Сброс локальных групповых политик в Windows
Одним из основных инструментов тонкой настройки параметров пользователя и системы в Windows являются групповые политики — GPO (group policy object). На сам компьютер и его пользователей могут действовать доменные групповые политики (если компьютер состоит в домене) и локальные (настроенные и активные только на данном компьютере). Групповые политики являются отличным средством настройки системы, способным повысить ее функционал, защищенность и безопасность. Однако у начинающих системных администраторов, решивших поэкспериментировать с безопасностью своего компьютера, некорректная настройка локальной (или доменной) групповой политики может привести к различным проблемам: от мелких проблем, заключающихся например в невозможности подключить принтер или флешку, до полного запрета на установку или запуск любых приложений, или даже запрета на вход в систему.
В подобных случаях, тяжесть которых усугубляется тем, что зачастую администратор просто не знает какая из применённых политик вызывает проблему, возникает необходимость сброса состояния групповых политик на состояние по-умолчанию, когда ни один из параметров групповых политик не задан.
Сброс локальных политик с помощью консоли gpedit.msc
Откройте консоль управления локальными групповыми политиками gpedit.msc .
Перейдите в раздел All Settings системных локальных политик безопасности (Local Computer Poice -> Computer Configuration — > Administrative templates). Данные раздел содержит список всех политик, доступных к конфигурированию в административных шаблонах. Отсортируйте политики по столбцу State (состояние) и найдите все активные политики (состояние Disabled и Enabled). Отключите действие всех или только определенных политик, переведя их в состояние Not configured (Не задана).
Такие же действия нужно провести и в разделе пользовательских политик (User Configuration). Таким образом можно отключить действие всех административных групповых политик.
Совет. В том случае если вам нужно совсем отключить действие доменных политик на компьютер, рекомендуем статью Отключить применение доменных GPO в Windows 7.
Указанный выше способ сброса групповых политик в Windows подойдет для самых «простых» случаев. Некорректные настройки групповых политик могут привести к более серьезным проблемам, например: невозможности запуску оснастки gpedit.msc или вообще всех программ, потери пользователем прав администратора системы, или запрета на вход в систему. Рассмотрим эти случаи подробнее.
Сброс локальных политик безопасности в Windows
Локальные политик безопасности (local security policies) настраиваются с помощью отдельной консоли управления secpol.msc. Если проблемы с компьютером вызваны «закручиванием гаек» в локальных политик безопасности, и если у пользователя остался доступ к системе и административные права, сначала стоит попробовать сбросить параметры безопасности системы к значениям по умолчанию. Для этого в командной строке с правами администратора выполните:
Для Windows XP:
secedit /configure /cfg %windir%\repair\secsetup.inf /db secsetup.sdb /verbose
Для Windows 8, Windows 7 и Vista:
secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb /verbose
После чего компьютер нужно перезагрузить.
«Жесткий» метод сброса групповых политик в Windows на дефолтные значения
Прежде чем говорить о радикальном способе сброса групповых политик в Windows, проведем краткий экскурс в архитектуру административных шаблонов групповых политик Windows.
Архитектура административных шаблонов групповых политик основана на специальных файлах Registry.pol. Данные файлы хранят параметры реестра, которые соответствуют тем или иным настройкам сконфигурированных групповых политик. Пользовательские и компьютерные политики хранятся в разных файлах Registry.pol.
- Настройки компьютера (раздел Computer Configuration) хранятся в %SystemRoot%\System32\ GroupPolicy\Machine\registry.pol
- Пользовательские политики (раздел User Configuration) — %SystemRoot%\System32\ GroupPolicy\User\registry.pol
При загрузке компьютера система экспортирует содержимое файла \Machine\Registry.pol в ветку системного реестра HKEY_LOCAL_MACHINE (HKLM). Содержимое файла \User\Registry.pol экспортируется в ветку HKEY_CURRENT_USER (HKCU) при входе пользователя в систему.
Консоль редактора локальных групповых политик при открытии грузит содержимое данных файлов и предоставляет их в удобном пользователю виде. При закрытии редактора GPO внесенные изменения записываются в реестр.
Совет. Для внесения изменения в файлы стоит использовать только редактор групповых политик GPO. Не рекомендуется редактировать файлы Registry.pol вручную или с помощью старых версий редактора групповой политики!
