Как сделать чтобы пользователи в группе "пользователи" могли устанавливать программы

Здравствуйте.

В Windows 10 пользователи из группы «Пользователи» (обычные учётные записи) не могут устанавливать большинство программ, если для установки требуются права администратора. Однако вы хотите настроить систему так, чтобы:

**Они могли устанавливать ПО, подтверждая только **свой пароль (а не администратора)

Но не могли влезать в настройки, например, сети или системы

Такое поведение по умолчанию невозможно, потому что UAC (Контроль учётных записей) требует права администратора для всех действий, влияющих на системные файлы и реестр — и установка большинства программ как раз это делает.

Но есть обходные варианты:
✅ Вариант 1: Сделать пользователя администратором, но ограничить доступ к настройкам через групповые политики
Если пользователь будет в группе «Администраторы», он сможет вводить свой пароль в UAC, но тогда он сможет делать и всё остальное. Чтобы ограничить это:

Сделайте пользователя администратором

Откройте gpedit.msc (редактор локальной групповой политики)

Перейдите в:

Копировать
Редактировать
Конфигурация пользователя → Панель управления → Сеть → Сетевые подключения
Включите политику «Запретить доступ к свойствам подключения»

Также в:

Копировать
Редактировать
Конфигурация пользователя → Панель управления → Не показывать вкладку «Сетевые подключения»
Отключите доступ к настройкам, которые не нужны

Также можете заблокировать:

Параметры безопасности

Диспетчер устройств

Изменение времени

📌 Минус: способ ненадёжный, технически пользователь остаётся админом.

✅ Вариант 2: Использовать Runas с сохранением пароля
Если вы хотите, чтобы пользователь запускал определённые установщики от имени администратора, но не имел доступа к системе в целом:

Создайте список разрешённых установщиков

С помощью утилиты runas или AdvancedRun (от NirSoft) настройте ярлыки, которые запускаются от имени администратора с заранее сохранёнными параметрами

Можно использовать утилиту RunAsSpc (третье ПО), чтобы упаковать .exe в контейнер с учётными данными

📌 Минус: это частный способ — под каждую программу, и есть риски безопасности.

✅ Вариант 3: Использовать политику повышения UAC до запрашивания только собственного пароля
По умолчанию обычный пользователь не может подтвердить UAC своим паролем — Windows требует именно пароль администратора. Изменить это в домашних версиях нельзя. В корпоративных редакциях можно изменить поведение UAC через групповые политики, но для стандартных пользователей всё равно нужен пароль админа.

Реалистичное решение:
Оставить пользователя в группе «Пользователи»

Все важные изменения (включая установку) должны идти с паролем администратора

Если нужен доступ к установке — временно вводить админ-пароль вручную

Или:

Сделать пользователя админом, но через политики и сторонние программы заблокировать нежелательные действия

Вывод:
Нельзя сделать так, чтобы обычный пользователь устанавливал программы с вводом своего пароля, но при этом не был админом

В Windows установка ПО = повышение прав = всегда требует пароль администратора

Обойти это можно только через превращение в админа с жёсткими ограничениями, или вручную задавая безопасные маршруты запуска

Технический специалист интернет-провайдера Севстар