Устранение ошибки «операция отменена вследствие действующих для компьютера ограничений»

Базовое администрирование политики ограниченного использования программ

Инструмент этот простой и в общем-то, должен быть известен примерно каждому, благо он существует достаточно давно, а да и применяется всякими айтишниками (и не только) многими повсеместно.

В некоторых версиях систем его нет (типа Home Edition), но в большинстве присутствует. Перечислять все нет большого желания, благо наличие таковой поддержки Вы можете сделать за считанные минуты, собственно, попытавшись открыть сей инструмент.

Сия радость зовётся Software Restriction Policies (SPR), что условно можно перевести как политики ограниченного использования программ (о чем и написано в подзаголовке).

Запустить можно через «Пуск — Выполнить (Win+R) — secpol.msc» :

Или через Администрирование, которое живет по пути «Пуск — Настройка — Панель управления — Администрирование — Локальная политика безопасности — Политики ограниченного использования программ» . Выглядит следующим образом:

Здесь, для начала, тыкаем правой кнопкой мышки по названию «папки», т.е «Политики ограниченного использования программ» и выбираем пункт «Создать политику ограниченного использования программ» .

Далее необходимо будет определиться с, для начала, первичными настройками и произвести их. Для сего нажмем правой кнопкой мышки на пункте «Применение» и выбираем подпункт «Свойства». Здесь (см.скриншот выше) можно оставить всё по умолчанию, либо включить применение ко всему без исключений (по умолчанию стоит игнорирование DLL) и, например, переключить пункт применения ограниченной политики ко всем кроме локальных администраторов (при учете, что у Вас аккаунты разграничены на администраторкие и пользовательские).

Далее, предварительно сохранив изменения, жмем правой кнопкой мышки на пункте «Назначенные типы файлов» и снова выбираем подпункт «Свойства». Здесь можно управлять разрешениями, определяющими понятие исполнительного кода, которые мы в последствии запретим к использованию. Можете настроить на своё усмотрение, в зависимости от целей и задач, которые Вы ставите перед собой, но пока мы оставим всё как есть.

Далее развернем «папку» и перейдем в следующую ветку, т.е в «Уровни безопасности». Здесь можно управлять уровнями безопасности, в том числе задавать таковые по умолчанию, экспортировать списки и тд и тп.

Простейшим, для теста, решением тут будет задать уровень безопасности «Запрещено» по умолчанию (для чего жмем по нему правой кнопкой мышки и жмем соответствующую кнопку), после чего, когда Вы согласитесь с уведомлением, ограничение будет активировано.

Теперь при запуске программ, если Вы не удалили из списка расширений EXE, Вы будете видеть уведомление как на скриншоте выше. Собственно, можно удалить расширение как таковое, а можно пойти более хитрым путём и, например, удалить только расширение LNK, т.е ярлык.

Тогда, собственно, пользователь сможет запускать только тот софт на который у него есть ярлык на рабочем столе. Способ конечно спорный, но в общем-то вполне себе такой хитрый (даже если пользователь умеет редактировать ярлыки, хотя и это можно ему запретить).

Как Вы понимаете, собственно, глобальные правила на всё в компьютере и манипулирование разрешениями только ярлыками не есть гуд, посему хорошо бы задать какие-то папки, откуда можно запускать приложения из сторонних папок (по умолчанию, в зависимости от системы, разрешения могут быть заданы из системных папок, т.е из Windows и ProgramFiles).

Для этого переходим на вкладку «Дополнительные правила» и жамкаем правой кнопкой мышки на пустом месте, выбирая пункт «Создать правило для пути» , где задаём путь и разрешение или запрет для пользователя.

Таким же образом, как Вы уже, надеюсь, поняли, регламентируется запрет или разрешения доступа по хешу, зонам сетей или сертификату.

В двух словах, собственно, как-то вот так.

Планирование создания правил политики

Планируя применение политик ограниченного использования программ, всегда полезно и настоятельно рекомендуется предварительно провести их «обкатку» в тестовой среде. Ввиду сложности структуры на первоначальном этапе возможны ошибки, которые, конечно, лучше исправлять не на рабочей системе. В случае «срабатывания» правила политики в локальный журнал компьютера заносится событие. Код содержит тип правила, его вызвавшего (865 — уровень безопасности по умолчанию, 866 — правило для пути, 867 — правило для сертификата, 868 — правило для зоны Интернета или правило для хеша).