Чтобы удалить все текущие настройки локальных групповых политик, необходимо удалить файлы Registry.pol в каталоге GroupPolicy. Сделать это можно следующими командами, запущенными в командной строке с правами администратора:
RD /S /Q "%WinDir%\System32\GroupPolicyUsers" RD /S /Q "%WinDir%\System32\GroupPolicy" gpupdate /force
Сброс локальных политик безопасности при невозможности входа в Windows
В том случае, если локальный вход в систему невозможен или не удается запустить командную строку (например, при блокировке ее и других программ с помощью Applocker). Удалить файлы Registry.pol можно, загрузившись с установочного диска Windows или любого LiveCD.
- Загрузитесь с установочного диска Windows и запустите командную строку (Shift+F10)
- Выполните команду:
diskpart
list volume
exit
Последовательно выполните следующие команды:
RD /S /Q С:\Windows\System32\GroupPolicy
RD /S /Q С:\Windows\System32\GroupPolicyUsers
Сброс прав пользователя в групповой политике домена по умолчанию в Windows Server 2003
В этой статье описывается сброс прав пользователя в объекте групповая политика домена по умолчанию в Windows Server 2003.
Применяется к: Windows Server 2003
Исходный номер базы знаний: 324800
Аннотация
Объект групповой политики домена по умолчанию содержит множество параметров прав пользователя по умолчанию. Иногда при изменении параметров по умолчанию могут накладываться непредвиденные ограничения на права пользователей. Если изменения непредвиденны или если изменения не были записаны, чтобы не знать, какие изменения были внесены, может потребоваться сбросить параметры прав пользователя до значений по умолчанию.
Сброс прав пользователя для объекта групповой политики домена по умолчанию
Чтобы восстановить права пользователя на использование параметров по умолчанию для объекта групповой политики домена по умолчанию, выполните процедуры, описанные в этом разделе, в порядке их представления.
Убедитесь, что при выполнении следующих процедур следует соблюдать осторожность. Если вы неправильно настроите шаблон объекта групповой политики, контроллеры домена могут быть неавторяемыми.
Изменение файла Gpttmpl.inf
Чтобы изменить файл Gpttmpl.inf, выполните следующие действия.
Перед выполнением этой процедуры создайте резервную копию файла Gpttmpl.inf.
- Запустите проводник Windows и откройте следующую папку, Sysvol_path путь к папке Sysvol: Sysvol_path\Sysvol\DomainName\Policies\\Machine\Microsoft\Windows NT\SecEdit
Примечание. Путь к папке Sysvol по умолчанию — %SystemRoot%\Sysvol.
Unicode=yes [System Access] MinimumPasswordAge = 0 MaximumPasswordAge = 42 MinimumPasswordLength = 0 PasswordComplexity = 0 PasswordHistorySize = 1 LockoutBadCount = 0 RequireLogonToChangePassword = 0 ForceLogoffWhenHourExpire = 0 ClearTextPassword = 0 [Kerberos Policy] MaxTicketAge = 10 MaxRenewAge = 7 MaxServiceAge = 600 MaxClockSkew = 5 TicketValidateClient = 1 [Version] signature="$CHICAGO$" Revision=1 Примечание. Параметры разрешений, полученные в результате этой процедуры, совпадают с разрешениями, совместимыми с пользователями windows 2000 до Microsoft, и разрешениями, совместимыми только с пользователями Windows 2000.
Изменение Gpt.ini файла
Файл Gpt.ini управляет номерами версий шаблона объекта групповой политики. Необходимо изменить файл Gpt.ini, чтобы увеличить номер версии шаблона объекта групповой политики. Для этого:
-
Запустите Проводник и откройте следующую папку , где Sysvol_path путь к папке Sysvol: Sysvol_path\Sysvol\Domain\Policies\
Примечание. Путь к папке Sysvol по умолчанию — %SystemRoot%\Sysvol.
Использование GPUpdate для обновления групповая политика
Примените новый объект групповой политики с помощью средства GPUpdate, чтобы вручную применить все параметры политики. Для этого:
- Нажмите кнопку Пуск и выберите пункт Выполнить.
- В поле «Открыть » введите cmd и нажмите кнопку «ОК».
- В командной строке введите следующую строку и нажмите клавишу ВВОД: GPUpdate /Force
- Введите выход и нажмите клавишу ВВОД, чтобы выйти из командной строки.
Примечание. Чтобы найти ошибки при обработке политики, просмотрите журнал событий.
Используйте Просмотр событий, чтобы убедиться, что объект групповой политики успешно применен. Для этого:
- Нажмите кнопку Пуск, а затем последовательно выберите пункты Администрирование и Просмотр событий.
- Щелкните «Приложение».
Найдите идентификатор события 1704, чтобы убедиться, что объект групповой политики успешно применен.
