В этой статье поговорим об очередной нестандартной задаче: вопросах отключения действия групповой политики на компьютере в составе домена Windows. Зачем, собственно, может понадобиться такая функция? Ответ на этот вопрос в каждом конкретном случае индивидуален. Это может быть желание регионального администратора ограничить применение к своему рабочему компьютеру ограничений, накладываемых групповыми политиками, и/или желание уйти из-под недремлющего ока безопасников (и удалить на своем компьютере антивирус или же некую программу контроля доступа к внешним носителям), либо же некая другая «важная» причина (например, отключен task manager, cmd, или другие системные инструменты Windows). Целесообразность и потенциальные опасности отключения групповых политик на рабочей станции в домене мы обсуждать не будет. Попробуем лишь гипотетически разобраться: возможно ли отключить действие групповых политик на машине Windows.
Отвечаю: да можно сделать так, чтобы на компьютер в домене не применялись групповые политики, и для этого совершенно не нужно иметь права domain/enterprise админа. Достаточно иметь права локального администратора на интересующей нас машине (а это в очередной раз говорит о том, что НЕЛЬЗЯ давать права администратора на рабочих станциях пользователям!).
Указанный ниже текст относится к клиенту на базе Windows 7, но есть небезосновательные основания полагать, что и на других клиентских ОС методика будет работать.
Все мы знаем, что за применение групповых политик в Windows 7 отвечает служба Group Policy Client (gpsvc), поэтому логичное действие просто отключить эту службу. Это можно сделать, загрузившись в безопасном режиме или, запустив cmd от имени system
и выполнив команду
net stop gpsvc
Но проблема в том, что через некоторое время, система сама запустит эту службу, и вы с этим поделать ничего не сможете.
Но есть более оригинальное решение: совсем запретить системе доступ к этой службе, в результате у нее просто не будет прав на ее запуск. Как вы помните, параметры всех служб хранятся в реестре, и наша задача – забрать права у System целиком на службу групповых политик.
Для этого:
- открываем редактор реестра regedit.exe
- Находим ветку HKLM\SYSTEM\CurrentControlSet\services\gpsvc (это как раз ветка службы Group Policy Client)
- Правой кнопкой жмем по ветке gpsrv и выбираем Permissions, затем идем на вкладку Owner и делаем себя владельцем ветки
- Затем на вкладке Permissions удаляем права у всех, кроме своей учетной записи, в результате права будут выглядеть так
- Затем меняем тип запуска службы Group Policy Client на «Disabled», это можно сделать, изменив значение ключа Start с 2 на 4
- Перезагружаемся и проверяем, что после загрузки групповые политики больше не применяются.
Но есть одна проблема: при таком отключении в трее будет периодически выскакивать окно с текстом: Failed to connect to a Windows service. Windows could not connect to the Group Policy Client Service. This problem prevents standard users from logging on to the system.
As an administrative user, you can review the System Event Log for details about why the service didn’t respond.
Но и это предупреждение можно отключить, для чего открываем редактор реестра:
- Ищем ветку HKLM\SYSTEM\CurrentControlSet\Control\Winlogon \Notifications\Components\GPClient
- Также становимся ее владельцем, и даем себе полные права на эту ветку
- Делаем резервную копию данной ветки, после чего удаляем ее
Вот так достаточно просто и быстро мы полностью отключили клиент групповых политик в Windows 7, в результате чего с компьютером можно делать что угодно. Но не дайте администраторам домена или службе компьютерной безопасности обнаружить себя, а то будет больно! 🙂
HKLM\SYSTEM\CurrentControlSet\services\gpsrv
у меня есть только
HKLM\SYSTEM\CurrentControlSet\services\gpsvc
оно ?
ВЫ правы, правильно gpsvc, поправил
а у меня всё какраз наоборот.
Не удаётся подключиться к службе «клиент групповой политики»
При запуске с правами админа заходит и стартует Виндовс, а при запуске с рользователя отказывается с вышестоящей ошибкой.
А службу запустить не возможно.
Как быть?
Devid Проверьте настройки службы (тип запуска, из под кого стартует), права на ветку в реестре. Какие ошибки регистрируются в журнале?
Проблема в том, что групповые политики я отключил, но которые были применены к машине, все равно продолжают действовать.. Весь реестр уже перековырял, где копать подскажите плиз?
