Групповые политики (GPO, Group Policy Object) это удобный инструмент тонкой настройки окружения пользователей и операционной системы Windows. На компьютер и пользователей могут применяться доменные групповые политики (если компьютер состоит в домене Active Directory) и локальные (эти политики настраиваются локально на компьютере). Из-за некорректной настройки некоторых параметров GPO (чаще всего связанных с безопасностью), вы можете столкнуться с различными проблемами с запуском приложений или инструментов, ошибками в работе операционной системы (вплоть до невозможности локального входа в Windows) и т.д. Если вы не знаете, какой именно настроенных параметр GPO вызывает проблему, вы можете сбросить настройки групповых политик Windows к значениям по-умолчанию.
Содержание:
- Сбросить отдельные параметры локальной групповой политики с помощью редактора gpedit.msc
- Сброс всех настроек локальной GPO из командной строки
- Сброс локальных политик безопасности Windows
- Как сбросить настройки локальных GPO, если вы не можете войти в Windows?
- Сброс настроек доменных GPO в Windows
- Восстановить настройки по-умолчанию для Default Domain Policy
Сбросить отдельные параметры локальной групповой политики с помощью редактора gpedit.msc
Для настройки параметров политик на локальном компьютере используется графическая консоль редактора локальной групповой политики (gpedit.msc). Эта консоль доступна в только в Pro, Enterprise и Education редакциях Windows 10 и 11.
Запустите оснастку
gpedit.msc
и перейдите в раздел All Settings локальных политик компьютера (Local Computer Policy -> Computer Configuration -> Administrative templates / Политика “Локальный компьютер” -> Конфигурация компьютера -> Административные шаблоны). В этом разделе содержится список всех политик, доступных к настройке в установленных административных (admx) шаблонах GPO. Отсортируйте политики по столбцу State (Состояние) и найдите все активные политики (находятся в состоянии Disabled / Отключено или Enabled / Включено).
Чтобы отключить действие параметра групповой, нужно изменить его состояние на Not configured (Не задана).
Совет.
- Вы можете создать резервную копию текущих настроек локальной GPO с помощью утилиты LGPO.exe
- Список всех примененных настроек локальных и доменных политик на компьютере в виде HTML отчете можно сформировать с помощью команды GPResult:
gpresult /h c:\distr\gpreport2.html
Аналогично сбросьте настройки параметров в пользовательском разделе локальных политик (User Configuration/ Конфигурация пользователя).
Это самый простой способ найти и отменить применённые настройки локальных параметров групповой политики в Windows. Однако некорректные настройки GPO групповых политик могут привести к невозможности запустить оснастку gpedit.msc (или вообще любые программы), потере прав локального администратора на компьютере, запрета на локальный вход в систему, и т.д.. В таких случаях нужно сбросить все настройки GPO в локальных файлах на компьютере.
Сброс всех настроек локальной GPO из командной строки
Windows хранит настройки локальных групповых политик в файлах Registry.pol. Пользовательские и компьютерные настройки политик хранятся в разных файлах.
- Настройки конфигурации компьютера (раздел Computer Configuration) хранятся в
%SystemRoot%\System32\GroupPolicy\Machine\registry.pol - Пользовательские политики (раздел User Configuration) —
%SystemRoot%\System32\GroupPolicy\User\registry.pol
Когда вы включаете определенные параметры в локальной GPO из консоли gpedit.msc, все изменения сохраняются в файлы Registry.pol. После обновления групповых политик (командой
gpupdate /force
или по-расписанию), новые настройки импортируются в реестр и применяются к компьютеру.
- Параметры из файла \Machine\Registry.pol импортируется в ветку реестра HKEY_LOCAL_MACHINE (HKLM) при загрузке компьютера;
- Настройки пользователя импортируются из файла \User\Registry.pol в ветку HKEY_CURRENT_USER (HKCU) при входе пользователя в Windows.
Таким образом, чтобы удалить текущие настройки локальной групповой политики, нужно удалить файлы Registry.pol в каталоге GroupPolicy. Вы можете сбросить текущие политики из командной строки с правами администратора:
RMDIR /S /Q "%WinDir%\System32\GroupPolicyUsers"
RMDIR /S /Q "%WinDir%\System32\GroupPolicy"
Обновите настройки групповых политик, чтобы сбросить старые настройки в реестре:
gpupdate /force
Данные команды сбросят все настройки локальной GPO в секциях Computer Configuration и User Configuration.
