Одним з основних інструментів тонкої настройки параметрів користувача і системи Windows є групові політики - GPO (Group Policy Object). На сам комп'ютер і його користувачів можуть діяти доменні групові політики (якщо комп'ютер складається в домені Active Directory) і локальні (ці політики налаштовуються локально і застосовуються тільки на даному комп'ютері). Групові політики є відмінним засобом настройки системи, здатним підвищити її функціонал, захищеність і безпеку. Однак у початківців системних адміністраторів, які вирішили поекспериментувати з безпекою свого комп'ютера, некоректна настройка деяких параметрів локальної (або доменної) груповий політики може призвести до різних проблем: від дрібних проблем, які полягають, наприклад, в неможливості підключити принтер або USB флешку, до повної заборони на установку або запуск будь-яких додатків (через політики SPR або AppLocker), або навіть заборони на локальний або віддалений вхід в систему.
У таких випадках, коли адміністратор не може локально увійти в систему, або не знає точно яка із застосованих ним налаштувань політик викликає проблему, доводиться вдаватися до аварійного сценарієм скидання налаштувань групових політик на стандартні настройки (за замовчуванням). В "чистому" стані комп'ютера жоден з параметрів групових політик не заданий.
У цій статті ми покажемо кілька методів скидання налаштувань параметрів локальних і доменних групових політик до значень за замовчуванням. Ця інструкція є універсальною і може бути використана для скидання налаштувань GPO на всіх підтримуваних версіях Windows: починаючи з Windows 7 і закінчуючи Windows 10, а також для всіх версій Windows Server 2008 / R2, 2012 / R2 і 2016.
зміст:
- Скидання локальних політик за допомогою консолі gpedit.msc
- Примусове скидання налаштувань локальних GPO з командного рядка
- Скидання локальних політик безпеки Windows
- Скидання локальних політик при неможливості входу в Windows
- Скидання застосованих налаштувань доменних GPO
Скидання локальних політик за допомогою консолі gpedit.msc
Цей спосіб передбачає використання графічної консолі редактора локальної групової політики gpedit.msc для відключення всіх налаштованих політик. Графічний редактор локальної GPO доступний тільки в Pro, Enterprise і Education редакціях.
Порада. У домашніх (Home) редакціях Windows консоль Local Group Policy Editor відсутня, однак запустити її все-таки можна. За посиланнями нижче ви зможете завантажити і встановити консоль gpedit.msc для Windows 7 і Windows 10:- Редактор групових політик для Windows 7 Home
- Консоль gpedit.msc для Windows 10 Home Edition
Запустіть оснащення gpedit.msc і перейдіть в розділ All Settings локальних політик комп'ютера (Local Computer Policy -> Computer Configuration -> Administrative templates / Політика "Локальний комп'ютер" -> Конфігурація комп'ютера -> Адміністративні шаблони). Дані розділ містить список всіх політик, доступних до налаштування в адміністративних шаблонах. Відсортуйте політики по стовпцю State (Стан) і знайдіть всі активні політики (знаходяться в стані Disabled / Відключено або Enabled / Включено). Вимкніть дію всіх або тільки певних політик, перевівши їх в стан Not configured (Не задана).
Такі ж дії потрібно провести і в розділі користувальницьких політик (User Configuration/ Конфігурація користувача). Таким чином можна відключити дію всіх налаштувань адміністративних шаблонів GPO.
Порада. Список всіх застосованих налаштувань локальних і доменних політик в зручному html звіті можна отримати за допомогою вбудованої утиліти GPResult командою:gpresult / h c: \ distr \ gpreport2.html
Зазначений вище спосіб скидання групових політик в Windows підійде для самих "простих" випадків. Некоректні настройки групових політик можуть привести до більш серйозних проблем, наприклад: неможливості запуску оснащення gpedit.msc або взагалі всіх програм, втрати користувачем прав адміністратора системи, або заборони на локальний вхід в систему. Розглянемо ці випадки докладніше.
Примусове скидання налаштувань локальних GPO з командного рядка
У цьому розділі описано спосіб примусового скидання всіх поточних налаштувань групових політик в Windows. Однак спочатку опишемо деякі принципи роботи адміністративних шаблонів групової політики в Windows.
Архітектура роботи групових політик заснована на спеціальних файлах Registry.pol. Дані файли зберігають параметри реєстру, які відповідають тим чи іншим параметрам налаштованих групових політик. Призначені для користувача і комп'ютерні політики зберігаються в різних файлах Registry.pol.
- Налаштування конфігурації комп'ютера (розділ Computer Configuration) Зберігаються в% SystemRoot% \ System32 \ GroupPolicy \ Machine \ registry.pol
- Призначені для користувача політики (розділ User Configuration) -% SystemRoot% \ System32 \ GroupPolicy \ User \ registry.pol
При завантаженні комп'ютера система імпортує вміст файлу \ Machine \ Registry.pol в гілку системного реєстру HKEY_LOCAL_MACHINE (HKLM). Вміст файлу \ User \ Registry.pol імпортується в гілку HKEY_CURRENT_USER (HKCU) при вході користувача в систему.
