Одним з основних інструментів тонкої настройки параметрів користувача та середовища Windows є групові політики – GPO (Група Політика Об’єкт). На сам комп’ютер і його користувачів можуть діяти доменні групові політики (якщо комп’ютер складається в домені Active Directory) і локальні (ці політики налаштовуються локально на комп’ютері). Однак некоректна настройка деяких параметрів GPO може привести до різних проблем: неможливість підключити принтер, заборона на підключення USB накопичувачів, обмеження мережевого доступу некоректними налаштуваннями брандмауера Windows, заборони на установку або запуск будь-яких додатків (через політики SPR або AppLocker) або на локальний або віддалений вхід на комп’ютери.

Якщо адміністратор не може локально увійти в систему, або не знає точно яка із застосованих ним налаштувань GPO викликає проблему, доводиться вдаватися до аварійного сценарієм скидання налаштувань групових політик на налаштування за замовчуванням. В “чистому” стані жоден з параметрів групових політик не заданий.

У цій статті ми покажемо кілька методів скидання налаштувань параметрів локальних і доменних групових політик до значень за замовчуванням. Ця інструкція є універсальною і може бути використана для скидання налаштувань GPO на всіх підтримуваних версіях Windows: починаючи з Windows 7 і закінчуючи Windows 10, а також для всіх версій Windows Server 2008 / R2, 2012 / R2 / 2016 і 2019.

Скидання параметрів локальної групової політики за допомогою редактора gpedit.msc

Цей спосіб передбачає використання графічної консолі редактора локальної групової політики gpedit.msc для відключення всіх налаштованих політик. Графічний редактор локальної GPO доступний тільки в Pro, Enterprise і Education редакціях Windows 10.

Порада. У домашніх (Home) редакціях Windows консоль Local Group Policy Editor відсутня, однак запустити її все-таки можна. За посиланнями нижче ви зможете завантажити і встановити консоль gpedit.msc для Windows 7 і Windows 10:

запустіть оснащення gpedit.msc і перейдіть в розділ Усі налаштування локальних політик комп’ютера (Local Computer Policy -> Computer Configuration -> Administrative templates / Політика “Локальний комп’ютер” -> Конфігурація комп’ютера -> Адміністративні шаблони). У цьому розділі міститься список всіх політик, доступних до налаштування в адміністративних шаблонах. Відсортуйте політики по стовпцю Держава (Стан) і знайдіть всі активні політики (знаходяться в стані Інваліди / Відключено або Увімкнено / Увімкнено). Вимкніть дію всі (або тільки певні настройки GPO), перевівши їх в стан Ні налаштовано (Не задана).

Як скинути групові політики в windows на дефолтні значення

Щоб створити резервну копію поточних налаштувань локальної GPO можна використовувати утиліту LGPO.exe из Менеджер з дотримання правил безпеки.

Аналогічно поміняйте налаштування параметрів в призначеному для користувача розділі локальних політик (Користувач Конфігурація/ Конфігурація користувача). Так можна відключити дію всіх налаштувань адміністративних шаблонів GPO.

Порада. Список всіх застосованих налаштувань локальних і доменних політик в зручному html звіті можна отримати за допомогою вбудованої утиліти GPResult командою:
gpresult /h c:distrgpreport2.html

Зазначений вище спосіб скидання групових політик в Windows підійде для самих “простих” випадків. Некоректні настройки групових політик можуть привести до більш серйозних проблем. Наприклад, неможливість запустити оснастку gpedit.msc або взагалі будь-яких програм, втрати адміністративних прав на комп’ютері, або заборони на локальний вхід в систему. У таких випадках доводиться скидати збережені настройки GPO в локальних файлах на комп’ютері.

Файли групових політик Registry.pol

Архітектура групових політик Windows заснована на спеціальних файлах Реєстр.pol. Дані файли зберігають параметри реєстру, які відповідають тим чи іншим налаштувань GPO. Призначені для користувача і комп’ютерні настройки політик зберігаються в різних файлах Реєстр.pol.

  • Налаштування конфігурації комп’ютера (розділ Конфігурація комп’ютера) Зберігаються в% SystemRoot% System32 GroupPolicy Machine registry.pol
  • Призначені для користувача політики (розділ Конфігурація користувача) -% SystemRoot% System32 GroupPolicy User registry.pol

Групові політики Windows зберігаються в файлах registry.pol

При завантаженні комп’ютера Windows завантажує вміст файлу Machine Registry.pol в гілку системного реєстру HKEY_LOCAL_MACHINE (HKLM). Вміст файлу User Registry.pol імпортується в гілку HKEY_CURRENT_USER (HKCU) при вході користувача в систему.

Коли ви відкриваєте консоль редактора GPO, вона завантажує вміст registry.pol файлів і надає їх в зручному графічному вигляді. При закритті редактора GPO внесені зміни зберігаються в файли Registry.pol. Після поновлення групових політик (командою gpupdate /force або по-розкладом), нові налаштування потрапляють до реєстру і застосовуються до комп’ютера.

Порада. Для внесення зміни в файли варто використовувати тільки редактор групових політик GPO. Не рекомендується редагувати файли Registry.pol вручну або за допомогою старих версій редактора групової політики!

Щоб видалити всі поточні настройки локальної групової політики, потрібно видалити файли Registry.pol в каталозі GroupPolicy.

Скидання налаштувань локальної GPO з командного рядка

Для примусового скидання всіх поточних налаштувань групових політик в Windows вам потрібно видалити файли Registry.pol. Припустимо цілком видалити каталоги з файлами налаштування політик. Зробити це можна наступними командами, запущеними в командному рядку з правами адміністратора:

RMDIR /S /Q "%WinDir%System32GroupPolicyUsers"

RMDIR /S /Q "%WinDir%System32GroupPolicy"

У Windows 10 2004 команда rd.exe була видалена з образу, тому для видалення каталогів потрібно використовувати команду rmdir.exe.