Откройте консоль редактора
gpedit.msc
и убедитесь, что все политики перешли в состояние “Не задано”/”Not configured”. После запуска консоли gpedit.msc каталоги GroupPolicyUsers и GroupPolicy будут пересозданы автоматически
Сброс локальных политик безопасности Windows
Локальные политики безопасности (local security policies) настраиваются с помощью отдельной консоли
secpol.msc
. Если вы хотите сбросить настройки локальных политик безопасности Windows к значениям по-умолчанию, выполните команду:
secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb /verbose
Файл
%windir%\inf\defltbase.inf
содержит шаблон дефолтных локальных настроек безопасности Windows.
Перезагрузите компьютер. Это должно сбросить настройки безопасности Windows, которые хранятся в ветке реестра HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
Если предыдущий способ не помог, попробуйте вручную переименовать файл контрольной точки базы локальных политик безопасности %windir%\security\database\edb.chk:
ren %windir%\security\database\edb.chk edb_old.chk
Обновите настройки политик:
gpupdate /force
Перезагрузите Windows с помощью команды shutdown:
Shutdown –f –r –t 0
Как сбросить настройки локальных GPO, если вы не можете войти в Windows?
Если локальный вход в Windows невозможен или не удается запустить командную строку (например, при блокировке ее и других программ с помощью Applocker), вы можете удалить файлы Registry.pol, загрузившись с установочного диска Windows (загрузочной USB флешки) или любого LiveCD.
- Загрузитес компьютер с любого установочного диска/флешки с Windows и запустите командную строку (
Shift+F10
). - Выполните команду:
diskpart - Затем выведите список подключенных к компьютеру дисков:
list volume
В данном примере буква, присвоенная системному диску, соответствует букве в системе – C:\. В некоторых случаях она может не соответствовать. Поэтому следующие команды необходимо выполнять в контексте вашего системного диска (например, D:\ или C:\) - Завершите работу с diskpart:
exit - Выполните следующие команды:
rd /S /Q C:\Windows\System32\GroupPolicy
rd /S /Q C:\Windows\System32\GroupPolicyUsers - Перезагрузите компьютер в обычном режиме и проверьте, что все параметры локальной групповой политики сброшены в состояние по-умолчанию.
Сброс настроек доменных GPO в Windows
Если компьютер включен в домен Active Directory, его настройки могут быть заданы задаются доменными GPO.
Файлы registry.pol всех применённых доменных GPO кэшируются в каталог %windir%\System32\GroupPolicy\DataStore\0\SysVol\contoso.com\Policies. Каждая политика хранится в отдельном каталоге с GUID доменной политики.
Когда вы исключаете компьютер из домена, файлы registry.pol доменных политик на компьютере должны автоматически удалиться. Иногда случается, что компьютер покинул домен, но на него все еще действуют доменные GPO.
В этом случае рекомендуется выполнить сброс кеша доменных политик на компьютере. Воспользуйтесь следующим BAT скриптом:
DEL /S /F /Q “%ALLUSERSPROFILE%\Microsoft\Group Policy\History\*.*”
REG DELETE HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy /f
REG DELETE HKLM\Software\Policies\Microsoft /f
REG DELETE HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies /f
REG DELETE HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies /f
REG DELETE HKCU\Software\Policies\Microsoft /f
REG DELETE "HKCU\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects" /f
DEL /F /Q C:\WINDOWS\security\Database\secedit.sdb
klist purge
gpupdate /force
exit
Также отметим, что в папке C:\ProgramData\Microsoft\Group Policy\History находятся настройки параметров Group Policy Preferences, примененных на компьютере. Если вы включили опцию Remove this item if it is no longer applied в настройках элемента GP Preferences, кэш GPO в этой папке позволит вернуть предыдущее состояние после отключения политики.
Восстановить настройки по-умолчанию для Default Domain Policy
В групповых политиках домене есть две политики по умолчанию с известными GUID:
- Default Domain Policy
{31B2F340-016D-11D2-945F-00C04FB984F9} - Default Domain Controller Policy
{6AC1786C-016F-11D2-945F-00C04FB984F9}
Рекомендации Microsoft указывают, что не нужно редактировать эти GPO. Лучше создать копию этих политик в консоли Group Policy Management (gpmc.msc) и изменить нужные настройки.
