Данная установка запрещена политикой, заданной системным администратором. Или что делать, если ты системный администратор, ничего не запрещал, а *.msi-пакеты не устанавливаются?

Статья обновлена: добавлен вариант без копания в политиках, с добавлением пункта "Запуск от имени Администратора" в контекстное меню к MSI-файлам. Подробнее, смотри в самом низу.

 Тут знакомые столкнулись с такой проблемой, что плагин от госуслуг (IFCPlugin-x64.msi) не устанавливается. На одном из пунктов, выдаёт ошибку "Данная установка запрещена политикой, заданной системным администратором"

Ну, полез я в гуглить яндексить...

Эта статья основана на статье Что делать если "установка запрещена политикой, заданной системным администратором" - WWW.SGWW.RU — LiveJournal

При попытке установить *.MSI пакет на сервере удаленных рабочих столов Windows Server 2012 R2 с правами локального пользователя или администратора выдает ошибку: "Данная установка запрещена политикой, заданной системным администратором" если версия системы английская то The system administrator has set policies to prevent this installation.

Примечательный факт, что на сервере не настраивались какие-либо ограничения на запуск msi пакетов пользователями, ни через групповые политики (GPO), ни тем более через Локальные политики безопасности.

Похоже что это стандартное поведение системы, либо Windows самостоятельно изменяет настройки Windows Software Restriction Policy в каких-то случаях.

В таком случае, делаем следующее:

1) Запускаем "Редактор локальной групповой политики" (если стоит ClassicShell - то в пуске, в поисковой строке пишем gpedit.msc и жмём Enter, если используется стандартный, "восьмёрышный" "Начальный экран" - то на этом экране, жмём значок лупы справа, сверху, там пишем gpedit.msc и тоже жмём Enter)

2) Откроется "Редактор локальной групповой политики"

3) В нём, идём в:
Конфигурация компьютера >
    Административные шаблоны >
        Компоненты Windows >
           Установщик Windows

4) Справа, два раза кликните по "Отключение установщика Windows", отметьте пункт "Включено", а ниже, в выпадающем меню под "Отключить установщик Windows" выберите "Никогда"

5) Жмём "Применить", затем "Ок" и идём в:

Конфигурация компьютера >

   Конфигурация Windows >

      Параметры безопасности >

         Политика ограничения использования программ 

6) Кликните правой кнопкой мышки по "Политика ограничения использования программ" и создайте новую политику.

7) Справа, нажмите ПКМ по "Применение" и выберите "Свойства"

8) В открывшемся окне, ставим отметку на "всех пользователей, кроме локальных администраторов" и жмём "Ок"

9) Закрываем редактор групповой политики.

10) Открываем консоль (пуск > cmd > Enter), пишем в ней команду:

gpupdate /force

и жмём Enter

11) Дожидаемся обновления групповых политик и закрываем консоль.

Теперь установка msi должна проходить нормально.

Если у вас английская локализация Windows - то вот кратко, как будет на английском интерфейсе:

1) Открываем gpedit.msc.

2) В нём идём: Local Computer Policy > Computer Configuration > Administrative Templates > Windows Components > Windows Installer.

3) Открываем Disable Windows Installer и отмечаем пункт Enabled.

4) Здесь же, ниже, в выпадающем окне выбираем Never, жмём "OK".

5) Затем, идём в Computer configuration > Windows Settings > Security Settings > Software Restriction Policies.

6) Жмём ПКМ по Software Restriction Policies и выбираем Create New Policies.

7) Жмём ПКМ по Enforcement и нажимаем Properties.

8) Выбираем Click All users except local administrators, жмём "OK" и закрываем Group Policy.

9) Открываем командную строку (Command Prompt), вводим:

gpupdate /force

и жмём Enter.

10) Закрываем консоль и пробуем установить msi-пакет

UPD: Вариант с добавлением в контекстное меню MSI-пакетов пункта "Запуск от имени Администратора".

Делается это так:

1) Запускаем редактор реестра (regedit)

2) Идём по пути:

Компьютер\HKEY_CLASSES_ROOT\Msi.Package\shell

3) В разделе shell, создаём раздел "runas"

4) В этом разделе, справа, дважды щёлкните по ключу "По умолчанию" и в открывшемся окне введите "Запуск от имени Администратора" (без кавычек) и нажмите ОК

5) Теперь, в разделе "runas" создаём раздел с именем "command" (без кавычек).

6) В этом разделе, в правой половине окна, два раза щёлкаем по ключу "По умолчанию" и вбиваем:

msiexec /i "%1"

7) Жмём ОК и закрываем редактор реестра.

Теперь, при нажатии на MSI-пакет, правой кнопкой мыши, в контекстном меню, будет пункт "Запуск от имени Администратора".

Ну и если хотите - вот содержимое REG-файла:

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\Msi.Package\shell\runas]

@="Запуск от имени Администратора"

[HKEY_CLASSES_ROOT\Msi.Package\shell\runas\command]

@="msiexec /i \"%1\""

Сохраните в txt-файл с расширением .reg