Сброс настроек групповых политик в Windows

Групповые политики (GPO, Group Policy Object) это удобный инструмент тонкой настройки окружения пользователей и операционной системы Windows. На компьютер и пользователей могут применяться доменные групповые политики (если компьютер состоит в домене Active Directory) и локальные (эти политики настраиваются локально на компьютере). Из-за некорректной настройки некоторых параметров GPO (чаще всего связанных с безопасностью), вы можете столкнуться с различными проблемами с запуском приложений или инструментов, ошибками в работе операционной системы (вплоть до невозможности локального входа в Windows) и т.д. Если вы не знаете, какой именно настроенных параметр GPO вызывает проблему, вы можете сбросить настройки групповых политик Windows к значениям по-умолчанию.

Сбросить отдельные параметры локальной групповой политики с помощью редактора gpedit.msc

Для настройки параметров политик на локальном компьютере используется графическая консоль редактора локальной групповой политики (gpedit.msc). Эта консоль доступна в только в Pro, Enterprise и Education редакциях Windows 10 и 11.

Совет. Вы можете установить консоль gpedit.msc и в домашних (Home) редакциях Windows.

Запустите оснастку gpedit.msc и перейдите в раздел All Settings локальных политик компьютера (Local Computer Policy -> Computer Configuration -> Administrative templates / Политика “Локальный компьютер” -> Конфигурация компьютера -> Административные шаблоны). В этом разделе содержится список всех политик, доступных к настройке в установленных административных (admx) шаблонах GPO. Отсортируйте политики по столбцу State (Состояние) и найдите все активные политики (находятся в состоянии Disabled / Отключено или Enabled / Включено).

Чтобы отключить действие параметра групповой, нужно изменить его состояние на Not configured (Не задана).

Как сбросить групповые политики в windows на дефолтные значения

Совет.

  • Вы можете создать резервную копию текущих настроек локальной GPO с помощью утилиты LGPO.exe
  • Список всех примененных настроек локальных и доменных политик на компьютере в виде HTML отчете можно сформировать с помощью команды GPResult:
    gpresult /h c:\distr\gpreport2.html

Аналогично сбросьте настройки параметров в пользовательском разделе локальных политик (User Configuration/ Конфигурация пользователя).

Это самый простой способ найти и отменить применённые настройки локальных параметров групповой политики в Windows. Однако некорректные настройки GPO групповых политик могут привести к невозможности запустить оснастку gpedit.msc (или вообще любые программы), потере прав локального администратора на компьютере, запрета на локальный вход в систему, и т.д.. В таких случаях нужно сбросить все настройки GPO в локальных файлах на компьютере.

Сброс всех настроек локальной GPO из командной строки

Windows хранит настройки локальных групповых политик в файлах Registry.pol. Пользовательские и компьютерные настройки политик хранятся в разных файлах.

  • Настройки конфигурации компьютера (раздел Computer Configuration) хранятся в %SystemRoot%\System32\GroupPolicy\Machine\registry.pol
  • Пользовательские политики (раздел User Configuration) — %SystemRoot%\System32\GroupPolicy\User\registry.pol

Групповые политики Windows хранятся в файлах registry.pol

Когда вы включаете определенные параметры в локальной GPO из консоли gpedit.msc, все изменения сохраняются в файлы Registry.pol. После обновления групповых политик (командой gpupdate /force или по-расписанию), новые настройки импортируются в реестр и применяются к компьютеру.

  • Параметры из файла \Machine\Registry.pol импортируется в ветку реестра HKEY_LOCAL_MACHINE (HKLM) при загрузке компьютера;
  • Настройки пользователя импортируются из файла \User\Registry.pol в ветку HKEY_CURRENT_USER (HKCU) при входе пользователя в Windows.

Таким образом, чтобы удалить текущие настройки локальной групповой политики, нужно удалить файлы Registry.pol в каталоге GroupPolicy. Вы можете сбросить текущие политики из командной строки с правами администратора:

RMDIR /S /Q "%WinDir%\System32\GroupPolicyUsers"
RMDIR /S /Q "%WinDir%\System32\GroupPolicy"

Обновите настройки групповых политик, чтобы сбросить старые настройки в реестре:
gpupdate /force
сброс всех настроенных политик из коммандной строки windows

Данные команды сбросят все настройки локальной GPO в секциях Computer Configuration и User Configuration.

Откройте консоль редактора gpedit.msc и убедитесь, что все политики перешли в состояние “Не задано”/”Not configured”. После запуска консоли gpedit.msc каталоги GroupPolicyUsers и GroupPolicy будут пересозданы автоматически

Локальные групповые политики не настроены

Сброс локальных политик безопасности Windows

Локальные политики безопасности (local security policies) настраиваются с помощью отдельной консоли secpol.msc . Если вы хотите сбросить настройки локальных политик безопасности Windows к значениям по-умолчанию, выполните команду:

secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb /verbose secedit сброс настроек безопасности

Файл %windir%\inf\defltbase.inf содержит шаблон дефолтных локальных настроек безопасности Windows.

Перезагрузите компьютер. Это должно сбросить настройки безопасности Windows, которые хранятся в ветке реестра HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System

Здесь в том числе находятся настройки UAC.

