（gpedit.msc）来设置用户组策略。

•打开“组策略编辑器”，并导航到“计算机配置”>“Windows 设置”>“安全设置”>“软件限制策略”。

•在右侧面板中，可以启用各种策略选项，如禁止安装软件、仅允许安装数字签名软件等。

macOS•在 macOS 中，管理员可以使用“安全性与隐私”设置来限制应用程序的安装。

•打开“系统偏好设置”，点击“安全性与隐私”图标。

•在“通用”选项卡中，可以看到“允许从以下位置下载的应用程序”选项。

在这里，可以选择只允许从Mac App Store下载或只允许从认证开发者下载。

Linux•在 Linux 中，管理员可以使用包管理器或软件中心来控制软件安装权限。

•通过访问管理界面或使用命令行，管理员可以根据需要限制特定用户或组的软件安装权限。

方法2：应用白名单和黑名单另一种方法是使用应用白名单和黑名单来控制软件的安装。

应用白名单•应用白名单是指只允许系统上特定的应用程序运行，而阻止其他任何应用的安装和运行。

•白名单可以包括一系列被允许的应用程序的路径或哈希值。

•管理员可以使用安全策略或第三方工具来配置白名单。

应用黑名单•应用黑名单是指禁止系统上特定的应用程序运行，但允许其他应用的安装和运行。

•黑名单可以包括一系列被禁止的应用程序的路径或哈希值。

•管理员可以使用安全策略或第三方工具来配置黑名单。

方法3：使用第三方工具除了操作系统本身提供的功能，还可以使用第三方工具来禁止安装软件。

1.打开"组策略"(gpedit.msc)-->"计算机配置"-->"管理模板"-->"Windows组件"-->"Windows Installer"下启用"禁止用户安装".2.打开"组策略"(gpedit.msc)-->"用户配置"-->"管理模板"-->"Windows组件"-->"Windows Installer"下启用"禁止从可移动媒体进行任何安装".3.在文件夹的"属性"中的"安全"里对用户给予相应的权限.还有就XP而行, 开始的运行中输入gpedit.msc确定,点计算机配置下管理模板加号,windows组件加号，点windows installer,在右侧双击禁止用户安装，点选已启用．绿色软件是不经过注册表的，所以你那种方法没有用只有在组策略设置允许使用的程序，其他的禁止这样即使他们安装了，也是不能使用的 \ R7o P$} V/y v x n具体的方法为：如果你的电脑设置了多个用户，有些程序我们可能不希望其他用户随意运行，也能在组策略中设置。

打开“组策略控制台→用户配置→管理模板→系统”中的“只运行许可的Ｗｉｎｄｏｗｓ应用程序”并启用此策略，然后点击下面的“允许的应用程序列表”边的“显示”按钮，弹出一个“显示内容”对话框，在此单击“添加”按钮来添加允许运行的应用程序即可。

以后一般用户只能运行“允许的应用程序列表”中的程序。

包含“计算机配置”部分和“用户配置”部分。

如果您希望应用的策略设置仅包含对该 GPO 的一个部分的配置更改，您可以配置该GPO 以使系统不处理未使用的部分。

策略组禁止软件安装 Ting Bao was revised on January 6, 20021策略组禁止软件安装策略可是好东西,禁止软件安装开始——运行：——“组策略”、“计算机配置”、“管理模板”、“Windows 组件”、“Windows Installer”中选择1)“禁用Windows Installer”、(已经启用)2) “禁止用户安装” (已经启用)组策略可是好东西你可以通过自己编写规则来最大限度阻止病毒运行,相当于一层防火墙.举例来说说吧U盘病毒盛行,你可用I:\.exe和I:\来阻止其运行,很不错吧还有一些简单规则最有效抗病毒\这种险恶的双面病毒,一下就隔离了,呵呵.还有隐私地方,回收站,系统还原文件夹保护好了,就算中毒了,也没事!级别：学者2月12日 20:00 在Windows XP中只有管理员登陆才能安装软件，如果是从客户登陆就不能安装，其他的功能几乎一样。

你在自己的机子上就开放Client用户，给别人使用然后自己使用管理员登陆。

这样就可以禁止他人在你的机子上安装软件，当然对自己是没有限制的Windows XP 客户端的软件限制策略 :1、运行组策略管理模板---Windows组件----Windows Installer---禁止用户安装--属性---已启用---禁止用户安装2、右击我的电脑--管理（或者打开管理工具里的服务也行）---服务---Windows Instaaler--改成禁用---就行了。

也可以用Winlock来设置降低权限为user即可-----------------------------------------内置管理员帐号是不可以降级的。

只可以禁用。

组策略中没有这样的设置，可以结合楼上的说法，禁用内置管理员帐号，给用户普通用户权限-------------------------------------------Windows XP组策略 & 应用组策略限制垃圾软件的安装和运行一、组策略的基本知识组策略是管理员为用户和计算机定义并控制程序、网络资源及操作系统行为的主要工具。

