Редактор групповых политик gpedit.msc в Windows 10 и 11 Home Edition

Консоль редактора локальных групповых политик в Windows (gpedit.msc) используется для тонкой настройки параметров Windows. Gpedit.msc – это стандартная MMC оснастка, доступная во всех версиях Windows (Pro/Enterprise/Education), кроме домашних редакций (Home/Single Language). В этой статье мы рассмотрим особенности использования локального редактора GPO, а также способы установить и запустить gpedit.msc в домашних редакциях Windows 10 и Windows 11 Home.

Настройка Windows с помощью редактора локальных групповых политик

Чтобы запустить редактор локальных групповых политик в Windows, нужно выполнить команду gpedit.msc

Доступные настройки в консоли редактора локальной GPO представлены в виде древовидной структуры и разделены на две секции:

• Параметры компьютера (Computer Configuration) – глобальные настройки ОС Windows и компонентов. Вносят изменения в раздел реестра HKEY_LOCAL_MACHINE (HKLM)
• Параметры пользователей (User configuration) – настройки, которые применяются для пользователей компьютера. Изменения вносятся в ветку реестра пользователя HKEY_CURRENT_USER (HKCU)

В редакторе GPO содержится несколько тысяч настроек Windows, которые расположены в стройной иерархии, имеют подробное описание и предлагают для выбора предопределенные опции настройки.

В каждой секции есть по три подраздела:

• Software Settings
• Windows Settings — здесь расположены основные настройки безопасности Windows (в том числе настройки политики паролей, блокировки аккаунтов, политики аудита, назначения прав пользователей)
• Administrative Templates – настройки различных компонентов и подсистем Windows. Здесь доступны как стандартные административные шаблоны Windows, так и дополнительно установленные ADMX шаблоны групповых политик (например, admx шаблоны для управления программами из пакета MS Office или шаблоны для Google Chrome)

Чтобы изменить любой параметр GPO в консоли, нужно найти раздел, в котором он находится и открыть его настройки в правой панели.

По умолчанию все параметры в разделе административных шаблонов не настроены (Not configured). У большинства настроек GPO доступно есть всего три параметра: Enabled/Disabled/Not configured. По умолчанию все политики не заданы. Вы можете включить или отключить параметр, выбрав Enabled или Disabled, и нажав OK.Если вы хотите вернуть стандартное значение настройки, выберите Not Configured.

У некоторых настроек GPO можно задать дополнительные параметры, которые можно настроить в секции Options. Например, чтобы задать файл обоев рабочего стола через GPO, нужно включить политику (Enabled), указать путь к файлу с рисунков в поле и выбрать стиль рисунка.

В поле Help доступно детальное описание каждого параметра GPO. В поле Supported on указаны версий Windows, для которых данная политика применяется. Например, At least Windows 10 означает, что политика применима только к Windows 10/11 и Windows Server 2016/2019/2022. Данный параметр не будет работать на Windows 8.1 или 7.

Настройки, заданные в редакторе gpedit.msc имеют высокий приоритет и перезаписывают любые настройки, заданные пользователем или администратором в графическом интерфейсе Windows или в панели управления.

Редактор локальной GPO хранит настройки примененных параметров в registry.pol файлах в каталогах

• %SystemRoot%\System32\GroupPolicy  – политики компьютера
• %SystemRoot%\System32\GroupPolicyUsers – политики пользователя

Если вы удалите файлы из этих папок, вы сбросите все настройки локальных политик на значения по-умолчанию (Not configured).

В ADMX файлах GPO определяются параметры реестра и их значения, в которые нужно внести изменения. Поэтому фактически, когда вы включили той или иной параметр реестра, обработчик групповых политики внесет изменения в реестр.

Установка редактора локальной политики gpedit.msc в Windows 10/11 Домашняя

Консоль редактора локальной GPO отсутствует в домашних редакциях Windows (Home и Single Language). При попытке открыть MMC консоль редактора, появится ошибка:

 Не удается найти gpedit.msc. Проверьте, правильно ли указано имя и повторите попытку.

Есть обходной недокументированный способ установки редактора gpedit.msc в Windows 10 или 11 Home из хранилища пакетов Windows. Откройте командную строку (cmd.exe) с правами администратора и выполните две следующие команды:

FOR %F IN ("%SystemRoot%\servicing\Packages\Microsoft-Windows-GroupPolicy-ClientTools-Package~*.mum") DO (DISM /Online /NoRestart /Add-Package:"%F")
FOR %F IN ("%SystemRoot%\servicing\Packages\Microsoft-Windows-GroupPolicy-ClientExtensions-Package~*.mum") DO (DISM /Online /NoRestart /Add-Package:"%F")

DISM выполните установку пакетов ClientTools и ClientExtensions из внутреннего хранилища Windows. Если у вас установлен другой язык, например русский, также будут установлены пакеты с ru-RU:

Теперь вы сможете запустить консоль gpedit.msc в домашней версии Windows.

Однако, после редактирования политик, настройки сразу не будут применяться к реестру, как в Pro/Enterprise редакции. Здесь не поможет ни выполнение команды gpupdate /force, ни перезагрузка компьютера. Дело в том, что домашней редакции Windows отсутствует обработчик GPO, который применяет настройки из registry.pol файла в реестр. Для автоматического применения GPO придется обновить редакцию Windows с Home до Pro, но это не всегда возможно.

К счастью, есть обходной способ применения настроек GPO в Windows Home с помощью сторонней утилиты Policy Plus (https://github.com/Fleex255/PolicyPlus). Policy Plus – это альтернативный редактор GPO для Windows. Он позволяет редактировать настройки локальной GPO без использования консоли gpedit.

Чтобы применить настройки из локальных групповых политики из POL файлов, закройте MMC оснастку gpedit.msc и выберите в Policy plus параметр File -> Save Policy.

Должно появится сообщение:

User policies: saved to disk and applied diff to Registry.
Computer policies: saved to disk and applied diff to Registry.