Вы можете восстановить настройки этих GPO к состоянию по-умолчанию с помощью утилиты dcgpofix.
Откройте командную строку с правами администратора домена на DC и выполните команду:
dcgpofix /target:Domain
– сбросить Default Domain GPO
dcgpofix /target:DC
– сбросить Default Domain Controller GPO
Или сбросить сразу обе политики:
dcgpofix /target:both
Может появится ошибка:
The Active Directory schema version for this domain and the version supported by this tool do not match. The GPO can be restored using the /ignoreschema command-line parameter. However, it is recommended that you try to obtain an updated version of this tool that might have an updated version of the Active Directory schema. Restoring a GPO with an incorrect schema might result in unpredictable behavior.
В этом случае нужно добавить параметр /ignoreschema для принудительного сброса настроек стандартных GPO. Например:
dcgpofix /ignoreschema /target:Domain
Совет. Рассмотренные выше методики позволяют сбросить все настройки групповых политик во всех версиях Windows. Сбрасываются все настройки, внесенные с помощью редактора групповой политики, однако не сбрасываются все изменения, внесенные в реестре напрямую через regedit.exe, REG- файлы, PowerShell, или доменные GPP с настройками реестра.
Если нужно отредактировать локальную политику безопасности удаленного компьютера (например добавить пользователей в политику «доступ к компьютеру из сети»), то это можно сделать с помощью утилиты ntrights из Windows Resource Kit для Windows Server 2003.
Для этого надо на удаленном сервере зайти под пользователем у которого уже есть права на доступ к нужному компьютеру.
Нужный нам параметр для изменения политики «доступ к компьютеру из сети»: SeNetworkLogonRight
Запускаем:
Ntrights -u DOMAIN\username -m \\COMPUTERNAME +r SeNetworkLogonRight
Где DOMAIN\username — домен/пользователь, которому нужно предоставить доступ к компьютеру COMPUTERNAME.
Другие полезные права описаны тут: Ntrights на microsoft.com
Проблема
Правильно ли я понимаю, что в SN7 возможно удаленно (с рабочего места администратора) управлять локальными политиками компьютеров, для настройки избирательного доступа к внешним устройствам (т.е., например, можно удаленно разрешать использовать определенные флэшки, на определенных компьютерах)?
Решение
Да, правильно.
Управлять локальными политиками компьютеров, Вы можете через программу управления, в режиме мониторинга. В том числе возможно управление доступом в внешним устройствам (аналогично локальной оснастке управления политиками).
Информация оказалась полезной?
Не нашли ответа на свой вопрос? Используйте внутренний поиск:
В этой статье поговорим о еще одном инструменте администрирования Windows — редакторе локальной групповой политики. С его помощью вы можете настроить и определить значительное количество параметров своего компьютера, установить ограничения пользователей, запретить запускать или устанавливать программы, включить или отключить функции ОС и многое другое.
Отмечу, что редактор локальной групповой политики недоступен в Windows 7 Домашняя и Windows 8 (8.1) SL, которые предустановлены на многие компьютеры и ноутбуки (однако, можно установить Редактор локальной групповой политики и в домашней версии Windows). Вам потребуется версия начиная с Профессиональной.
Дополнительно на тему администрирования Windows
- Администрирование Windows для начинающих
- Редактор реестра
- Редактор локальной групповой политики (эта статья)
- Работа со службами Windows
- Управление дисками
- Диспетчер задач
- Просмотр событий
- Планировщик заданий
- Монитор стабильности системы
- Системный монитор
- Монитор ресурсов
- Брандмауэр Windows в режиме повышенной безопасности
Как запустить редактор локальной групповой политики
Первый и один из самых быстрых способов запуска редактора локальной групповой политики — нажать клавиши Win + R на клавиатуре и ввести gpedit.msc — этот способ будет работать в Windows 8.1 и в Windows 7.
Также можно воспользоваться поиском — на начальном экране Windows 8 или в меню пуск, если вы используете предыдущую версию ОС.
Где и что находится в редакторе
Интерфейс редактора локальной групповой политики напоминает другие инструменты администрирования — та же структура папок в левой панели и основная часть программы, в которой можно получить информацию по выбранному разделу.
