Отключаем действие групповых политик в Windows 7 | Windows для системных администраторов

Отключаем действие групповых политик в Windows 7

В этой статье поговорим об очередной нестандартной задаче: вопросах отключения действия групповой политики на компьютере в составе домена Windows. Зачем, собственно, может понадобиться такая функция? Ответ на этот вопрос в каждом конкретном случае индивидуален. Это может быть желание регионального администратора ограничить применение к своему рабочему компьютеру ограничений, накладываемых групповыми политиками, и/или желание уйти из-под недремлющего ока безопасников (и удалить на своем компьютере антивирус или же некую программу контроля доступа к внешним носителям), либо же  некая другая «важная» причина (например, отключен task manager). Целесообразность и потенциальные опасности отключения групповых политик на рабочей станции   в домене мы обсуждать не будет. Попробуем лишь гипотетически разобраться: возможно ли отключить действие групповых политик на машине Windows.

Отвечаю: да можно сделать так, чтобы на компьютер в домене не применялись групповые политики, и для этого совершенно не нужно иметь права domain/enterprise админа. Достаточно иметь права локального администратора на интересующей нас машине (а это в очередной раз говорит о том, что НЕЛЬЗЯ давать права администратора на рабочих станциях пользователям!).
Failed to connect to a Windows service. Windows could not connect to the Group Policy Client Service
Указанный ниже текст относится к клиенту на базе Windows 7, но есть небезосновательные основания полагать, что и на других клиентских ОС методика будет работать.

Все мы знаем, что за применение групповых политик в Windows 7 отвечает служба Group Policy Client (gpsvc), поэтому логичное действие просто отключить эту службу.  Это можно сделать, загрузившись в безопасном режиме или, запустив cmd от имени system

и выполнив команду

net stop gpsvc

Но проблема в том, что через некоторое время, система сама запустит эту службу, и вы с этим поделать ничего не сможете.

Но есть более оригинальное решение: совсем запретить системе доступ к этой службе, в результате у нее просто не будет прав на ее запуск. Как вы помните, параметры всех служб хранятся в реестре, и наша задача – забрать  права у System  целиком на службу групповых политик.

Для этого:

  • открываем редактор реестра regedit.exe
  • Находим ветку HKLM\SYSTEM\CurrentControlSet\services\gpsvc (это как раз ветка службы Group Policy Client)
  • Правой кнопкой жмем по ветке gpsrv и выбираем Permissions, затем идем на вкладку Owner и делаем себя владельцем ветки
  • Затем на вкладке Permissions удаляем права у всех, кроме своей учетной записи, в результате права будут выглядеть такотключаем групповые политики в windows 7
  • Затем меняем тип запуска службы Group Policy Client на «Disabled», это можно сделать, изменив значение ключа Start с 2 на 4Отключаем клиент group policy в windows_7
  • Перезагружаемся и проверяем, что после загрузки групповые политики больше не применяются.

Но есть одна проблема: при таком отключении в трее будет периодически выскакивать окно с текстом: Failed to connect to a Windows service. Windows could not connect to the Group Policy Client Service. This problem prevents standard users from logging on to the system.
As an administrative user, you can review the System Event Log for details about why the service didn’t respond.

Но и это предупреждение можно отключить, для чего открываем редактор реестра:

  • Ищем ветку HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Winlogon\Notifications\Components\GPClient
  • Также становимся ее владельцем, и даем себе полные права на эту ветку
  • Делаем резервную копию данной ветки, после чего удаляем ее

Вот так достаточно просто и быстро мы полностью отключили клиент групповых политик в Windows 7, в результате чего с компьютером можно делать что угодно. Но не дайте администраторам домена или службе компьютерной безопасности обнаружить себя, а то будет больно! :)

Еще записи по теме: Group Policy
Понравилась статья? Скажи спасибо и расскажи друзьям!
Назад:
Вперед:

Комментариев: 19

Оставить комментарий
  1. Марат | 14.08.2012

    HKLM\SYSTEM\CurrentControlSet\services\gpsrv
    у меня есть только
    HKLM\SYSTEM\CurrentControlSet\services\gpsvc
    оно ?