При создании политики, имеющей уровень безопасности Не разрешено, необходимо будет определить, какой код может быть разрешен для запуска пользователем. Как отмечалось выше, эта задача может быть достаточно трудоемкой. Для облегчения процесса инвентаризации программ можно задействовать их отслеживание с помощью расширенного ведения журнала. Этот способ достаточно прост и эффективен.

На тестовом компьютере активируется политика ограничения программ, и в качестве уровня безопасности устанавливается параметр Неограниченный. Все дополнительные правила из политики удаляются. Суть в том, что, несмотря на отсутствие ограничений, при активировании политики можно включить функцию расширенного ведения журнала, в который будет заноситься информация о запущенных программах. Выполнив на тестовом компьютере запуск минимально необходимого пользователю набора программ, а затем, проанализировав этого журнал, можно разработать все необходимые правила для политики.

Для включения режима расширенного ведения журнала на тестовом компьютере создайте параметр реестра в ветви HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers с именем LogFileName. Его значение должно содержать путь к каталогу, где будет расположен файл журнала. Содержимое журнала выглядит следующим образом:
winlogon.exe (PID = 452) identified C:\WINDOWS\system32\userinit.exe as Unrestricted using path rule, Guid = {191cd7fa-f240-4a17-8986-94d480a6c8ca}

Эта запись «переводится» так: родительский процесс winlogon.exe, имеющий значение идентификатора (PID) 452, выполнил запуск C:\Windows\system32\userinit.exe; правило, вызвавшее «срабатывание» — правило для пути с уровнем безопасности Неограниченный (Unrestricted), имеет код GUID {191cd7fa-f240-4a17-8986-94d480a6c8ca}. Каждое правило имеет свой идентификатор GUID. После того, как политика ограниченного использования программ применена, ее конфигурация хранится в системном реестре. Список контроля доступа, защищающий разделы реестра, позволяет только администраторам и учетной записи SYSTEM изменять ее. Политика пользователя хранится в разделе HKCU\Software\Policies\Microsoft\Windows\, политика компьютера хранится в разделе HKLM\SOFTWARE\Policies\Microsoft\Windows\.

Параметры политик в реестре

В случае каких-либо ошибок можно найти правило по его коду GUID и выяснить причину ошибки. По окончании отладки всех правил, на рабочей системе ведение журнала желательно прекратить, удалив параметр LogFileName из реестра для уменьшения использования дискового пространства и снижения быстродействия системы. В случае, если политика содержит параметры только для компьютера или пользователя, для ускорения обработки политики следует отключить неиспользуемые компоненты GPO.

Также для определения тех программ, которым потребуется создать разрешающие правила, можно воспользоваться утилитой msinfo32.exe. Для этого запустите все необходимые приложения, после этого нажмите кнопку Пуск, выберите Выполнить и введите команду msinfo32.exe. В окне программы msinfo32 разверните узел Программная среда и выберите Выполняемые задачи.

Что такое Групповые политики (Group Policy)?

Если верить скучным определениям, то групповые политики (или Group Policy) — это эффективный и централизованный механизм управления многочисленными параметрами операционных систем и приложений. Групповые политики позволяют админам определять правила, в соответствии с которыми настраиваются параметры рабочей среды как для пользователей, так и для компьютеров. Проще говоря, это довольно мощный инструмент для ограничения в действиях обычных пользователей. Существует масса различных политик и прав, с помощью которых можно запретить вызов диспетчера задач или редактора реестра, запретить доступ к меню «Пуск», а также довольно гибко ограничить запуск программного обеспечения (это реализуется с помощью так называемых Software Restriction Policies). Является ли этот механизм эффективным? Лишь отчасти. Доступ к шорткатам, запуск левого ПО и системных приложений, изменение настроек — все это достаточно легко запрещается с помощью групповых политик, и с этой точки зрения можно сказать спасибо разработчикам ОС. Но, увы, как это обычно бывает, эти политики зачастую можно обойти. Тут стоит сделать оговорку. Все политики можно разбить на две категории — для компов и для пользователей. Групповые политики доступны как в домене, так и на локальном компе. Если речь идет о локальной машине, то их можно посмотреть через специальную оснастку gpedit.msc (secpol.msc). В данной статье основной акцент сделан именно на доменные групповые политики. Итак, приступим.

