ユーザーがWindows11/10でプログラムをインストールまたは実行するのをブロックする方法

必要に応じて、ユーザーがWindows 11/10/8/7、Windows Vista / XP / 2000、およびWindowsServerファミリでプログラムをインストールまたは実行することを制限できます。特定のグループポリシーを使用してこれを行うことができます Windowsインストーラの動作を制御し、特定のプログラムの実行を防止したり、レジストリエディタを介して制限したりするための設定 。

エラーメッセージが表示される場合があります：

システムポリシーによりインストールは禁止されています。システム管理者に連絡してください

Windowsインストーラー 、 msiexec.exe 、以前はMicrosoftインストーラーと呼ばれていましたが、最新のMicrosoft Windowsシステムでソフトウェアをインストール、保守、および削除するためのエンジンです。

この投稿では、ソフトウェアのインストールをブロックする方法を説明します。 Windows10/8/7の場合。

Windowsインストーラの使用を無効または制限する

検索の開始にgpedit.mscと入力し、Enterキーを押してグループポリシーエディターを開きます。 [コンピューターの構成]>[管理用テンプレート]>[Windowsコンポーネント]>[Windowsインストーラー]に移動します。 RHSペインで、Windowsインストーラを無効にするをダブルクリックします。 。必要に応じてオプションを構成します。

この設定により、ユーザーがシステムにソフトウェアをインストールできないようにしたり、システム管理者が提供するプログラムのみをインストールできるようにすることができます。この設定を有効にすると、[Windowsインストーラーを無効にする]ボックスのオプションを使用して、インストール設定を確立できます。

「しない」オプションは、Windowsインストーラーが完全に有効になっていることを示します。ユーザーはソフトウェアをインストールおよびアップグレードできます。これは、ポリシーが構成されていない場合のWindows 2000 Professional、Windows XP Professional、およびWindowsVistaでのWindowsインストーラのデフォルトの動作です。

[管理されていないアプリの場合のみ]オプションを使用すると、ユーザーは、システム管理者が割り当てたプログラム（デスクトップで提供）または公開したプログラム（追加または削除に追加）のみをインストールできます。プログラム）。これは、ポリシーが構成されていない場合のWindowsServerファミリでのWindowsインストーラのデフォルトの動作です。

「常に」オプションは、Windowsインストーラーが無効になっていることを示します。

この設定は、Windowsインストーラーにのみ影響します。ユーザーが他の方法を使用してプログラムをインストールおよびアップグレードすることを妨げることはありません。

常に昇格された権限でインストールする

グループポリシーエディターで、[ユーザーの構成]>[管理用テンプレート]>[Windowsコンポーネント]に移動します。下にスクロールして[Windowsインストーラー]をクリックし、常に昇格された特権でインストールするように構成します。 。

この設定は、Windowsインストーラーがシステムにプログラムをインストールするときにシステム権限を使用するように指示します。

この設定は、昇格された特権をすべてのプログラムに拡張します。これらの特権は通常、ユーザーに割り当てられた（デスクトップで提供される）、コンピューターに割り当てられた（自動的にインストールされる）、またはコントロールパネルの[プログラムの追加と削除]で使用できるようになったプログラム用に予約されています。この設定により、ユーザーは、高度に制限されたコンピューター上のディレクトリなど、ユーザーが表示または変更する権限を持たない可能性のあるディレクトリへのアクセスを必要とするプログラムをインストールできます。

この設定を無効にするか、構成しない場合、システムは、システム管理者が配布または提供しないプログラムをインストールするときに、現在のユーザーの権限を適用します。

この設定は、[コンピューターの構成]フォルダーと[ユーザーの構成]フォルダーの両方に表示されます。この設定を有効にするには、両方のフォルダで設定を有効にする必要があります。

熟練したユーザーは、この設定で付与される権限を利用して、権限を変更し、制限されたファイルやフォルダーに永続的にアクセスできます。この設定のユーザー構成バージョンは、安全であることが保証されていないことに注意してください。

ヒント ：WindowsでAppLockerを使用して、ユーザーがアプリケーションをインストールまたは実行できないようにします。

指定されたWindowsアプリケーションを実行しないでください

グループポリシーエディターで、[ユーザーの構成]>[管理用テンプレート]>[システム]

ここのRHSペインで、指定されたWindowsアプリケーションを実行しないをダブルクリックします。 開いた新しいウィンドウで、[有効]を選択します。 [オプション]で[表示]をクリックします。開いた新しいウィンドウで、許可しないアプリケーションのパスを入力します。この場合： msiexec.exe 。

これにより、 C：\ Windows \ System32 \にあるWindowsインストーラーが許可されなくなります。 実行中のフォルダ。

この設定は、この設定で指定したプログラムをWindowsが実行できないようにします。この設定を有効にすると、ユーザーは、許可されていないアプリケーションのリストに追加したプログラムを実行できなくなります。

この設定は、ユーザーがWindowsエクスプローラープロセスによって開始されたプログラムを実行できないようにするだけです。システムプロセスまたは他のプロセスによって開始されるタスクマネージャーなどのプログラムをユーザーが実行することを妨げることはありません。また、ユーザーにコマンドプロンプトcmd.exeへのアクセスを許可する場合、この設定は、ユーザーがWindowsエクスプローラーを使用して開始することを許可されていないコマンドウィンドウでプログラムを開始することを妨げません。注：許可されていないアプリケーションのリストを作成するには、[表示]をクリックします。 [コンテンツの表示]ダイアログボックスの[値]列に、アプリケーションの実行可能ファイル名（msiexec.exeなど）を入力します。

レジストリエディタを介したプログラムのインストールを制限する

レジストリエディタを開き、次のキーに移動します：

HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Policies\Explorer\DisallowRun

1などの任意の名前で文字列値を作成し、その値をプログラムのEXEファイルに設定します。

たとえば、 msiexecを制限する場合 、次に文字列値 1を作成します その値をmsiexec.exeに設定します 。より多くのプログラムを制限したい場合は、2、3などの名前でさらに多くの文字列値を作成し、それらの値をプログラムのexeに設定するだけです。

コンピュータを再起動する必要がある場合があります。

また読む：

1. グループポリシーを使用してEXEファイルの実行をブロックする方法
2. ユーザーがWindowsでプログラムを実行できないようにする
3. 指定したWindowsアプリケーションのみを実行する
4. Windows Program Blockerは、ソフトウェアの実行をブロックする無料のアプリまたはアプリケーションブロッカーソフトウェアです
5. Windowsでサードパーティのアプリのインストールをブロックする方法。