    Ответить
  2. itpro | 18.08.2012

    ВЫ правы, правильно gpsvc, поправил

    Ответить
  3. Devid | 24.11.2012

    а у меня всё какраз наоборот.
    Не удаётся подключиться к службе «клиент групповой политики»
    При запуске с правами админа заходит и стартует Виндовс, а при запуске с рользователя отказывается с вышестоящей ошибкой.
    А службу запустить не возможно.

    Как быть?

    Ответить
  4. itpro | 27.11.2012

    Devid Проверьте настройки службы (тип запуска, из под кого стартует), права на ветку в реестре. Какие ошибки регистрируются в журнале?

    Ответить
  5. Василий | 25.07.2014

    Проблема в том, что групповые политики я отключил, но которые были применены к машине, все равно продолжают действовать.. Весь реестр уже перековырял, где копать подскажите плиз?

    Ответить
    • Truandale | 29.07.2014

      Настройки групповых политик раскиданы по всему реестру. Хранятся в разделах «Policies». Поищите через редактор реестра. В строке «найти» пропишите: Policies В параметрах поиска поставьте галки: «имена разделов», «искать только строку целиком». Содержимое найденного  раздела можно удалить целиком или точечно удалить те ключи, которые вам не нравятся. Особый интерес представляет подраздел «Microsoft». При перезагрузке жизненно важные ключи восстановятся на значения по умолчанию. Т.к. найденные разделы могут быть недоступны для их редактирования локальной группой «Администраторы», то нужно данной группе дать полный доступ, а владельца сделать локальную группу «Все» и применить на подконтейнеры. Для примера, на моей рабочей машине политики применились по следующим путям в реестре:
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies
      HKEY_LOCAL_MACHINE\SOFTWARE\Policies
      HKEY_USERS\[SID]\Software\Microsoft\Windows\CurrentVersion\Policies
       
      HKEY_USERS\[SID]\Software\Policies
       

      Ответить
    • itpro | 04.08.2014

      Попробуйте воспользоваться методом сброса настроек локальных политик, описанным в этой статье: http://winitpro.ru/index.php/2013/10/03/sbros-lokalnyx-gruppovyx-politik-v-windows/

      Ответить
  6. Vasia | 04.08.2014

    произошло следующее. через gpedit в разделе запретить все кроме отмеченых, не указал в этом списке само приложение gpedit.msc
    теперь проблема gpedit не могу запустить никак, т.е не могу ни с помощью тех действий которые описаны в данной статье, ни в безопасном режиме, кароче, уже пляшу с утра.
    может быть существует выход как разблокировать gpedit без переустановки системы?

    Ответить
    • Truandale | 05.08.2014

      Суть. Политики хранятся в реестре. Из-под «родной» windows вам реестр не отредактировать, т.к. не запустится regedit. Вам нужен livecd. Рекомендую ERD Commander. Меня не раз спасал. Выше я написал о том, где политики хранятся. Можно здесь еще почитатьhttp://winitpro.ru/index.php/2013/10/03/sbros-lokalnyx-gruppovyx-politik-v-windows/ Плюс ERD в том, что при загрузке он мапит «родную» винду и вы запускаете инструменты ERD и редактируете уже ее. В состав ERD входит regedit. Инструкция по использованию: http://ab57.ru/erdc.html#id6 Скачать: http://www.seedoff.net/torrent/68633-microsoft-windows-msdart-erd-commander

      Ответить
    • Truandale | 05.08.2014

      Суть. Политики хранятся в реестре. Из-под «родной» windows вам реестр не отредактировать, т.к. не запустится regedit. Вам нужен livecd. Рекомендую ERD Commander. Меня не раз спасал. Выше я написал о том, где политики хранятся. Можно здесь еще почитать то, что порекомендовал Itpro Плюс ERD в том, что при загрузке он мапит «родную» винду и вы запускаете инструменты ERD и редактируете уже ее. В состав ERD входит regedit. Инструкция по использованию: http://ab57.ru/erdc.html#id6 Скачать: http://www.seedoff.net/torrent/68633-microsoft-windows-msdart-erd-commander