用组策略彻底禁止客户端软件安装及使用我们企业网络中，经常会出现有用户使用未授权软件的情况。

比如，有些可以上网的用户使用QQ等聊天工具；而这往往是BOSS们所不想看到的东西。

所以限制用户使用非授权软件的重任就落到我们IT部头上了。

其实，限制用户安装和使用未授权软件，对于整个公司的网络安全也是有好处的，做了限制以后，有些病毒程序也不能运行了。

下面我们就来看看怎样通过组策略来限制用户安装和使用软件：一、限制用户使用未授权软件方法一：1. 在需要做限制的OU上右击，点“属性”，进入属性设置页面，新建一个策略，然后点编辑，如下图：2. 打开“组策略编辑器”，选择“用户配置”->“管理模板”->“系统”，然后双击右面板上的“不要运行指定的Windows应用程序”，如下图：3. 在“不要运行指定的Windows应用程序属性”对话框中，选择“已启用”，然后点击“显示”，如下图：4. 在“显示内容”对话框中，添加要限制的程序，比如，如果我们要限制QQ，那么就添加QQ.exe，如下图：5. 点击确定，确定…，完成组策略的设置。

然后到客户端做测试，双击QQ.exe，如下图所示，已经被限制了。

不过，由于这种方式是根据程序名的。

如果把程序名改一下就会不起作用了，比如我们把QQ.exe改为TT.exe，再登录，如下图，又可以了。

看来我们的工作还没有完成，还好Microsoft还给我们提供了其它的方式，接下来我们就用哈希规则来做限制。

6. 打开“组策略编辑器”，选择“用户配置”->“Windows设置”->“安全设置”->“软件限制策略”，右击“软件限制策略”，选择“创建软件限制策略”，如下图：7. 右击“软件限制策略”下的“其他规则”，选择“新建哈希规则”，如下图：8. 在“新建哈希规则”对话框中，点击“浏览”，找到要限制的软件，如下图：点击“确定”后，在右面板上就可以看到我们新建的哈希规则了。

在XP中如何禁止安装软件一运行gpeditmsc打开组策略，在管理模板里打开windows组件，有个windows安装服务，将右边的东西你看一下,具体方法:运行gpeditmsc->计算机配置->管理模板->windows组件->ms installer->启动“禁用ms installer"以及“禁止用户安装”Windows Installer右边窗口中双击禁用Windows Installer选中已启用，点确定策略里启用：禁用“添加/删除程序”,再启用下面的策略：控制台－－用户配置－－管理模板－－系统”中的“只运行许可的Windows应用程序”，在“允许的应用程序列表”里“添加允许运行的应用程序而让你运行的程序限制又限制可以在组策略里作出限制，但只要使用者可以进入组策略，那他还是可以安装文件的，设置的方法进入组策略后，进入用户权限设置里找到安装文件项删除所有用户名就可以二用超级兔子三我的电脑上----右键选管理-----打开服务和应用程序里面的服务------在右边查找Windows Installer-----击打开，将启动类型改为已禁止这样子大多数安装程序就不能安装了，因为他会禁止掉所有需要调用WINDOWS INSTALLER的安装程序，尤其是那些*msi 的肯定不能安装的四在控制面板里的用户帐号里面,建立一个帐号,不给安装权限,自己想安装的时候就点右键选择以管理员帐号来运行这个安装程序,一些要修改系统文件的程序也用这个办法来运行进管理员帐户：gpedit.msc－计算机配置－WINDOWS设置－安全设置－用户权利指派下面有装载和卸载程序允许信任以委托五"运行" msconfig ,直接禁掉就可以了除2000不能直接用,其它都可以六设置用户权限给管理员用户名加密新建一个USER组里的用户让他们用这个账号登陆安装目录下的就不能用了启用多用户登录，为每个用户设置权限，最好只有管理者权限的才能安装程序还有，你要是2000、XP或者2003系统的话将磁盘格式转换为NTFS格式的，然后设置上用户，给每个用户设置上权限禁用Windows Installer服务。

通过组策略可以实现禁止安装软件，当然通过注册表也是可以实现的，现发2个注册表文件来实现软件的禁止安装与否，有兴趣的可以下载，不需要钱的，放心好了。

不想下载的话，也可以自己做一个REG文件。

方法如下，新建一个TXT文档，把这些：Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] "EnableAdminTSRemote"=dword:00000001"DisableUserInstalls"=dword:00000001复制到文档里头，最后保存。

保存后把TXT文档的扩展名改成REG文件即可。

这个是组策略禁止安装软件的REG文件。

还有一个REG文件---组策略允许安装软件也是同样的方法。

把这些Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] "EnableAdminTSRemote"=dword:00000001"DisableUserInstalls"=dword:00000000编辑成REG文件。

自己去搞吧。

来源：自由天空技术论坛，原文链接：/thread-14291-1-1.html使用方法：将下述代码保存为：*.bat ，*代表任意名称。

仅适用于xp sp2复制内容到剪贴板程序代码@echo offTitle 一键禁止安装软件clscolor 0Becho Windows Registry Editor Version 5.00 >Ban.regecho. >>Ban.regecho[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] >> Ban.regecho "EnableAdminTSRemote"=dword:00000001 >>Ban.regecho "DisableUserInstalls"=dword:00000002 >>Ban.regecho "DisableUserInstalls_Intelset_undo"=dword:062ce6f0 >>Ban.reg regedit /s Ban.regdel Ban.reg复制内容到剪贴板程序代码@echo offTitle 一键解除禁止安装软件clscolor 0Becho Windows Registry Editor Version 5.00 >LiftBan.regecho. >>LiftBan.regecho[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] >> LiftBan.regecho "EnableAdminTSRemote"=dword:00000001 >>LiftBan.regregedit /s LiftBan.regdel LiftBan.reg原理，打开注册表：HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer里面添加两个键名称：DisableUserInstalls 类型：REG_DWORD 值：0x00000002(2)名称：DisableUserInstalls_Intelset_undo 类型：REG_DWORD 值：0x062ce6f0(103606000)这样修改完注册表，就会禁止安装软件。