Сброс локальных групповых политик в Windows | Windows для системных администраторов

Сброс локальных групповых политик в Windows

Одним из основных инструментов тонкой настройки параметров пользователя и системы в Windows являются групповые политики — GPO (group policy object). На сам компьютер и его пользователей могут действовать доменные групповые политики (если компьютер состоит в домене) и локальные (настроенные и активные только на данном компьютере).  Групповые политики являются отличным средством настройки системы, способным повысить ее функционал, защищенность и безопасность. Однако у начинающих системных администраторов, решивших поэкспериментировать с безопасностью своего компьютера, некорректная настройка локальной (или доменной) групповой политики может привести к различным проблемам: от мелких проблем, заключающихся например  в невозможности подключить принтер или флешку, до полного запрета на установку или запуск любых приложений, или даже запрета на вход в систему.

В подобных случаях, тяжесть которых усугубляется тем, что зачастую администратор просто не знает какая из применённых политик вызывает проблему, возникает необходимость сброса состояния групповых политик на состояние по-умолчанию, когда ни один из параметров групповых политик не задан.

Сброс локальных политик с помощью консоли gpedit.msc

Откройте консоль управления локальными групповыми политиками gpedit.msc .

Совет. В домашних версиях Windows консоль управления групповыми политиками gpedit.msc отсутствует, однако запустить ее все-таки можно. Подробности в статье Как установить редактор групповых политик в Windows 7).

Перейдите в раздел All Settings системных локальных политик безопасности (Local Computer Poice -> Computer Configuration — > Administrative templates). Данные раздел содержит список всех политик, доступных к конфигурированию в административных шаблонах. Отсортируйте политики по столбцу State (состояние) и найдите все активные политики (состояние Disabled и Enabled). Отключите действие всех или только определенных политик, переведя их в состояние Not configured (Не задана). Как сбросить групповые политики в windows на дефолтные значения

Такие же действия нужно провести и в разделе пользовательских политик (User Configuration). Таким образом можно отключить действие всех административных групповых политик.

Совет.  В том случае если вам нужно совсем отключить действие доменных политик на компьютер, рекомендуем статью Отключить применение доменных GPO в Windows 7.

Указанный выше способ сброса групповых политик в Windows подойдет для самых «простых» случаев. Некорректные настройки групповых политик могут привести к более серьезным проблемам, например: невозможности запуску оснастки gpedit.msc или вообще всех программ, потери пользователем прав администратора системы, или запрета на вход в систему. Рассмотрим эти случаи подробнее.

Сброс локальных политик безопасности в Windows

Локальные политик безопасности (local security policies) настраиваются с помощью отдельной консоли управления secpol.msc. Если проблемы с компьютером вызваны «закручиванием гаек» в локальных политик безопасности, и если у пользователя остался доступ к системе и административные права, сначала стоит попробовать сбросить параметры безопасности системы к значениям по умолчанию. Для этого в командной строке с правами администратора выполните:

Для Windows XP:

secedit /configure /cfg %windir%\repair\secsetup.inf /db secsetup.sdb /verbose

Для Windows 8, Windows 7 и Vista:

secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb /verbose

После чего компьютер нужно перезагрузить.

«Жесткий» метод сброса групповых политик в Windows на дефолтные значения

Прежде чем говорить о радикальном способе сброса групповых политик в Windows, проведем краткий экскурс в архитектуру административных шаблонов групповых политик Windows.

Архитектура административных шаблонов групповых политик основана на специальных файлах Registry.pol. Данные файлы хранят параметры реестра, которые соответствуют тем или иным настройкам  сконфигурированных групповых политик. Пользовательские и компьютерные политики хранятся в разных файлах Registry.pol.

  • Настройки компьютера (раздел Computer Configuration) хранятся в %SystemRoot%\System32\ GroupPolicy\Machine\registry.pol
  • Пользовательские политики (раздел User Configuration)  —  %SystemRoot%\System32\ GroupPolicy\User\registry.pol

Групповые политики Windows хранятся в файлах registry.pol

При загрузке компьютера система экспортирует содержимое файла \Machine\Registry.pol в ветку системного реестра HKEY_LOCAL_MACHINE (HKLM). Содержимое  файла \User\Registry.pol экспортируется в ветку HKEY_CURRENT_USER (HKCU) при входе пользователя в систему.

Консоль редактора локальных групповых политик при открытии грузит содержимое данных файлов и предоставляет их в удобном пользователю виде. При закрытии редактора GPO внесенные изменения записываются в реестр.

Совет. Для внесения изменения в  файлы стоит использовать только редактор групповых политик GPO. Не рекомендуется редактировать файлы Registry.pol вручную или с помощью старых версий редактора групповой политики!

Чтобы удалить все текущие настройки локальных групповых политик, необходимо  удалить файлы Registry.pol в каталоге GroupPolicy. Сделать это можно следующими командами, запущенными в командной строке с правами администратора:

RD /S /Q "%WinDir%\System32\GroupPolicyUsers"

RD /S /Q "%WinDir%\System32\GroupPolicy"

gpupdate /force

Сброс локальных политик безопасности при невозможности входа в Windows

В том случае, если локальный вход в систему невозможен или не удается запустить командную строку (например, при блокировке ее и других программ с помощью Applocker). Удалить файлы Registry.pol можно, загрузившись с установочного диска Windows или любого LiveCD.