Отключение политики ограничения применения программного обеспечения

Откройте новый лист Блокнота и введите или вставьте следующий код: REG ADD HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\ /v DefaultLevel /t REG_DWORD /d 0x00040000 /f

Нажмите Ctrl + S для сохранения нового документа. Откроется окно с выбором места для сохранения. Укажите папку, в которую ходите сохранить документ, щелкните на выпадающий список типа файла и выберите «Все файлы». Присвойте ему любое имя, только обязательно укажите расширение *.bat , затем щелкните на кнопку «Сохранить».

В Проводнике или другом файловом менеджере перейдите в ту папку, в которой сохранили BAT-файл и запустите двойным щелчком мыши. Подтвердите это действие в следующем окне.

BAT-файл запустит командную строку и выполнит в ней указанную программу. После ее завершения перезагрузите компьютер.

Попробуйте запустить программу, которая была заблокирована групповой политикой.

Эта операция была отменена из-за ограничений, действующих на этом компьютере.

Чтобы исправить эту операцию, эта операция была отменена из-за ограничений, действующих на этом компьютере, с помощью редактора групповой политики выполните следующие действия:

1. Поиск gpedit.msc в поле поиска на панели задач.
2. Нажми на Изменить групповую политику.
3. Перейдите к Проводник в Конфигурация пользователя.
4. Дважды щелкните на Запретить доступ к дискам с моего компьютера.
5. Выбирать Не настроено.
6. Нажмите Применять и хорошо.

Давайте подробно рассмотрим эти шаги.

Для начала вы откроете редактор локальной групповой политики. Для этого найдите gpedit.msc в поле поиска на панели задач и нажмите «Изменить групповую политику» в результатах поиска. После открытия перейдите по этому пути —

Конфигурация пользователя> Административные шаблоны> Компоненты Windows> Проводник

Справа вы увидите параметр «Запретить доступ к дискам с моего компьютера». Дважды щелкните по нему. Для него должно быть установлено значение «Включено», и именно поэтому вы получаете сообщение об ошибке. Выберите «Не настроено» и нажмите кнопки «Применить» и «ОК», чтобы сохранить изменения.

После этого попробуйте открыть диск.

Трюк 7. Используем другого пользователя

Есть способ не подпустить подгрузки политик, но для этого трика нам понадобятся логин и пароль другого пользователя. Суть в том, что нам надо войти в систему «еще раз», но не под собой. Тут два варианта:

1. <Shift> + правый клик на запускаемом файле, далее в контекстном меню выбираем «Run as…».

2. Через консоль набираем команду: runas /noprofile <название exe-файла>.

Другой пользователь, под которым ты запускаешь программку, как и ты, может быть обычным пользователем с ограниченными правами. Но политики на запущенную программку уже не будут действовать! См. рисунок.

На нем пользователь test_gpo3 не может запустить regedit из-за политик. Но, запустив под test_gpo2 любой exe’шник (диспетчер задач например), он уже ничем не ограничен и поэтому может запустить regedit. Кроме того, если у нас есть возможность удаленного входа в систему (по RDP, например), то мы можем провести аналогичный финт, но только с одной учеткой (демонстрацию можешь посмотреть в этом видео).

Как включить Восстановление системы в Windows 10

По умолчанию восстановление системы не включено в Windows 10, но вы можете использовать эти шаги для включения функции:

1. В меню «Пуск» введите Создание точки восстановления и щелкните найденный результат.
2. В разделе «Защита системы», если для системного диска устройства установлено значение «Отключено», нажмите кнопку Настроить.
3. Выберите опцию Включить защиту системы.
4. Нажмите Применить и ОК.