Після цього потрібно скинути старі настройки політик в реєстрі, застосувавши GPO з чистими настройками:

gpupdate /force

скидання всіх налаштованих політик з командного рядка windows

Дані команди скинуть всі налаштування локальної GPO в секціях Computer Configuration і User Configuration.

Відкрийте консоль редактора gpedit.msc і переконайтеся, що всі політики перейшли в стан “Не налаштовано” / “Not configured”. Після запуску консолі gpedit.msc віддалені папки GroupPolicyUsers і GroupPolicy будуть перестворювати автоматично з порожніми файлами Registry.pol.

Локальні групові політики не налаштовані

Скидання локальних політик безпеки Windows

Локальні політик безпеки (local безпеки політики) налаштовуються за допомогою окремої консолі управління secpol.msc. Якщо проблеми з комп’ютером викликані “закручуванням гайок” в локальних політиках безпеки, і, якщо у вас залишиться доступ до системи і адміністративні права, спочатку варто спробувати скинути налаштування локальних політик безпеки Windows до значень за замовчуванням. Для цього в командному рядку з правами адміністратора виконайте:

  • Для Windows 10, Windows 8.1 / 8 і Windows 7: secedit /configure /cfg %windir%infdefltbase.inf /db defltbase.sdb /verbose
  • Для Windows XP: secedit /configure /cfg %windir%repairsecsetup.inf /db secsetup.sdb /verbose

secedit скидання налаштувань безпеки

Перезавантажте комп’ютер.

Якщо у вас збережуться проблеми з політиками безпеки, спробуйте вручну перейменувати файл контрольної точки бази локальних політик безпеки% windir% security database edb.chk.

ren %windir%securitydatabaseedb.chk edb_old.chk
видалити файл журналу security  database  edb.chk
Виконайте команду:
gpupdate /force
Перезавантажте Windows за допомогою команди shutdown:
Shutdown –f –r –t 0

Як скинути настройки локальних GPO, якщо неможливо увійти в Windows?

Якщо локальний вхід в Windows неможливий або не вдається запустити командний рядок (наприклад, при блокуванні її та інших програм за допомогою Applocker), ви можете видалити файли Registry.pol, завантажившись з інсталяційного диска Windows (завантажувальної USB флешки) або будь-якого LiveCD.

  1. Загрузітес комп’ютер з будь-якого установочного диска / флешки з Windows і запустіть командний рядок (Shift+F10).
  2. Виконайте команду:
    diskpart
  3. Потім виведіть список підключених до комп’ютера дисків:
    list volume

    В даному прикладі буква, привласнена системному диску, відповідає букві в системі – C: . У деяких випадках вона може не відповідати. Тому такі команди необхідно виконувати в контексті вашого системного диска (наприклад, D: або C: )

  4. Завершіть роботу з diskpart ,, набравши:
    exit
  5. Послідовно виконайте наступні команди: Скидання локальних політик GPO за допомогою завантажувального диска
    rd /S /Q C:WindowsSystem32GroupPolicy
    rd /S /Q C:WindowsSystem32GroupPolicyUsers
  6. Перезавантажте комп’ютер у звичайному режимі і перевірте, що всі параметри локальної групової політики скинуті в стан за замовчуванням.

Скидання застосованих налаштувань доменних GPO

Кілька слів про доменні групових політиках. Якщо комп’ютер включений в домен Active Directory, деякі його настройки задаються доменними GPO.

Файли registry.pol всіх застосованих доменних групових політик зберігаються в каталозі % windir% System32 GroupPolicy DataStore 0 SysVol contoso.com Policies. Кожна політика зберігається в окремому каталозі з GUID доменної політики. При виключенні комп’ютера з домену файли registry.pol доменних політик на комп’ютері видаляються і відповідно, не завантажуються в реєстр. Але іноді незважаючи на виключення комп’ютера з домену, настройки політик можуть все ще застосовуватися до комп’ютера.

каталог з файлами доменних політик на клієнті

Цим файлів registry.pol відповідають наступні гілки реєстру:

  • HKLM Software Policies Microsoft
  • HKCU Software Policies Microsoft
  • HKCU Software Microsoft Windows CurrentVersion Об’єкти групової політики
  • HKCU Software Microsoft Windows CurrentVersion Policies

Історія застосованих версій доменних політик, які збереглися на клієнті, знаходиться в гілках:

  • HKLM SOFTWARE Microsoft Windows CurrentVersion Group Policy History
  • HKCU Software Microsoft Windows CurrentVersion Group Policy History

Локальний кеш застосованих доменних GPO зберігається в каталозі C: ​​ ProgramData Microsoft Group Policy History. Видаліть файли в цьому каталозі командою:

DEL /S /F /Q “%PROGRAMDATA%MicrosoftGroup PolicyHistory*.*”

Також для видалення доменних GPO, потрібно очистити каталог% windir% System32 GroupPolicy DataStore 0 SysVol contoso.com Policies і видалити зазначені гілки реєстру (настійно рекомендується створити резервну копію файлів, що видаляються і гілок реєстру !!!).

Потім виконайте команду:

gpupdate /force /boot

Порада. Розглянуті вище методики дозволяють скинути всі налаштування групових політик у всіх версіях Windows. Скидаються всі налаштування, зроблені за допомогою редактора групової політики, проте не скидаються всі зміни, внесені в реєстр безпосередньо через regedit.exe, REG- файли, через доменні GPP або будь-яким іншим способом.

Leave a Reply

Your email address will not be published. Required fields are marked *