Настройки групповых политик раскиданы по всему реестру. Хранятся в разделах «Policies». Поищите через редактор реестра. В строке «найти» пропишите: Policies В параметрах поиска поставьте галки: «имена разделов», «искать только строку целиком». Содержимое найденного раздела можно удалить целиком или точечно удалить те ключи, которые вам не нравятся. Особый интерес представляет подраздел «Microsoft». При перезагрузке жизненно важные ключи восстановятся на значения по умолчанию. Т.к. найденные разделы могут быть недоступны для их редактирования локальной группой «Администраторы», то нужно данной группе дать полный доступ, а владельца сделать локальную группу «Все» и применить на подконтейнеры. Для примера, на моей рабочей машине политики применились по следующим путям в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies
HKEY_LOCAL_MACHINE\SOFTWARE\Policies
HKEY_USERS\[SID]\Software\Microsoft\Windows\CurrentVersion\Policies
HKEY_USERS\[SID]\Software\Policies
Попробуйте воспользоваться методом сброса настроек локальных политик, описанным в этой статье: https://winitpro.ru/index.php/2013/10/03/sbros-lokalnyx-gruppovyx-politik-v-windows/
произошло следующее. через gpedit в разделе запретить все кроме отмеченых, не указал в этом списке само приложение gpedit.msc
теперь проблема gpedit не могу запустить никак, т.е не могу ни с помощью тех действий которые описаны в данной статье, ни в безопасном режиме, кароче, уже пляшу с утра.
может быть существует выход как разблокировать gpedit без переустановки системы?
Суть. Политики хранятся в реестре. Из-под «родной» windows вам реестр не отредактировать, т.к. не запустится regedit. Вам нужен livecd. Рекомендую ERD Commander. Меня не раз спасал. Выше я написал о том, где политики хранятся. Можно здесь еще почитатьhttps://winitpro.ru/index.php/2013/10/03/sbros-lokalnyx-gruppovyx-politik-v-windows/ Плюс ERD в том, что при загрузке он мапит «родную» винду и вы запускаете инструменты ERD и редактируете уже ее. В состав ERD входит regedit. Инструкция по использованию: http://ab57.ru/erdc.html#id6 Скачать: http://www.seedoff.net/torrent/68633-microsoft-windows-msdart-erd-commander
Суть. Политики хранятся в реестре. Из-под «родной» windows вам реестр не отредактировать, т.к. не запустится regedit. Вам нужен livecd. Рекомендую ERD Commander. Меня не раз спасал. Выше я написал о том, где политики хранятся. Можно здесь еще почитать то, что порекомендовал Itpro Плюс ERD в том, что при загрузке он мапит «родную» винду и вы запускаете инструменты ERD и редактируете уже ее. В состав ERD входит regedit. Инструкция по использованию: http://ab57.ru/erdc.html#id6 Скачать: http://www.seedoff.net/torrent/68633-microsoft-windows-msdart-erd-commander
Суть. Политики хранятся в реестре. Из-под «родной» windows вам реестр не отредактировать, т.к. не запустится regedit. Вам нужен livecd. Рекомендую ERD Commander. Меня не раз спасал. Выше я написал о том, где политики хранятся. Можно здесь еще почитать то, что порекомендовал Itpro Плюс ERD в том, что при загрузке он мапит «родную» винду и вы запускаете инструменты ERD и редактируете уже ее. В состав ERD входит regedit. Ссылки предоставить не могу, т.к. на данном IT сайте почему-то запрещена публикация ссылок на источники с решениями. . Существует версии ERD Commander: 5.0 – для Windows XP/Windows 2003 6.0 – для Windows Vista/Windows 2008 6.5/7.0 – для Windows 7/Windows 2008 RC2 8.0 — для windows 8 x32 x64
P.S. Извиняюсь за сказанное в адрес сайта насчет того, что он блокирует посты с url. Был не прав. После публикации поста Chrome не отобразил написанное будто сайт заблокировал содержимое.
Всё хорошо, «Клиент групповой политики» отключается!
Но вот беда — брандмауэр тоже. В смысле служба вроде работает, а вот его самого открыть, настроить уже не удаётся. А нет ли способа, как от этого побочного эффекта избавиться?
Возможно ваш брандмауэр Windows уже настроен некой доменной групповой политикой, которая уже применена к вашему компьютеру. То, что вы отключили клиент GPO — не означает, что ранее примененные политики теперь не действуют.