После включения защиты системы вы можете использовать следующие шаги, чтобы убедиться, что точки восстановления создаются ежедневно.

Как включить автоматическое восстановление системы с помощью групповой политики

Если вы используете Windows 10 Pro, вы можете изменять параметры групповой политики, чтобы автоматически создавать точки восстановления каждый день.

1. Используйте сочетание клавиш Win + R, чтобы открыть командное окно «Выполнить».
2. Введите gpedit.msc и нажмите кнопку ОК, чтобы открыть редактор локальной групповой политики.
3. Найдите следующий путь:

   Конфигурация компьютера → Административные шаблоны → Компоненты Windows → Антивирусная программа «Защитник Windows» → Проверка

4. Справа дважды щелкните политику Создать точку восстановления системы.

5. В открывшемся окне выберите опцию Включено.
6. Нажмите Применить и ОК.

После выполнения этих действий ваш компьютер будет сохранять новую точку восстановления перед каждым ежедневным сканированием на наличие вредоносных программ.

В случае, если вы передумали, вы всегда можете отменить изменения, следуя тем же инструкциям, но на шаге № 5 обязательно выберите параметр «Не задано».

Как включить автоматическое восстановление системы с помощью реестра

Если вы используете Windows 10 Home, у вас не будет доступа к групповой политике, но вы можете изменить те же настройки, отредактировав реестр.

Предупреждение: это дружеское напоминание о том, что редактирование реестра рискованно и может привести к необратимому повреждению вашей установки, если вы не сделаете это правильно. Рекомендуется сделать полную резервную копию вашего компьютера, прежде чем продолжить.

1. Используйте сочетание клавиш Win + R, чтобы открыть командное окно «Выполнить».
2. Введите regedit и нажмите кнопку ОК, чтобы открыть редактор реестра.
3. Найдите следующий путь:

   Совет. В Windows 10 Creators Update и более поздних версиях вы можете скопировать и вставить путь в адресную строку нового реестра, чтобы быстро перейти к месту назначения ключа.

4. Щелкните правой кнопкой мыши ключ Windows Defender, выберите Создать → Раздел.
5. Назовите ключ Scan и нажмите Enter.
6. Щелкните правой кнопкой мыши на правой стороне, выберите Создать → Параметр DWORD (32 бита).
7. Назовите ключ DisableRestorePoint и нажмите Enter.
8. Дважды щелкните по вновь созданному DWORD и убедитесь, что его значение равно .
9. Нажмите ОК.

После выполнения этих шагов, каждый день будет создаваться контрольная точка, которую вы можете использовать для отмены изменений, которые могли повредить ваше устройство.

Если вы хотите отменить изменения, просто следуйте тем же инструкциям, но на шаге № 5 щелкните правой кнопкой мыши раздел Scan (папка) и выберите Удалить, чтобы удалить запись.

Запуск службы

Управление службами в Windows 10 осуществляется так же, как и в предыдущих версиях — через специальный диспетчер. Чтобы вызвать его, сделайте следующее:

1. В поисковой строке внизу экрана введите «Службы».
2. Запустите найденную утилиту.
3. В представленном списке вам необходимо найти объект с названием «Служба Защитника Windows» (может отображаться как «windefend»).
4. Дважды кликните по ней, чтобы открыть меню настроек.
5. В графе «Тип запуска» нужно выставить значение «Автоматически».
6. Щелкните Запустить , чтобы активировать работу Defender.
7. Нажмите Применить и Ok , чтобы сохранить изменения и выйти.

Соответственно, если вам нужно отключить работу программы в Виндовс 10, остановите службу и установите тип запуска: «Отключен».

Как заблокировать запуск EXE-файлов с помощью групповой политики

Подобно настройке контролируемого доступа к папкам с помощью групповой политики и PowerShell, при включении которой эта функция может отслеживать исполняемые файлы, сценарии и библиотеки DLL, которые пытаются внести изменения в файлы в защищенных папках, пользователи ПК могут блокировать файлы .exe в уязвимых местах. папки от запуска с политиками ограниченного использования программ в Windows 11/10.

