Объект групповой политики (GPO) — это удобный инструмент для тонкой настройки пользовательской среды и операционной системы в Windows. К компьютеру и пользователям могут применяться как доменные GPO (если компьютер является членом домена Active Directory), так и локальные групповые политики (эти параметры настраиваются локально на компьютере). Из-за неправильной настройки некоторых параметров GPO (чаще всего связанных с безопасностью) могут возникать различные проблемы с запуском приложений или инструментов, ошибки операционной системы (вплоть до невозможности локального входа в Windows) и т. д. Если вы не знаете, какой параметр GPO вызывает проблему, вы можете сбросить настройки групповой политики Windows до значений по умолчанию.
- Как сбросить определенные параметры локальной групповой политики с помощью Gpedit.msc
- Сброс всех параметров групповой политики по умолчанию в Windows с помощью CMD
- Сброс параметров локальной политики безопасности до значения по умолчанию в Windows
- Как сбросить параметры локальной GPO, если вы не можете войти в Windows
- Очистка параметров групповой политики, применяемых в домене, в Windows
- Как восстановить групповые политики домена по умолчанию
Как сбросить определенные параметры локальной групповой политики с помощью Gpedit.msc
Графическая консоль редактора локальной групповой политики (gpedit.msc) используется для настройки параметров GPO на локальном компьютере. Эта консоль доступна только в Pro, Enterprise и Education редакциях Windows 10 и 11.
Откройте gpedit.mscоснастку MMC и перейдите в раздел Все настройки раздел (Политика локального компьютера -> Конфигурация компьютера — > Административные шаблоны). Этот раздел содержит все параметры, которые доступны для настройки в административных (admx) шаблонах GPO, установленных на компьютере. Отсортируйте политики по столбцу Состояние, чтобы найти все настроенные параметры (с Отключено или Включено состояние).
Чтобы отключить конкретный параметр групповой политики, необходимо изменить его состояние на Не настроен.
- Вы можете создать резервную копию текущих локальных настроек GPO с помощью инструмента LGPO.exe.
- Команда GPResult может быть использована для создания HTML-отчета, содержащего список всех примененных параметров локальной и доменной политики на компьютере:
gpresult /h c:\PS\GPRreport.html
Таким же образом можно сбросить настройки в Конфигурация пользователя разделе редактора локального GPO.
Это самый простой способ найти и отменить примененные параметры локальной групповой политики в Windows
Однако неправильные параметры групповой политики GPO могут помешать запуску оснастки gpedit.msc (или других программ и инструментов), помешать локальному входу в систему, лишить вас прав локального администратора и т. д. В таких случаях необходимо сбросить все настройки GPO в локальных файлах на компьютере.
Сброс всех параметров групповой политики по умолчанию в Windows с помощью CMD
Windows хранит параметры локальной групповой политики в папке Registry.pol файлы. Параметры политики для пользователя и компьютера хранятся в отдельных файлах POL.
- Настройки компьютера (Раздел «Конфигурация компьютера) хранятся в
%SystemRoot%\System32\GroupPolicy\Machine\registry.pol - Настройки пользователя (Раздел «Конфигурация пользователя) хранятся в
%SystemRoot%\System32\GroupPolicy\User\registry.pol
Если вы включите определенные параметры в локальном GPO с помощью консоли gpedit.msc, все внесенные изменения будут сохранены в файлах Registry.pol. Новые параметры импортируются в реестр и применяются к компьютеру при обновлении параметров групповой политики (с помощью команды gpupdate /force или по расписанию).
- При запуске компьютера параметры реестра импортируются из
\Machine\Registry.polфайла вHKEY_LOCAL_MACHINE(HKLM); - Настройки пользователя импортируются из
\User\Registry.polфайла вHKEY_CURRENT_USER(HKCU) в ветку реестра при входе пользователя в Windows.
Поэтому, чтобы удалить текущие параметры локальной групповой политики, необходимо удалить файлы Registry.pol в папках GroupPolicy и GroupPolicyUsers. Удалить файлы Registry.pol и сбросить текущие параметры GPO можно из командной строки:
RD /S /Q "%WinDir%\System32\GroupPolicyUsers"
RD /S /Q "%WinDir%\System32\GroupPolicy"
Обновите параметры групповой политики, чтобы сбросить старые параметры в реестре:
gpupdate /force
Эти команды сбросят все параметры локальной групповой политики в разделах «Конфигурация компьютера» и «Конфигурация пользователя».
Откройте gpedit.msc Консоль и убедитесь, что для всех политик установлено значение ‘Не настроено‘. После запуска консоли gpedit.msc на экране появится окно GroupPolicyUsers и GroupPolicyкаталоги будут автоматически пересозданы.