Слева настройки разделены на две части: Конфигурация компьютера (те параметры, которые задаются для системы в целом, вне зависимости от того, под каким пользователем был совершен вход) и Конфигурация пользователя (настройки, относящиеся к конкретным пользователям ОС).
Каждая из этих частей содержит следующие три раздела:
- Конфигурация программ — параметры, касающиеся приложений на компьютере.
- Конфигурация Windows — настройки системы и безопасности, другие параметры Windows.
- Административные шаблоны — содержит конфигурацию из реестра Windows, то есть эти же параметры вы можете изменить с помощью редактора реестра, но использование редактора локальной групповой политики может быть более удобным.
Примеры использования
Перейдем к использованию редактора локальной групповой политики. Я покажу несколько примеров, которые позволят увидеть, как именно производятся настройки.
Разрешение и запрет запуска программ
Если вы пройдете в раздел Конфигурация пользователя — Административные шаблоны — Система, то там вы обнаружите следующие интересные пункты:
- Запретить доступ к средствам редактирования реестра
- Запретить использование командной строки
- Не запускать указанные приложения Windows
- Выполнять только указанные приложения Windows
Два последних параметра могут быть полезными даже обычному пользователю, далекому от системного администрирования. Кликните дважды по одному из них.
В появившемся окне установите «Включено» и нажмите по кнопке «Показать» около надписи «Список запрещенных приложений» или «Список разрешенных приложений», в зависимости от того, какой из параметров меняется.
Укажите в строчках имена исполняемых файлов программ, запуск которых нужно разрешить или запретить и примените настройки. Теперь, при запуске программы, которая не разрешена, пользователь будет видеть следующее сообщение об ошибке «Операция отменена из-за ограничений, действующих на этом компьютере».
Изменение параметров контроля учетных записей UAC
В разделе Конфигурация компьютера — Конфигурация Windows — Параметры безопасности — Локальные политики — Параметры безопасности имеется несколько полезных настроек, одну из которых можно и рассмотреть.
Выберите параметр «Контроль учетных записей: поведение запроса на повышение прав для администратора» и дважды кликните по нему. Откроется окно с параметрами этой опции, где по умолчанию стоит «Запрос согласия для исполняемых файлов не из Windows» (Как раз поэтому, всякий раз, при запуске программы, которая хочет изменить что-то на компьютере, у вас запрашивают согласие).
Вы можете вообще убрать подобные запросы, выбрав параметр «Повышение без запроса» (только этого лучше не делать, это опасно) или же, напротив, установить параметр «Запрос учетных данных на безопасном рабочем столе». В этом случае, при запуске программы, которая может внести изменения в системе (а также для установки программ) каждый раз потребуется вводить пароль учетной записи.
Сценарии загрузки, входа в систему и завершения работы
Еще одна вещь, которая может оказать полезной — скрипты загрузки и выключения, которые вы можете заставить выполняться с помощью редактора локальной групповой политики.
Это может пригодиться, например, для запуска раздачи Wi-Fi с ноутбука при включении компьютера (если вы реализовывали ее без сторонних программ, а создав Wi-Fi сеть Ad-Hoc) или выполнения операций резервного копирования при выключении компьютера.
В качестве скриптов можно использовать командные файлы .bat или же файлы сценариев PowerShell.
Сценарии загрузки и выключения находятся в Конфигурация компьютера — Конфигурация Windows — Сценарии.
Сценарии входа в систему и выхода — в аналогичном разделе в папке «Конфигурация пользователя».
Например, мне нужно создать сценарий, выполняемый при загрузке: я дважды кликаю по «Автозагрузка» в сценариях конфигурации компьютера, нажимаю «Добавить» и указываю имя файла .bat, который следует выполнить. Сам файл должен находится в папке C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup (этот путь можно увидеть по нажатию кнопки «Показать файлы»).
В случае, если сценарий требует ввода каких-то данных пользователем, то на время его исполнения дальнейшая загрузка Windows будет приостановлена, до завершения работы скрипта.
В заключение
Это лишь несколько простых примеров использования редактора локальной групповой политики, для того, чтобы показать, что такое вообще присутствует на вашем компьютере. Если вдруг захочется разобраться подробнее — в сети есть масса документации на тему.