Чтобы заблокировать запуск исполняемых файлов с помощью групповой политики в Windows 11/10, выполните следующие действия:

• Нажмите клавишу Windows + R, чтобы вызвать диалоговое окно «Выполнить».
• В диалоговом окне «Выполнить» введите gpedit.msc и нажмите Enter, чтобы открыть редактор групповой политики.
• В редакторе локальной групповой политики используйте левую панель, чтобы перейти по указанному ниже пути:

Конфигурация компьютера > Параметры Windows > Параметры безопасности > Политики ограниченного использования программ

• В этом месте на левой панели навигации щелкните папку «Политики ограниченного использования программ», чтобы свернуть ее.
• Затем щелкните правой кнопкой мыши узел папки Дополнительные правила.
• Выберите «Новое правило пути…» в контекстном меню.
• Теперь введите путь к папке, из которой вы хотите запретить запуск исполняемых файлов, и обязательно добавьте суффикс *.exe в конце, чтобы вы блокировали только исполняемые файлы.
• Добавьте описание, если хотите.
• Нажмите Применить > ОК, чтобы сохранить изменения.
• Повторите для дополнительных папок.

Вы можете заблокировать (как минимум) следующее:

• C:WindowsTemp*.exe
• C:WindowsTemp**.exe
• %USERPROFILE%AppDataLocal*.exe
• %USERPROFILE%AppDataLocal**.exe
• %USERPROFILE%AppDataRoaming*.exe
• %USERPROFILE%AppDataRoaming**.exe

После этого вы можете выйти из редактора локальной групповой политики. Если вы хотите разрешить некоторые конкретный исполняемые файлы для запуска в этих папках, просто создайте исключение, выбрав параметр Unrestricted в Уровень безопасности падать.

Для пользователей Windows 11/10 Домашняя вы можете добавить функцию редактора локальной групповой политики, а затем выполнить инструкции, как указано выше.

Вот и все о том, как заблокировать запуск exe-файлов с помощью групповой политики в Windows 11/10!

Связанный пост: Блокировка запуска макросов в Microsoft Office с помощью групповой политики

Как отключить .exe из групповой политики?

Чтобы отключить .exe из редактора групповой политики или применить объект групповой политики для блокировки программного обеспечения по имени файла, следуйте этим инструкциям:

• Запустите редактор реестра.
• Расширять Конфигурация пользователя > Политики > Административные шаблоны > Система.
• Дважды щелкните Не включать указанные приложения Windows.
• Щелкните Включить.
• Нажмите кнопку Показать.
• Введите имя файла, который вы хотите заблокировать.

Как заблокировать EXE-файл?

Вы можете заблокировать exe в Windows 11/10 одним из следующих способов:

• Использование правила пути: в зависимости от имени исполняемого файла и расширения его файла блокируются все версии указанного приложения.
• Использование хеш-значения: после обнаружения исполняемого файла на сервере вычисляется хеш-значение исполняемого файла.

Как исправить, что эта программа заблокирована групповой политикой?

Чтобы исправить эту программу, заблокированную ошибкой групповой политики в вашей системе, сделайте следующее:

• Откройте редактор групповой политики.
• Расширять Конфигурация пользователя > Политики > Административные шаблоны > Система.
• Нажмите кнопку Показать.
• Удалите целевую программу или приложение из списка запрещенных.
• Нажмите «ОК».

Как запустить программу, заблокированную администратором?

Чтобы запустить программу, заблокированную администратором, нужно разблокировать файл. Вот как:

• Щелкните правой кнопкой мыши файл, который вы пытаетесь запустить.
• Выберите «Свойства» в контекстном меню.
• Перейдите на вкладку Общие.
• Под Безопасность раздел, установите флажок Разблокировать.
• Нажмите кнопку «Применить» > «ОК».

Надеюсь, вы найдете этот пост полезным!

Связанные чтения:

1. Запретить пользователям установку программ в Windows.
2. Windows Program Blocker — это бесплатное программное обеспечение для блокировки приложений или приложений, которое блокирует запуск программного обеспечения.
3. Как заблокировать установку сторонних приложений в Windows.

