Скидання налаштувань локальних групових політик в Windows

  1. Скидання локальних політик за допомогою консолі gpedit.msc
  2. Примусове скидання налаштувань локальних GPO з командного рядка
  3. Скидання локальних політик безпеки Windows
  4. Скидання локальних політик при неможливості входу в Windows
  5. Скидання застосованих налаштувань доменних GPO

Одним з основних інструментів тонкої настройки параметрів користувача і системи Windows є групові політики - GPO (Group Policy Object). На сам комп'ютер і його користувачів можуть діяти доменні групові політики (якщо комп'ютер складається в домені Active Directory) і локальні (ці політики налаштовуються локально і застосовуються тільки на даному комп'ютері). Групові політики є відмінним засобом настройки системи, здатним підвищити її функціонал, захищеність і безпеку. Однак у початківців системних адміністраторів, які вирішили поекспериментувати з безпекою свого комп'ютера, некоректна настройка деяких параметрів локальної (або доменної) груповий політики може призвести до різних проблем: від дрібних проблем, які полягають, наприклад, в неможливості підключити принтер або USB флешку, до повної заборони на установку або запуск будь-яких додатків (через політики SPR або AppLocker), або навіть заборони на локальний або віддалений вхід в систему.

У таких випадках, коли адміністратор не може локально увійти в систему, або не знає точно яка із застосованих ним налаштувань політик викликає проблему, доводиться вдаватися до аварійного сценарієм скидання налаштувань групових політик на стандартні настройки (за замовчуванням). У «чистому» стані комп'ютера жоден з параметрів групових політик не заданий.

У цій статті ми покажемо кілька методів скидання налаштувань параметрів локальних і доменних групових політик до значень за замовчуванням. Ця інструкція є універсальною і може бути використана для скидання налаштувань GPO на всіх підтримуваних версіях Windows: починаючи з Windows 7 і закінчуючи Windows 10, а також для всіх версій Windows Server 2008 / R2, 2012 / R2 і 2016.

Скидання локальних політик за допомогою консолі gpedit.msc

Цей спосіб передбачає використання графічної консолі редактора локальної групової політики gpedit .msc для відключення всіх налаштованих політик. Графічний редактор локальної GPO доступний тільки в Pro, Enterprise і Education редакціях.

Рада.

У домашніх (Home) редакціях Windows консоль Local Group Policy Editor відсутня, однак запустити її все-таки можна. За посиланнями нижче ви зможете завантажити і встановити консоль gpedit.msc для Windows 7 і Windows 10:

Запустіть оснащення gpedit.msc і перейдіть в розділ All Settings локальних політик комп'ютера (Local Computer Policy -> Computer Configuration -> Administrative templates / Політика «Локальний комп'ютер» -> Конфігурація комп'ютера -> Адміністративні шаблони). Дані розділ містить список всіх політик, доступних до налаштування в адміністративних шаблонах. Відсортуйте політики по стовпцю State (Стан) і знайдіть всі активні політики (знаходяться в стані Disabled / Відключено або Enabled / Включено). Вимкніть дію всіх або тільки певних політик, перевівши їх в стан Not configured (Не задана).

Вимкніть дію всіх або тільки певних політик, перевівши їх в стан Not configured (Не задана)

Такі ж дії потрібно провести і в розділі користувальницьких політик (User Configuration / Конфігурація користувача). Таким чином можна відключити дію всіх налаштувань адміністративних шаблонів GPO.

Рада.

Список всіх застосованих налаштувань локальних і доменних політик в зручному html звіті можна отримати за допомогою вбудованої утиліти GPResult командою:
gpresult /hc:\distr\gpreport2.html

Зазначений вище спосіб скидання групових політик в Windows підійде для самих «простих» випадків. Некоректні настройки групових політик можуть привести до більш серйозних проблем, наприклад: неможливості запуску оснащення gpedit.msc або взагалі всіх програм, втрати користувачем прав адміністратора системи, або заборони на локальний вхід в систему. Розглянемо ці випадки докладніше.

Примусове скидання налаштувань локальних GPO з командного рядка

У цьому розділі описано спосіб примусового скидання всіх поточних налаштувань групових політик в Windows. Однак спочатку опишемо деякі принципи роботи адміністративних шаблонів групової політики в Windows.

Архітектура роботи групових політик заснована на спеціальних файлах Registry .pol. Дані файли зберігають параметри реєстру, які відповідають тим чи іншим параметрам налаштованих групових політик. Призначені для користувача і комп'ютерні політики зберігаються в різних файлах Registry .pol.

  • Налаштування конфігурації комп'ютера (розділ Computer Configuration) зберігаються в% SystemRoot% \ System32 \ GroupPolicy \ Machine \ registry.pol
  • Призначені для користувача політики (розділ User Configuration) -% SystemRoot% \ System32 \ GroupPolicy \ User \ registry.pol

pol

При завантаженні комп'ютера система імпортує вміст файлу \ Machine \ Registry.pol в гілку системного реєстру HKEY_LOCAL_MACHINE (HKLM). Вміст файлу \ User \ Registry.pol імпортується в гілку HKEY_CURRENT_USER (HKCU) при вході користувача в систему.

Консоль редактора локальних групових політик при відкритті завантажує вміст даних файлів і надає їх в зручному користувачеві графічному вигляді. При закритті редактора GPO внесені зміни записуються в файли Registry.pol. Після поновлення групових політик (командою gpupdate / force або по-розкладом), нові налаштування потрапляють до реєстру.