Если предыдущий способ не помог, попробуйте вручную переименовать файл контрольной точки базы локальных политик безопасности %windir%\security\database\edb.chk:

ren %windir%\security\database\edb.chk edb_old.chk
удалить файл журнала security\database\edb.chk
Обновите настройки политик:
gpupdate /force
Перезагрузите Windows с помощью команды shutdown:
Shutdown –f –r –t 0

Как сбросить настройки локальных GPO, если вы не можете войти в Windows?

Если локальный вход в Windows невозможен или не удается запустить командную строку (например, при блокировке ее и других программ с помощью Applocker), вы можете удалить файлы Registry.pol, загрузившись с установочного диска Windows (загрузочной USB флешки) или любого LiveCD.

  1. Загрузитес компьютер с любого установочного диска/флешки с Windows и запустите командную строку ( Shift+F10 ).
  2. Выполните команду:
    diskpart
  3. Затем выведите список подключенных к компьютеру дисков:
    list volume
    В данном примере буква, присвоенная системному диску, соответствует букве в системе – C:\. В некоторых случаях она может не соответствовать. Поэтому следующие команды необходимо выполнять в контексте вашего системного диска (например, D:\ или C:\)
  4. Завершите работу с diskpart:
    exit
  5. Выполните следующие команды: сбросить настройки локальной политики Windows с загрузочного диска
    rd /S /Q C:\Windows\System32\GroupPolicy
    rd /S /Q C:\Windows\System32\GroupPolicyUsers
  6. Перезагрузите компьютер в обычном режиме и проверьте, что все параметры локальной групповой политики сброшены в состояние по-умолчанию.

Сброс настроек доменных GPO в Windows

Если компьютер включен в домен Active Directory, его настройки могут быть заданы задаются доменными GPO.

Файлы registry.pol всех применённых доменных GPO кэшируются в каталог %windir%\System32\GroupPolicy\DataStore\0\SysVol\contoso.com\Policies. Каждая политика хранится в отдельном каталоге с GUID доменной политики.

каталог с файлами доменных политик на клиенте

Когда вы исключаете компьютер из домена, файлы registry.pol доменных политик на компьютере должны автоматически удалиться. Иногда случается, что компьютер покинул домен, но на него все еще действуют доменные GPO.

В этом случае рекомендуется выполнить сброс кеша доменных политик на компьютере. Воспользуйтесь следующим BAT скриптом:

DEL /S /F /Q “%ALLUSERSPROFILE%\Microsoft\Group Policy\History\*.*”
REG DELETE HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy /f
REG DELETE HKLM\Software\Policies\Microsoft /f
REG DELETE HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies /f
REG DELETE HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies /f
REG DELETE HKCU\Software\Policies\Microsoft /f
REG DELETE "HKCU\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects" /f
DEL /F /Q C:\WINDOWS\security\Database\secedit.sdb
klist purge
gpupdate /force
exit

Также отметим, что в папке C:\ProgramData\Microsoft\Group Policy\History находятся настройки параметров Group Policy Preferences, примененных на компьютере. Если вы включили опцию Remove this item if it is no longer applied в настройках элемента GP Preferences, кэш GPO в этой папке позволит вернуть предыдущее состояние после отключения политики.

Восстановить настройки по-умолчанию для Default Domain Policy

В групповых политиках домене есть две политики по умолчанию с известными GUID:

  • Default Domain Policy {31B2F340-016D-11D2-945F-00C04FB984F9}
  • Default Domain Controller Policy {6AC1786C-016F-11D2-945F-00C04FB984F9}

Рекомендации Microsoft указывают, что не нужно редактировать эти GPO. Лучше создать копию этих политик в консоли Group Policy Management (gpmc.msc) и изменить нужные настройки.

Default domain policy в домене Active Directory

Вы можете восстановить настройки этих GPO к состоянию по-умолчанию с помощью утилиты dcgpofix.

Откройте командную строку с правами администратора домена на DC и выполните команду:

dcgpofix /target:Domain – сбросить Default Domain GPO

dcgpofix /target:DC – сбросить Default Domain Controller GPO

Или сбросить сразу обе политики:

dcgpofix /target:both

Может появится ошибка:

The Active Directory schema version for this domain and the version supported by this tool do not match. The GPO can be restored using the /ignoreschema command-line parameter. However, it is recommended that you try to obtain an updated version of this tool that might have an updated version of the Active Directory schema. Restoring a GPO with an incorrect schema might result in unpredictable behavior.

dcgpofix - сбросить настройки default domain policy

В этом случае нужно добавить параметр /ignoreschema для принудительного сброса настроек стандартных GPO. Например:

dcgpofix /ignoreschema /target:Domain

Совет. Рассмотренные выше методики позволяют сбросить все настройки групповых политик во всех версиях Windows. Сбрасываются все настройки, внесенные с помощью редактора групповой политики, однако не сбрасываются все изменения, внесенные в реестре напрямую через regedit.exe, REG- файлы, PowerShell, или доменные GPP с настройками реестра.

Предыдущая статья Следующая статья


Комментариев: 50 Оставить комментарий

Оставить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Я не робот( Обязательно отметьте)