Попробуйте разобраться с настройками брандмауэра, которые накатываются политикой, либо если применимо, попробуйте отключить сбросить все настройки, задаваемые групповыми политиками в дефолтное состояние — «не задано» (решение в посте выше)
Применённые политики ни при чём. На совершенно чистой (свежеустановленной) Windows 7 Pro при отключении клиента GPO перестаёт открываться окно настройки брандмауэра Windows. Проверено на нескольких ПК. Это, конечно, не катастрофа, при включении клиента GPO опять всё работает, просто не хочется чтобы эти нюансы всплывали в самый неподходящий момент.
Ок, спасибо за инфу — не знал о такой связи…
отключить клиент груповой политики получилось, возник вопрос как сделать резервную копию чтоб удалит! вот! еще такой вопрос скорость интернета так и не получилось увеличить, она че то у меня не хотит идти и в таких случаях всегда выскакивал клиент групповой политики. подскажите что может мешать нормальной работе интернета, вроде ничего не устанавливал последнее время а ерунда какая-то получается
Резевную копию чего? Текущих настроек GPO Если вы не планируете очищать содержимое папок С:\Windows\System32\GroupPolicy и
С:\Windows\System32\GroupPolicyUsers — то после включения службы gpsvc должны вновь использоваться старые настройки GPO. Для надежности можете скопировать содержимое указанных каталогов и в любой момент заменить текущие настройки, перезаписав файлы.
Когда я менял права после нажатия кнопки применить появилась ошибка: Отказано в доступе
Либо нет прав администратора, либо нужно сначала предоставить себе права владельца на данную ветку.
такая же история «отказано в доступе» права администратора есть. как сделать себя владельцем данной ветки?
Та же беда. Как сделать себя админом в обход запрета?
Добрый день!
немного не по теме, но
Старой политикой установлены правила брандмауэра. Эта политика уже изменена, но правила в брандмауэре удалить не получается. Выдает сообщение, что эти правила установлены системным администратором и никаких действий сделать нет возможности. Запуск из-под учетки с административными правами и т.д. также не дает результатов пока.
Если использовать вариант:
netsh advfirewall firewall delete rule name=»xxxxxx»
то получаю сообщение:
«Ни одно правило не соответствует указанным критериям»
Как удалить правила брандмауэра созданные GP.
Сбросьте кэш доменных и локальных GPO (смотри статью Сброс настроек GPO)
Спасибо. Меня интересовало будет ли ОСь жить, если удалить с корнем эту дрянь. Работает оная зараза у меня в домашнем компе.
Теперь расчехлю NTLite и вырежу её и подопечных к .. собачьим )) Знать бы где ВСЕ их ошмётки будут лежать в реестре .. Пустышка вроде CCleaner, не найдёт ничерта, чтобы там не кричали её адепты. Auslogics Registry Cleaner вроде значительно серьёзней, но тоже не всё находит. Можете посоветовать зверюгу? А то ж ведь как оно .. файла нет, даже папки для этого файла уже нет, а эти «помощники» не видят ничерта, и реестр как дерево с кучей мёртвых веток без листьев.
А чем вам мешают GPO на локальном компе? Вы их можете настроить под себя, либо сбросить на дефольные настройки.
Статья ориентирована на компьютеры в домене, когда при наличии прав лок. админа настройки доменных GPO мешают что-то сделать. За это конечно можно (и нужно) по рукам бить, но в некоторых ситуациях выручает.
Не удалось сохранить изменения разрешений на gpsvs.
Отказано в доступе.
Какая версия Windows? Статья старая — точно работало в Windows 7. В Windows 10 не пробовал отключить службу групповых политик. Возможно нужно отключить от имени SYSTEM (https://winitpro.ru/index.php/2011/12/26/zapusk-cmd-ot-system-v-windows-7/).
Есть подобная статья для Windows XP?
Сделал как описано. Вроде в чем-то стало попроще.
Вот только… Проблемы на этом в системе не закончились.
К примеру, в «локальных политиках безопасности» параметр «разрешить вход в систему через службу удаленных рабочих столов» по прежнему управляется той самой групповой политикой.
Можно при помощи программки «WindowsEnabler» активировать кнопки «удалить» и «добавить» и отредактировать список как тебе надо, но при закрытии списка «статус кво» будет восстановлен.
Так что вопрос «как отключить» плавно переходит в вопрос «как вывести из-под действия?»
К стати, в реестре ветки «HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy» плюс «HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System\Scripts» заблокированы для всех, кроме локального админа. Но….
Вопрос «как вывести» открыт и актуален.