Программы для Windows, мобильные приложения, игры — ВСЁ БЕСПЛАТНО, в нашем закрытом телеграмм канале — Подписывайтесь:)

Работа с точками восстановления

ШАГ 1: создание контрольной точки

И так, первое, что нужно сделать — это включить саму возможность создания точек и отвести под них определенное место на диске. Чтобы это сделать — войдите в проводник, кликните правой кнопкой мышки (ПКМ) по строке
«Этот компьютер» и откройте свойства.

Свойства компьютера

Далее в меню слева откройте ссылку
«Защита системы».

Защита системы

Затем выберите системный диск и нажмите кнопку
«Настроить». См. пример на картинке ниже.

Защита системы — настроить

Далее задействуйте режим
«Включить защиту системы», и сдвиньте ползунок влево, выделив под точки восстановления не менее 5-7 ГБ!

Параметры восстановления

После в нижней части окна нажмите на кнопку
«Создать».

Создать точку восстановления

Имя точки можно задать любое (например, «111»).

Имя точки

Если все пройдет успешно, и точка будет создана — увидите уведомление (как на скрине ниже) об успешном завершение операции. Собственно, всё, теперь можно быть относительно спокойным при установке разного рода ПО и драйверов…

Все OK, готово!

ШАГ 2: как откатить систему при помощи созданной точки

Допустим, вы столкнулись с какой-то проблемой, и теперь нужно восстановить ОС Windows.

Если система работает и загружается (если нет ->) — зайдите во вкладку
«Защита системы» (в ШАГЕ 1 рассказано как туда попасть), и нажмите по кнопке «Восстановить». См. пример на картинке ниже.

Восстановление системы

Кстати, альтернативный вариант просмотреть список контрольных точек: нажать сочетание кнопок
Win+R (чтобы появилось окно «Выполнить»), и использовать команду rstrui.

Просмотр списка контрольных точек — команда rstrui

После появится окно восстановления, где нужно просто нажать
«Далее»…

Начало

В следующем шаге перед вами появится заветный список: выбрав одну из контрольных точек, вы сможете откатить систему (ориентируйте по дате создания точки и тех программах, которые она затрагивает).

Выбор точки для отката системы

ШАГ 3: как воспользоваться точкой восстановления, если Windows не загружается

Это худший вариант, как правило возникает при каких-то критических ошибках (например, при повреждении загрузчика, установке некорректных драйверов и пр.).

Что делать в этом случае:

1) Создать загрузочную флешку с Windows 10 на другом ПК (вообще, по идее, такая флешка должна быть и так всегда под-рукой).

2) Воспользоваться BOOT-меню и загрузиться с этой загрузочной флешки (как при установке ОС Windows).

Загрузка с установочной флешки — восстановление системы / кликабельно

4) Далее перед вами появится голубое меню с несколькими функциями: нужно выбрать
«Поиск и устранение неисправностей / Восстановление системы».

Восстановление Windows с помощью точки восстановления / Кликабельно

5) Если все прошло успешно — перед вами появится обычный список контрольных точек восстановления, к которым можно откатиться…

Групповые политики в тонких клиентах

Хочется еще рассказать про такие системы, как Citrix XenApp. Что это такое? XenApp, если говорить простым языком, это система «доставки» приложений (хотя это только часть функционала). По сути, это что-то типа терминального сервера винды, но когда пользователю доступно только конкретное приложение. В жизни это выглядит так. Пользователь коннектится клиентом к Citrix-серверу — ему выводится список доступного ПО. Далее юзер запускает какое-то приложение и начинает в нем работать. Основная фича в том, что фактически процесс приложения выполняется на Citrix-сервере. По сути, данный подход хорош (особенно с тонкими клиентами), но у него есть пучок косяков с точки зрения безопасности. Так как процесс — на сервере, то, значит, пользователю доступны все ресурсы сервера (с учетом пользовательских прав, конечно). Это не очень хорошо, так как предполагается, что у пользователя должен быть доступ только к запущенной программе, а не к ОС. Что еще хуже, добраться-то до самой ОС — не проблема. Даже если у самого ПО нет возможности по взаимодействию с ОС (нет меню «Открыть», «Сохранить как»), то стандартные возможности винды все еще работают: нажимаем в Citrix-приложении — нам открывается диспетчер задач Citrix-сервера, или правый клик по раскладке клавиатуры, а оттуда в файл справки с возможностью листинга директорий. Лично я столкнулся с групповыми политиками именно в этом контексте — при взломе Citrix.