  1. Загрузитесь с установочного диска Windows и запустите командную строку (Shift+F10)
  2. Выполните команду:
    diskpart
  3. Затем выведем список дисков в системе:
    list volume

    В данном примере буква, присвоенная системному диску соответствует букве в системе – C:\. Однако в некоторых случаях она может не соответствовать. Поэтому следующие команды необходимо выполнять в контексте вашего системного диска (например, D:\ или C:\)

  4. Завершим работу с diskpart, набрав:
    exit
  5. Последовательно выполните следующие команды: Сброс локальных политик GPO с помощью загрузочного диска
    RD /S /Q С:\Windows\System32\GroupPolicy
    RD /S /Q С:\Windows\System32\GroupPolicyUsers
  6. Перезагрузите компьютер в обычном режиме у удостоверьтесь, что локальные групповые политики сброшены на «дефолтное» состояние
Совет. Указанная методика позволяет сбросить все локальные групповые политики в ОС Windows 8, Windows 7 и Vista. Сбрасываются все настройки, внесенные с помощью редактора групповой политики, однако не сбрасываются все изменения, внесенные в реестре напрямую через редактор реестра, REG- файлы  или любым другим способом.
PS. Статья написана по мотивам топика на нашем форуме.
Еще записи по теме: Group Policy
Понравилась статья? Скажи спасибо и расскажи друзьям!
Назад:
Вперед:

Комментариев: 12

Оставить комментарий
  1. myr4ik07 | 14.10.2013

    Вот такое БОЛЬШОЕ спасибо за предоставленные варианты.
    С моими экспериментами все мои .bat файлы перестали запускаться, данная статья помогла восстановить работоспособность «батников», огромное спасибо!
     
     

    Ответить
    • itpro | 15.10.2013

      Пожалуйста! Хорошо, что помогло, хотя по идее проблема могла быть связана просто с нарушением ассоциаций bat файлов…

      Ответить
  2. Виктор | 04.06.2014

    Спасибищще, чувак!!!)) Словил вирусню с xxxсайтов, а они мне права перепутали так, что уж думал, систему переставлять придется. Еще раз огромное!!)

    Ответить
  3. Евгений | 16.07.2014

    На Server 2012r2 хочу сбросить одну локальную политику до дефолтного состояния, значение пустое оставить нельзя, но и НОЛЬ ставить глупо, как вернуть в состояние «неопределено»? Всё сбрасывать не вариант))

    Ответить
  4. Даниил | 28.09.2014

    Хорошо бы ещё указать в каких версиях Ос Windows (начиная с Vista) имеется Локальная групповая политика, а в каких нет. Спасибо!

    Ответить
  5. Александр | 27.11.2014

    Если бы была кнопка лайк, поставил бы лайк, а так просто спасибо за статью! Очень помогло :)

    Ответить
  6. trikvel | 28.08.2015

    Подскажите, какой командой из консоли можно сбросить только политики учетных записей — политики паролей…

    чтоб как здесь
    secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb /verbose

    не все локальные политики сбрасывать ?

    Ответить
    • itpro | 01.09.2015

      Отдельно сбросить только политики паролей одной командой не получится: как вариант — можно установить значения реестра, отвечающие за парольную политику на дефолтные значения

      Ответить
  7. Роман | 08.09.2015

    День добрый! При изменение любого параметра в gpedit.msc вылазит ошибка:

    Ошибка:
    В результате вызова компонента COM возвращена ошибка в формате HRESULT E_FAIL

    Подробная информация об использовании оперативной
    (JIT) отладки вместо данного диалогового
    окна содержится в конце этого сообщения.

    ************** Текст исключения **************
    System.Runtime.InteropServices.COMException (0x80004005): В результате вызова компонента COM возвращена ошибка в формате HRESULT E_FAIL.
    в Microsoft.GroupPolicy.AdmTmplEditor.IGPMAdmTmplEditorCallback.ApplyChanges()
    в Microsoft.GroupPolicy.AdmTmplEditor.Editor.SaveChanges()
    в Microsoft.GroupPolicy.AdmTmplEditor.Editor.buttonOK_Click(Object sender, EventArgs e)
    в System.Windows.Forms.Control.OnClick(EventArgs e)
    в System.Windows.Forms.Button.OnMouseUp(MouseEventArgs mevent)
    в System.Windows.Forms.Control.WmMouseUp(Message& m, MouseButtons button, Int32 clicks)
    в System.Windows.Forms.Control.WndProc(Message& m)
    в System.Windows.Forms.ButtonBase.WndProc(Message& m)
    в System.Windows.Forms.Button.WndProc(Message& m)
    в System.Windows.Forms.Control.ControlNativeWindow.WndProc(Message& m)
    в System.Windows.Forms.NativeWindow.Callback(IntPtr hWnd, Int32 msg, IntPtr wparam, IntPtr lparam)