      Ответить
    • Truandale | 05.08.2014

      Суть. Политики хранятся в реестре. Из-под «родной» windows вам реестр не отредактировать, т.к. не запустится regedit. Вам нужен livecd. Рекомендую ERD Commander. Меня не раз спасал. Выше я написал о том, где политики хранятся. Можно здесь еще почитать то, что порекомендовал Itpro Плюс ERD в том, что при загрузке он мапит «родную» винду и вы запускаете инструменты ERD и редактируете уже ее. В состав ERD входит regedit. Ссылки предоставить не могу, т.к. на данном IT сайте почему-то запрещена публикация ссылок на источники с решениями. . Существует версии ERD Commander: 5.0 – для Windows XP/Windows 2003 6.0 – для Windows Vista/Windows 2008 6.5/7.0 – для Windows 7/Windows 2008 RC2  8.0 — для windows 8 x32 x64

      Ответить
      • Truandale | 05.08.2014

        P.S. Извиняюсь за сказанное в адрес сайта насчет того, что он блокирует посты с url. Был не прав. После публикации поста Chrome не отобразил написанное будто сайт заблокировал содержимое.

        Ответить
    • Vasia | 05.08.2014
      да действительно как все просто оказалось.
      
      
      
      
      RD /S /Q "%WinDir%\System32\GroupPolicyUsers"
       
      RD /S /Q "%WinDir%\System32\GroupPolicy"
      Ответить
  7. Serg | 08.08.2014

    Всё хорошо, «Клиент групповой политики» отключается!
    Но вот беда — брандмауэр тоже. В смысле служба вроде работает, а вот его самого открыть, настроить уже не удаётся. А нет ли способа, как от этого побочного эффекта избавиться?

    Ответить
    • itpro | 11.08.2014

      Возможно ваш брандмауэр уже настроен некой групповой политикой, которая уже применена к компьютеру. То, что вы отключили клиент GPO — не означает, что ранее примененные политики теперьне действуют.
      Попробуйте разобраться с настройками брандмауэра, которые накатываются политикой, либо если применимо, попробуйте отключить сбросить все настройки, задаваемые групповыми  политиками в  дефолтное состояние — «не задано» (решение в  посте выше)

      Ответить
  8. Serg | 07.09.2014

    Применённые политики ни при чём. На совершенно чистой (свежеустановленной) Windows 7 Pro при отключении клиента GPO перестаёт открываться окно настройки брандмауэра Windows. Проверено на нескольких ПК. Это, конечно, не катастрофа, при включении клиента GPO опять всё работает, просто не хочется чтобы эти нюансы всплывали в самый неподходящий момент.

    Ответить
    • itpro | 09.09.2014

      Ок, спасибо за инфу — не знал о такой связи…

      Ответить
  9. Юрий | 08.10.2014

    отключить клиент груповой политики получилось, возник вопрос как сделать резервную копию чтоб удалит! вот! еще такой вопрос скорость интернета так и не получилось увеличить, она че то у меня не хотит идти и в таких случаях всегда выскакивал клиент групповой политики. подскажите что может мешать нормальной работе интернета, вроде ничего не устанавливал последнее время а ерунда какая-то получается
     

    Ответить
    • itpro | 09.10.2014

      Резевную копию чего? Текущих настроек GPO Если вы не планируете очищать содержимое папок С:\Windows\System32\GroupPolicy и
      С:\Windows\System32\GroupPolicyUsers — то после включения службы gpsvc должны вновь использоваться старые настройки GPO. Для надежности можете скопировать содержимое указанных каталогов и в любой момент заменить текущие настройки, перезаписав файлы.

      Ответить
Полные правила комментирования на сайте winitpro.ru. Вопросы, не связанные с содержимым статьи или ее обсуждением удаляются.

Сказать Спасибо! можно на этой странице или (еще лучше) поделиться с друзями ссылкой на понравившуюся статью в любимой социальной сети(специально для этого на сайте присуствуют кнопки популярных соц. сетей).

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Я не робот( Обязательно отметьте)



MAXCACHE: 0.27MB/0.00110 sec