Удаление локальных групповых политик

Важно: этот способ потенциально нежелателен, выполняйте его только на свой страх и риск. Также этот способ не сработает для политик, измененных путем внесения правок в редакторе реестра минуя редакторы политик

Политики загружаются в реестр Windows из файлов в папках WindowsSystem32GroupPolicy и WindowsSystem32GroupPolicyUsers. Если удалить эти папки (может потребоваться загрузиться в безопасном режиме) и перезагрузить компьютер, политики будут сброшены на настройки по умолчанию.

Удаление можно произвести и в командной строке, запущенной от имени администратора, по порядку выполнив команды (последняя команда выполняет перезагрузку политик):

RD /S /Q "%WinDir%System32GroupPolicy" RD /S /Q "%WinDir%System32GroupPolicyUsers" gpupdate /force

Если ни один из способов вам не помог, можно сбросить Windows 10 (доступно и в Windows 8/8.1) на настройки по умолчанию, в том числе и с сохранением данных.

Редактор локальной групповой политики — мощный инструмент, позволяющий тонко настраивать параметры Windows. Применяется он в основном системными администраторами, а при понимании дела с таким же успехом его могут использовать и рядовые юзеры. Впрочем, от ошибок не застрахованы ни первые, ни вторые. Иногда случается, что вследствие неудачной настройки параметров через редактор локальных групповых политик система начинает работать некорректно.

Самое лучшее, что можно предпринять в такой ситуации, это вернуть изменённые настройки в исходное состояние. Если же изменённых настроек много, и вы при этом не помните, что именно меняли, можно прибегнуть к полному сбросу всех настроек редактора групповых политик к значениям по умолчанию. Вот как это можно сделать на примере с Windows 10.

Сбросить конфигурацию редактора политик можно через сам редактор политик. Откройте его командой gpedit.msc и перейдите по пути Конфигурация компьютера -> Административные шаблоны -> Все Параметры. Нажатием импровизированной стрелки в столбце «Состояние» отсортируйте политики таким образом, чтобы имеющие статус «Включено» и «Отключено» оказались вверху списка, так вам будет удобнее с ними работать.

Затем дважды кликните по каждой из этих политик мышкой и в окне настроек установите радиокнопку в положение «Не задано».

Те же самые действия повторите для политики в разделе «Конфигурация пользователя».

Сброс параметров редактора групповых политик также можно выполнить с помощью командной строки. Откройте консоль от имени администратора и последовательно выполните эти три команды, а затем перезагрузите компьютер:

RD /S /Q «%WinDir%System32GroupPolicy»RD /S /Q «%WinDir%System32GroupPolicyUsers»gpuрdаte /force

И, наконец, последний шаг — сброс к значениям по умолчанию локальных политик безопасности. Эта оснастка является своего рода расширением компонента локальных групповых политик. Открывается она командой secpol.msc. Для её сброса также можно использовать командную строку, запущенную с правами администратора. Сама команда сброса выглядит следующим образом:

secedit /configure /cfg %windir%infdefltbase.inf /db defltbase.sdb /verbose

Как и в случае с оснасткой gpedit.msc, для восстановления исходных настроек потребуется перезагрузка компьютера.

Previous Entry | Next Entry

Как запретить установку программ на windows 7 лучшие способы

Редактор групповых политик( к содержанию ↑ )

Одним из самых простых способов ограничения движений другим пользователям является использование групповых политик. Для достижения нужного эффекта, выполняем несколько действий:

1. Заходим в «Пуск
   », а затем в «Выполнить
   ». Кроме того, можете просто нажать сочетание «Win+R
   ».

2. Затем прописываем «gpedit.msc
   ».

3. Откроется нужное нам окно, где нам необходимо перейти на «Административные шаблоны
   ».

4. Далее отправляемся на «Компоненты ОС
   ».