Сброс параметров локальной политики безопасности по умолчанию в Windows
Локальные политики безопасности настраиваются в отдельном secpol.mscконсоли MMC. Если вы хотите сбросить настройки локальной политики безопасности Windows до значений по умолчанию, выполните команду:
secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb /verbose
предупреждение]The %windir%\inf\defltbase.inf это шаблон, содержащий стандартные параметры локальной безопасности для Windows. [/alert]
Перезагрузите компьютер.
Это должно сбросить настройки безопасности Windows, которые хранятся в папке HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System ключ реестра.
Попробуйте вручную переименовать файл контрольной точки базы локальной политики безопасности, если предыдущий способ не сработал:
ren %windir%\security\database\edb.chk edb_old.chk
Обновление параметров групповой политики:
gpupdate /force
Перезапустите Windows с помощью команды shutdown:
Shutdown –f –r –t 0
Как сбросить параметры локального GPO, если вы не можете войти в Windows
Если вы не можете войти в Windows локально или не можете открыть командную строку (например, если приложения заблокированы политикой AppLocker или Software Restriction), вы можете удалить файлы Registry.pol, загрузившись с установочного носителя Windows (загрузочного USB-накопителя), с любого LiveCD или используя среду восстановления Window Recovery Environment (WinRE).
- Загрузите компьютер с любого установочного носителя Windows и откройте командную строку (
Shift+F10); - Выполните команду:
diskpart - Затем отобразите список томов на компьютере:
list volume
В этом случае буква диска C:\ назначается системному диску. В вашем случае буква диска может быть другой. Поэтому следующие команды следует выполнять в контексте системного диска (например, D:\ или C:\); - Закрыть diskpart:
exit - Выполните следующие команды:
RD /S /Q C:\Windows\System32\GroupPolicy
RD /S /Q C:\Windows\System32\GroupPolicyUsers
- Перезагрузите компьютер и убедитесь, что все параметры локальной групповой политики сброшены в состояние по умолчанию.
Очистка параметров групповой политики, применяемых в домене, в Windows
Если компьютер является частью домена Active Directory, его параметры могут быть настроены с помощью GPO домена.
Файлы registry.pol всех примененных GPO домена кэшируются в %windir%\System32\GroupPolicy\DataStore\0\SysVol\contoso.com\Policies. Каждая политика хранит свои файлы в отдельном каталоге с именем, включающим GUID политики домена.
При удалении компьютера из домена файлы registry.pol групповых политик домена должны быть автоматически удалены с компьютера. Иногда случается так, что компьютер покинул домен, но настройки GPO домена все еще применяются к нему.
В этом случае необходимо очистить кэш групповых политик домена на компьютере. Для этого можно использовать следующий сценарий BAT:
DEL /S /F /Q “%ALLUSERSPROFILE%\Microsoft\Group Policy\History\*.*”
REG DELETE HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy /f
REG DELETE HKLM\Software\Policies\Microsoft /f
REG DELETE HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies /f
REG DELETE HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies /f
REG DELETE HKCU\Software\Policies\Microsoft /f
REG DELETE "HKCU\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects" /f
DEL /F /Q C:\WINDOWS\security\Database\secedit.sdb
klist purge
gpupdate /force
exit
C:\ProgramData\Microsoft\Group Policy\History папка содержит параметры предпочтений групповой политики, которые были применены к компьютеру.
Если вы установили флажок Удалите этот элемент, если он больше не применяется в опциях элемента GP Preferences, то кэш GPO в этой папке позволит вам вернуться к предыдущему состоянию после отключения политики.
Как восстановить групповые политики домена по умолчанию
В домене есть два стандартных GPO с известными GUID:
- Политика домена по умолчанию
{31B2F340-016D-11D2-945F-00C04FB984F9} - Политика контроллера домена по умолчанию
{6AC1786C-016F-11D2-945F-00C04FB984F9}
Согласно рекомендациям Microsoft, эти GPO не должны редактироваться. Рекомендуется создать копию этих политик в консоли управления групповой политикой (gpmc.msc) и изменить параметры по мере необходимости.
Используйте встроенный dcgpofix.exe инструмент для восстановления этих GPO к настройкам по умолчанию.
Откройте открытую командную строку на DC и выполните команду:
dcgpofix /target:Domain — сбросить GPO домена по умолчанию
dcgpofix /target:DC — сбросить GPO контроллера домена по умолчанию
Или сбросьте оба GPO по умолчанию сразу:
dcgpofix /target:both
Может появиться ошибка:
The Active Directory schema version for this domain and the version supported by this tool do not match. The GPO can be restored using the /ignoreschema command-line parameter. However, it is recommended that you try to obtain an updated version of this tool that might have an updated version of the Active Directory schema. Restoring a GPO with an incorrect schema might result in unpredictable behavior.
В этом случае необходимо добавить параметр /ignoreschema опция для принудительного сброса GPO по умолчанию:
dcgpofix /ignoreschema /target:Domain