Как сбросить все параметры локальных групповых политик к настройкам по умолчанию
В данной статье показаны различные способы, с помощью которых можно сбросить все параметры локальных групповых политик к настройкам по умолчанию.
Редактор локальных групповых политик является одним из основных инструментов для тонкой настройки параметров пользователей и операционной системы. С помощью групповых политик можно повысить безопасность системы, а также настроить конфигурацию интерфейса и элементов управления для пользователей.
В некоторых случаях, при неудачной настройке параметров, могут возникнуть различные проблемы, например такие как запрет на установку или запуск приложений, невозможность подключить принтер или флешку, или даже запрет на вход в систему.
В подобных ситуациях возникает необходимость сброса состояния групповых политик к настройкам по умолчанию, когда ни один из параметров групповых политик не задан.
Как сбросить локальные групповые политики с помощью оснастки gpedit.msc
Сбросить все параметры локальных политик можно в оснастке gpedit.msc, то есть в редакторе локальных групповых политик. Для этого нажмите сочетание клавиш + R и в открывшемся окне Выполнить введите gpedit.msc и нажмите клавишу Enter ↵.
В окне редактора локальных групповых политик последовательно разверните следующие элементы списка:
Конфигурация компьютера ➯ Административные шаблоны ➯ Все Параметры
Раздел Все Параметры содержит список всех политик, доступных к конфигурированию в административных шаблонах. Отсортируйте политики в столбце Состояние таким образом, чтобы активные политики имеющие статус Включено и Отключено оказались вверху списка.
Затем дважды кликните мышкой по каждой из этих политик и в окне настроек установите радиокнопку в положение Не задано и нажмите кнопку OK .
Такие же действия выполните для политик в разделе Конфигурация пользователя и перезагрузите компьютер.
Таким образом вы отключите действие всех административных групповых политик.
Как сбросить локальные групповые политики в командной строке
Сброс параметров локальных групповых политик также можно выполнить с помощью командной строки. Данный способ включает в себя удаление папок с параметрами групповых политик с диска, на котором установлена операционная система.
Архитектура административных шаблонов групповых политик основана на специальных файлах Registry.pol. Данные файлы хранят параметры реестра, которые соответствуют тем или иным настройкам сконфигурированных групповых политик. Пользовательские и компьютерные политики хранятся в разных файлах Registry.pol
Настройки компьютера (раздел Конфигурация компьютера) хранятся в
%SystemRoot%\\System32\\ GroupPolicy\\Machine\\registry.pol.
Пользовательские политики (раздел Конфигурация пользователя) хранятся в
%SystemRoot%\\System32\\ GroupPolicy\\User\\registry.pol
Запустите консоль командной строки от имени администратора и последовательно выполните команды:
Как сбросить локальные политики безопасности (secpol.msc)
Локальные политики безопасности (local security policies) настраиваются с помощью отдельной консоли управления secpol.msc. Если проблемы с компьютером вызваны в результате применения локальных политик безопасности, а у пользователя остался доступ к системе и административные права, то попробуйте сбросить параметры безопасности системы к значениям по умолчанию.
Для этого в командной строке запущенной с правами администратора выполните команду:
secedit /configure /cfg %windir%\\inf\\defltbase.inf /db defltbase.sdb /verbose
После выполнения команды, чтобы изменения вступили в силу перезагрузите компьютер.
Как сбросить локальные групповые политики если нет возможности войти в систему
В случае если локальный вход в систему невозможен или не удается запустить командную строку, то сбросить параметры локальных групповых политик можно загрузившись с установочного носителя.
Загрузитесь с установочного носителя с дистрибутивом операционной системы и запустите командную строку нажав сочетание клавиш Shift + F10
Теперь нам нужно запустить утилиту diskpart , для этого в окне командной строки выполните команду:
Затем выведем список дисков в системе выполнив команду:
В данном примере буква, присвоенная системному диску (раздел на котором установлена операционная система) является буква – D :\\, что не соответствует букве в системе – C:\\, когда она загружена в обычном режиме. В некоторых случаях она может соответствовать. В данном случае определение буквы диска производилось по его объему. Поэтому следующие команды необходимо выполнять в контексте вашего системного диска (например, C:\\ D:\\ или E:\\).
Теперь завершите работу с утилитой diskpart, выполнив команду:
Осталось последовательно выполните следующие команды:
RD /S /Q D:\\Windows\\System32\\GroupPolicyUsers
Перезагрузите компьютер, войдите в систему и убедитесь что параметры локальных групповых политик сброшены к настройкам по умолчанию.