    ************** Загруженные сборки **************
    mscorlib
    Версия сборки: 2.0.0.0
    Версия Win32: 2.0.50727.5420 (Win7SP1.050727-5400)
    CodeBase: file:///C:/Windows/Microsoft.NET/Framework64/v2.0.50727/mscorlib.dll
    —————————————-
    Microsoft.GroupPolicy.AdmTmplEditor
    Версия сборки: 6.1.0.0
    Версия Win32: 6.1.7601.17514 (win7sp1_rtm.101119-1850)
    CodeBase: file:///C:/Windows/assembly/GAC_64/Microsoft.GroupPolicy.AdmTmplEditor/6.1.0.0__31bf3856ad364e35/Microsoft.GroupPolicy.AdmTmplEditor.dll
    —————————————-
    System
    Версия сборки: 2.0.0.0
    Версия Win32: 2.0.50727.5420 (Win7SP1.050727-5400)
    CodeBase: file:///C:/Windows/assembly/GAC_MSIL/System/2.0.0.0__b77a5c561934e089/System.dll
    —————————————-
    System.Windows.Forms
    Версия сборки: 2.0.0.0
    Версия Win32: 2.0.50727.5420 (Win7SP1.050727-5400)
    CodeBase: file:///C:/Windows/assembly/GAC_MSIL/System.Windows.Forms/2.0.0.0__b77a5c561934e089/System.Windows.Forms.dll
    —————————————-
    System.Drawing
    Версия сборки: 2.0.0.0
    Версия Win32: 2.0.50727.5420 (Win7SP1.050727-5400)
    CodeBase: file:///C:/Windows/assembly/GAC_MSIL/System.Drawing/2.0.0.0__b03f5f7f11d50a3a/System.Drawing.dll
    —————————————-
    System.Xml
    Версия сборки: 2.0.0.0
    Версия Win32: 2.0.50727.5420 (Win7SP1.050727-5400)
    CodeBase: file:///C:/Windows/assembly/GAC_MSIL/System.Xml/2.0.0.0__b77a5c561934e089/System.Xml.dll
    —————————————-
    Microsoft.GroupPolicy.AdmTmplEditor.resources
    Версия сборки: 6.1.0.0
    Версия Win32: 6.1.7600.16385
    CodeBase: file:///C:/Windows/assembly/GAC_64/Microsoft.GroupPolicy.AdmTmplEditor.resources/6.1.0.0_ru_31bf3856ad364e35/Microsoft.GroupPolicy.AdmTmplEditor.resources.dll
    —————————————-
    Accessibility
    Версия сборки: 2.0.0.0
    Версия Win32: 2.0.50727.4927 (NetFXspW7.050727-4900)
    CodeBase: file:///C:/Windows/assembly/GAC_MSIL/Accessibility/2.0.0.0__b03f5f7f11d50a3a/Accessibility.dll
    —————————————-
    mscorlib.resources
    Версия сборки: 2.0.0.0
    Версия Win32: 2.0.50727.5420 (Win7SP1.050727-5400)
    CodeBase: file:///C:/Windows/Microsoft.NET/Framework64/v2.0.50727/mscorlib.dll
    —————————————-
    System.Windows.Forms.resources
    Версия сборки: 2.0.0.0
    Версия Win32: 2.0.50727.4927 (NetFXspW7.050727-4900)
    CodeBase: file:///C:/Windows/assembly/GAC_MSIL/System.Windows.Forms.resources/2.0.0.0_ru_b77a5c561934e089/System.Windows.Forms.resources.dll
    —————————————-

    ************** Оперативная отладка (JIT) **************
    Для подключения оперативной (JIT) отладки файл .config данного
    приложения или компьютера (machine.config) должен иметь
    значение jitDebugging, установленное в секции system.windows.forms.
    Приложение также должно быть скомпилировано с включенной
    отладкой.

    Например:

    При включенной отладке JIT любое необрабатываемое исключение
    пересылается отладчику JIT, зарегистрированному на данном компьютере,
    вместо того чтобы обрабатываться данным диалоговым окном.

    Не знаете в чем может быть дело? Поможет ли жесткий сброс политик в этом вопросе?

    Ответить
  8. Роман | 08.09.2015

    RD /S /Q «%WinDir%\System32\GroupPolicy»

    gpupdate /force

    Спасибо большое за статью! Это помогло

    Ответить
  9. Илья | 28.10.2015

    Спасибо огромное!

    Ответить
  10. Alex | 27.07.2016

    Спасибо! Помогло

    Ответить
Полные правила комментирования на сайте winitpro.ru. Вопросы, не связанные с содержимым статьи или ее обсуждением удаляются.

Сказать Спасибо! можно на этой странице или (еще лучше) поделиться с друзями ссылкой на понравившуюся статью в любимой социальной сети(специально для этого на сайте присуствуют кнопки популярных соц. сетей).

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Я не робот( Обязательно отметьте)



MAXCACHE: 0.27MB/0.00083 sec