Рада. Для внесення зміни в файли варто використовувати тільки редактор групових політик GPO. Не рекомендується редагувати файли Registry.pol вручну або за допомогою старих версій редактора групової політики!

Щоб видалити всі поточні настройки локальних групових політик, потрібно видалити файли Registry.pol в каталозі GroupPolicy. Зробити це можна наступними командами, запущеними в командному рядку з правами адміністратора:

RD / S / Q "% WinDir% \ System32 \ GroupPolicyUsers" RD / S / Q "% WinDir% \ System32 \ GroupPolicy"

Після цього потрібно оновити настройки політик в реєстрі:

gpupdate / force

gpupdate / force

Дані команди скинуть всі налаштування локальних групових політик в секціях Computer Configuration і User Configuration.

Відкрийте консоль редактора gpedit.msc і переконайтеся, що всі політики перейшли в стан Не налаштовано / Not configured. Після запуску консолі gpedit.msc віддалені папки будуть створені автоматично з настройками за замовчуванням.

Скидання локальних політик безпеки Windows

Локальні політик безпеки (local security policies) налаштовуються за допомогою окремої консолі управління secpol.msc. Якщо проблеми з комп'ютером викликані «закручуванням гайок» в локальних політиках безпеки, і, якщо у користувача залишиться доступ до системи і адміністративні права, спочатку варто спробувати скинути налаштування локальних політик безпеки Windows до значень за замовчуванням. Для цього в командному рядку з правами адміністратора виконайте:

  • Для Windows 10, Windows 8.1 / 8 і Windows 7: secedit / configure / cfg% windir% \ inf \ defltbase.inf / db defltbase.sdb / verbose
  • Для Windows XP: secedit / configure / cfg% windir% \ repair \ secsetup.inf / db secsetup.sdb / verbose

sdb / verbose

Після чого комп'ютер потрібно перезавантажити.

У тому випадку, якщо проблеми з політиками безпеки зберігаються, спробуйте вручну перейменувати файл контрольної точки бази локальних політик безпеки% windir% \ security \ database \ edb.chk

ren% windir% \ security \ database \ edb.chk edb_old.chk
ren% windir% \ security \ database \ edb
Виконайте команду:
gpupdate / force
Перезавантажте Windows за допомогою команди shutdown :
Shutdown -f -r -t 0

Скидання локальних політик при неможливості входу в Windows

У тому випадку, якщо локальний вхід в систему неможливий або не вдається запустити командний рядок (наприклад, при блокуванні її та інших програм за допомогою Applocker ). Видалити файли Registry.pol можна, завантажившись з інсталяційного диска Windows або будь-якого LiveCD.

  1. Завантажити з будь-якого установочного диска Windows і запустіть командний рядок (Shift + F10)
  2. Виконайте команду: diskpart
  3. Потім виведемо список дисків в системі: list volume

    В даному прикладі буква, привласнена системному диску, відповідає букві в системі - C: \. Однак в деяких випадках вона може не відповідати. Тому такі команди необхідно виконувати в контексті вашого системного диска (наприклад, D: \ або C: \)

  4. Завершимо роботу з diskpart, набравши: exit
  5. Послідовно виконайте наступні команди: RD / S / QC: \ Windows \ System32 \ GroupPolicy RD / S / QC: \ Windows \ System32 \ GroupPolicyUsers
  6. Перезавантажте комп'ютер у звичайному режимі і перевірте, що локальні групові політики скинуті в стан за замовчуванням

Скидання застосованих налаштувань доменних GPO

Кілька слів про доменні групових політиках. У тому випадку, якщо комп'ютер включений в домен Active Directory, деякими його настройками може керувати адміністратор домену через доменні GPO.

Файли registry.pol всіх застосованих доменних групових політик зберігаються в каталозі% windir% \ System32 \ GroupPolicy \ DataStore \ 0 \ SysVol \ contoso.com \ Policies. Кожна політика зберігається в окремому каталозі з GUID доменної політики.

Кожна політика зберігається в окремому каталозі з GUID доменної політики

Цим файлів registry.pol відповідають наступні гілки реєстру:

  • HKLM \ Software \ Policies \ Microsoft
  • HKCU \ Software \ Policies \ Microsoft
  • HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Group Policy Objects
  • HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies

Історія застосованих версій доменних політик, які збереглися на клієнті, знаходиться в гілках:

  • HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Group Policy \ History \
  • HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Group Policy \ History \

При виключенні комп'ютера з домену файли registry.pol доменних політик на комп'ютері видаляються і відповідно, не завантажуються в реєстр.

Якщо потрібно примусово видворити настройки доменних GPO, потрібно очистити каталог% windir% \ System32 \ GroupPolicy \ DataStore \ 0 \ SysVol \ contoso.com \ Policies і видалити зазначені гілки реєстру (настійно рекомендується створити резервну копію файлів, що видаляються і гілок реєстру !!!) . Потім виконайте команду:

gpupdate / force / boot

Рада. Зазначена методика дозволяє скинути всі налаштування локальних групових політик у всіх версіях Windows. Скидаються всі налаштування, зроблені за допомогою редактора групової політики, проте не скидаються всі зміни, внесені в реєстр безпосередньо через редактор реєстру, REG- файли або будь-яким іншим способом.

IRC (Internet Relay Chat)