Консоль редактора локальних групових політик при відкритті завантажує вміст даних файлів і надає їх в зручному користувачеві графічному вигляді. При закритті редактора GPO внесені зміни записуються в файли Registry.pol. Після поновлення групових політик (командою gpupdate / force або по-розкладом), нові налаштування потрапляють до реєстру.
Порада. Для внесення зміни в файли варто використовувати тільки редактор групових політик GPO. Не рекомендується редагувати файли Registry.pol вручну або за допомогою старих версій редактора групової політики!Щоб видалити всі поточні настройки локальних групових політик, потрібно видалити файли Registry.pol в каталозі GroupPolicy. Зробити це можна наступними командами, запущеними в командному рядку з правами адміністратора:
RD / S / Q "% WinDir% \ System32 \ GroupPolicyUsers" RD / S / Q "% WinDir% \ System32 \ GroupPolicy"
Після цього потрібно оновити настройки політик в реєстрі:
gpupdate / force
Дані команди скинуть всі налаштування локальних групових політик в секціях Computer Configuration і User Configuration.
Відкрийте консоль редактора gpedit.msc і переконайтеся, що всі політики перейшли в стан Не налаштовано / Not configured. Після запуску консолі gpedit.msc віддалені папки будуть створені автоматично з настройками за замовчуванням.
Скидання локальних політик безпеки Windows
Локальні політик безпеки (local security policies) налаштовуються за допомогою окремої консолі управління secpol.msc. Якщо проблеми з комп'ютером викликані "закручуванням гайок" в локальних політиках безпеки, і, якщо у користувача залишиться доступ до системи і адміністративні права, спочатку варто спробувати скинути налаштування локальних політик безпеки Windows до значень за замовчуванням. Для цього в командному рядку з правами адміністратора виконайте:
- Для Windows 10, Windows 8.1 / 8 і Windows 7:
secedit / configure / cfg% windir% \ inf \ defltbase.inf / db defltbase.sdb / verbose
- Для Windows XP:
secedit / configure / cfg% windir% \ repair \ secsetup.inf / db secsetup.sdb / verbose
Після чого комп'ютер потрібно перезавантажити.
У тому випадку, якщо проблеми з політиками безпеки зберігаються, спробуйте вручну перейменувати файл контрольної точки бази локальних політик безпеки% windir% \ security \ database \ edb.chk
ren% windir% \ security \ database \ edb.chk edb_old.chk
Виконайте команду:gpupdate / force
Перезавантажте Windows за допомогою команди shutdown:Shutdown -f -r -t 0
Скидання локальних політик при неможливості входу в Windows
У тому випадку, якщо локальний вхід в систему неможливий або не вдається запустити командний рядок (наприклад, при блокуванні її та інших програм за допомогою Applocker). Видалити файли Registry.pol можна, завантажившись з інсталяційного диска Windows або будь-якого LiveCD.
- Завантажити з будь-якого установочного диска Windows і запустіть командний рядок (Shift + F10)
- Виконайте команду:
diskpart
- Потім виведемо список дисків в системі:
list volume
В даному прикладі буква, привласнена системному диску, відповідає букві в системі - C: \. Однак в деяких випадках вона може не відповідати. Тому такі команди необхідно виконувати в контексті вашого системного диска (наприклад, D: \ або C: \)
- Завершимо роботу з diskpart, набравши:
exit
- Послідовно виконайте наступні команди:
RD / S / Q C: \ Windows \ System32 \ GroupPolicy
RD / S / Q C: \ Windows \ System32 \ GroupPolicyUsers
- Перезавантажте комп'ютер у звичайному режимі і перевірте, що локальні групові політики скинуті в стан за замовчуванням
Скидання застосованих налаштувань доменних GPO
Кілька слів про доменні групових політиках. У тому випадку, якщо комп'ютер включений в домен Active Directory, деякими його настройками може керувати адміністратор домену через доменні GPO.
Порада. У тому випадку якщо вам потрібно зовсім заблокувати застосування доменних політик на конкретному комп'ютері, рекомендуємо статтю Відключаємо застосування доменних GPO в Windows 7.Файли registry.pol всіх застосованих доменних групових політик зберігаються в каталозі % Windir% \ System32 \ GroupPolicy \ DataStore \ 0 \ SysVol \ contoso.com \ Policies. Кожна політика зберігається в окремому каталозі з GUID доменної політики.
Цим файлів registry.pol відповідають наступні гілки реєстру:
- HKLM \ Software \ Policies \ Microsoft
- HKCU \ Software \ Policies \ Microsoft
- HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Group Policy Objects
- HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies
Історія застосованих версій доменних політик, які збереглися на клієнті, знаходиться в гілках:
- HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Group Policy \ History \
- HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Group Policy \ History \
При виключенні комп'ютера з домену файли registry.pol доменних політик на комп'ютері видаляються і відповідно, не завантажуються в реєстр.
Якщо потрібно примусово видворити настройки доменних GPO, потрібно очистити каталог% windir% \ System32 \ GroupPolicy \ DataStore \ 0 \ SysVol \ contoso.com \ Policies і видалити зазначені гілки реєстру (настійно рекомендується створити резервну копію файлів, що видаляються і гілок реєстру !!!) . Потім виконайте команду:
gpupdate / force / boot