5. Тут нас интересует «Установщик Windows
   ».

6. Под строкой «Состояние
   » находим «Запретить установщик
   ». Открываем и выбираем флажок на «Отключить
   ».

Это позволит полностью запретить установку какого-либо ПО на агрегат. Чтобы вернуть все на свои места, необходимо переключить флажок обратно. Еще одним действенным способом является переустановка операционки с предварительным форматированием главного диска.

Запрет определенной учетной записи( к содержанию ↑ )

В Windows x64 также предусмотрена возможность наложения запрета на конкретного пользователя. Для этого необходимо сделать несколько шагов:

1. Открываем «Выполнить
   » и прописываем «mmc
   ».

2. Затем отправляемся на вкладку «Файл
   » и выбираем «Добавить оснастку…
   ».

3. Появится нужная нам панель.

4. Выбираем «Групповые политики
   » и «Добавить
   ».

5. Откроется новое окно, где указываем «Обзор
   ». Нам нужна вкладка «Пользователи
   ». Затем указываем подходящего юзера. Подтверждаем свои намерения.

6. Отправляемся в «Файл
   » и «Сохранить как
   ». Называем оснастку подходящим именем.

7. Теперь повторяем все пункты, которые указаны в прошлом методе. Но теперь запрет будет распространяться только на конкретного другого пользователя.

Родительский контроль( к содержанию ↑ )

Этот способ считается максимально простым и удобным для внедрения. Он позволяет ограничить движения, если юзер устанавливает много ненужного программного обеспечения из Интернета. Нужно выполнить ряд действий:

1. Отправляемся в «Пуск
   » и «Панель управления
   ».

2. Нас интересует «Учетные записи пользователей
   ».

3. Далее «Родительский контроль
   ».

4. Указываем юзера, на которого должен распространяться запрет.

5. Затем выбираем «Ограничения на запуск программ
   ».

6. Появится консоль, где выбираем пункты, которые мы хотим запретить.

7. Если же подходящего обеспечения нет в списке, отправляемся на «Обзор
   », где и находим нужное.

Как видите, это дает возможность быстро и просто ограничить возможность инсталляции обычному пользователю.

Редактор реестра( к содержанию ↑ )

Не менее действенным способом является использование «Редактора реестра
». Где находится этот инструмент и как его использовать? Все просто:

1. Нажимаем «Win+R
   ». В результате запуститься меню «Выполнить
   ».

   

   

   

   

   

   

   

   

   

   

2. Указываем в строке «regedit.exe
   ».

3. Появится окно, в левой части которого отправляемся в каталог «HKEY_CURRENT_USER
   », а затем в «Software
   ».

4. После нас интересует «Microsoft
   » и «Windows
   ».

5. Далее переходим на «Current Version
   », «Policies
   » и «Explorer
   ».

6. В результате нам нужна директория «DisallowRun
   ».

7. В правой части окна нажимаем ПКМ и создаем текстовый параметр. Присваиваем ему имя «1
   », а внутрь добавляем название приложения, которое необходимо запретить. При этом оно должно совпадать с исполнительным файлом, обладающим расширением *.exe
   .

   Если нужно запретить не одну программу, соответственно создаем дополнительные параметры, которые называем цифрами по порядку, а внутри указываем приложения.

8. Перезагружаемся.

После ни одно ПО, скачиваемое автоматически бесплатно из Интернета, не сможет быть установлено.

При этом важно учитывать, что в зависимости от сборки некоторые пункты могут немного отличаться. Например, версия «Максимальная» и «Домашняя базовая» разняться. Несмотря на это пользователи точно разберутся в последовательности действий

Несмотря на это пользователи точно разберутся в последовательности действий.

В связи с тем, что в самой операционке предусмотрена масса инструментов, дополнительное ПО на эту тематику хоть и было разработано, но все же не получило массового одобрения, а потому попросту не пользуется популярностью. Вместе с тем мы и не рассматривали выключение с помощью программы.

Если вдруг после прочтения статьи у вас остались некоторые вопросы, можете посмотреть видео на эту тему.

Надеюсь, вы достигнете желаемых целей. Подписывайтесь и рассказывайте другим.