一、使用组策略编辑器(推荐)
打开组策略编辑器 按 `Win + R` 输入 `gpedit.msc`,回车后导航到:
```
计算机配置 → 管理模板 → Windows 组件 → Windows Installer
```
配置关键策略
- 双击 禁止用户安装,选择 已启用
- 启用 始终以提升的权限进行安装
- 设置 Windows Installer的默认安装权限级别为 从不允许
通过以上设置,普通用户将无法安装软件,需管理员权限。
二、修改本地安全策略
打开本地安全策略
按 `Win + R` 输入 `secpol.msc`,导航到:
```
安全设置 → 本地策略 → 安全选项
```
调整账户控制设置
- 将 用户帐户控制:标准用户的提升提示行为设置为 自动拒绝提升请求
- 禁用 用户帐户控制:检测应用程序安装并提示提升
此外,可配置 管理员批准模式中的权限提示行为。
三、修改注册表(高级操作)
禁用Windows Installer服务
- 按 `Win + R` 输入 `services.msc`,找到 Windows Installer服务,将其启动类型改为 禁用,并停止服务。
添加软件白名单
- 打开注册表编辑器(`regedit`),导航到:
```
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer
```
- 新建DWORD值 `DisableMSI`,设置值为 `1`(仅管理员可安装)。
四、使用企业级管理软件
建议大型企业采用以下工具实现集中管理:
域智盾: 支持禁止用户安装新软件、软件白名单管理、实时监控及日志记录; 软件分发中心
注意事项
权限管理:建议为标准用户创建独立账户,避免权限滥用;
兼容性:部分方法可能影响系统功能(如修改注册表或服务),需谨慎操作;
分层策略:根据用户角色分配权限,例如技术人员可临时获取管理员权限。
通过以上方法,可有效控制账户安装软件的行为,保障系统安全与合规性。
