Нулиране на местните групови политики на Windows

Един от основните инструменти за фина настройка на потребителските и системните настройки на Windows е групови правила - GPO (обект на групови правила). Самият компютър и неговите потребители могат да бъдат засегнати от политики за групи от домейни (ако компютърът е в домейн на Active Directory) и локални (тези правила са конфигурирани локално и се прилагат само за този компютър). Груповите политики са чудесен начин за конфигуриране на системата, способна да повиши нейната функционалност, сигурност и безопасност. За начинаещите системни администратори, които решат да експериментират със сигурността на своя компютър, неправилната конфигурация на някои локални (или домейн) настройки на груповата политика може да доведе до различни проблеми: от незначителни проблеми, като невъзможност за свързване на принтер или USB флаш устройство, до пълна забрана на инсталация или стартиране на всякакви приложения (чрез SPR или AppLocker политики), или дори забрана за локално или отдалечено влизане.

В такива случаи, когато администраторът не може да влезе в системата локално или не знае точно коя от приложените настройки на политиката причинява проблема, трябва да прибягвате до спешния сценарий за нулиране на груповите политики до настройките по подразбиране (по подразбиране). В състояние „чисто“ на компютъра не се задава нито една от настройките на груповата политика.

В тази статия ще покажем няколко метода за нулиране на настройките на местните политики и на групите домейни до стойности по подразбиране. Това ръководство е универсално и може да се използва за нулиране на настройките за GPO във всички поддържани версии на Windows: от Windows 7 до Windows 10, както и за всички версии на Windows Server 2008 / R2, 2012 / R2 и 2016.

Съдържание:

  • Нулирайте местните политики с помощта на конзолата gpedit.msc
  • Принудително нулиране на локалните GPO настройки от командния ред
  • Нулиране на местните политики за сигурност на Windows
  • Нулирайте местните политики, когато Windows не може да влезете
  • Нулирайте приложените настройки на GPO за приложения

Нулирайте местните политики с помощта на конзолата gpedit.msc

Този метод включва използване на графичната конзола на редактора на местните групови правила. gpedit.MSC за деактивиране на всички конфигурирани политики. Локалният графичен редактор на GPO е достъпен само в издания Pro, Enterprise и Education..

съвет. В домашните издания на Windows конзолата за локален групов политик редактор липсва, но все пак можете да я стартирате. С помощта на връзките по-долу можете да изтеглите и инсталирате конзолата gpedit.msc за Windows 7 и Windows 10:

  • Редактор на групови правила за Windows 7 Home
  • Конзола Gpedit.msc за Windows 10 Home Edition

Стартирайте snap-in gpedit.msc и отидете на секцията Всички настройки местни компютърни политики (Локална компютърна политика -> Конфигурация на компютъра -> Административни шаблони / Локална компютърна политика -> Конфигурация на компютъра -> Административни шаблони). Този раздел съдържа списък на всички политики, които могат да бъдат конфигурирани в административни шаблони. Сортирайте политиките по колона състояние (Състояние) и намерете всички активни политики (са в състояние За хора с увреждания / Изкл или Enabled / Включени). Деактивирайте действието на всички или само определени политики, привеждайки ги в състояние не конфигуриран (Не е зададено).

Същите действия трябва да се извършат в раздела за потребителски политики (потребител Конфигурация/ Конфигурация на потребителя). По този начин можете да деактивирате ефекта от всички настройки на административни GPO шаблони..

съвет. Списък на всички приложени настройки за локална и домейна политика в удобен html отчет може да се получи с помощта на вградената програма за GPResult с командата:
gpresult / h c: \ distr \ gpreport2.html

Горният метод за нулиране на груповите политики в Windows е подходящ за най-„прости“ случаи. Неправилните настройки за групови политики могат да доведат до по-сериозни проблеми, например: невъзможността да се стартира gpedit.msc или всички програми като цяло, загубата от страна на потребителя на правата на системния администратор или забраната за локално влизане в системата. Ние разглеждаме тези случаи по-подробно..

Принудително нулиране на локалните GPO настройки от командния ред

Този раздел описва как да принудите да нулирате всички текущи настройки на груповата политика в Windows. Първо обаче ще опишем някои от принципите за работа с GPO в Windows..

Архитектура на груповата политика въз основа на специални файлове регистратура.Политическо. Тези файлове съхраняват настройки на регистъра, които съответстват на определени настройки на конфигурираните групови правила. Потребителските и компютърните политики се съхраняват в различни файлове. регистратура.Политическо.

  • Настройки за конфигурация на компютъра (раздел Компютърна конфигурация) се съхраняват в% SystemRoot% \ System32 \ GroupPolicy \ Machine \ register.pol
  • Потребителски политики (раздел Потребителска конфигурация) -% SystemRoot% \ System32 \ GroupPolicy \ Потребител \ register.pol

Когато компютърът се стартира, системата импортира съдържанието на файла \ Machine \ Registry.pol в клона на регистъра HKEY_LOCAL_MACHINE (HKLM). Съдържанието на файла \ User \ Registry.pol се импортира в клона HKEY_CURRENT_USER (HKCU), когато потребителят влезе в системата.

При отваряне конзолата на редактора на политики за локална група зарежда съдържанието на тези файлове и ги предоставя в графична форма, удобна за потребителя. Когато затворите редактора на GPO, промените, които правите, се записват във файловете Registry.pol. След актуализиране на груповите правила (с помощта на командата gpupdate / force или по график) новите настройки влизат в системния регистър.

съвет. За да направите промени във файловете, трябва да използвате само редактора на групови правила за GPO. Не се препоръчва да редактирате файловете Registry.pol ръчно или да използвате по-стари версии на редактора на груповите политики!

За да изтриете всички текущи настройки на местните групови правила, трябва да изтриете файловете Registry.pol в директорията GroupPolicy. Можете да направите това със следните команди, изпълнявани в командния ред с права на администратор:

RD / S / Q "% WinDir% \ System32 \ GroupPolicyUsers" RD / S / Q "% WinDir% \ System32 \ GroupPolicy"

След това трябва да актуализирате настройките на правилата в системния регистър:

gpupdate / force

Тези команди ще нулират всички настройки на политиките за местна група в секциите „Конфигурация на компютъра“ и „Конфигурация на потребителя“..

Отворете конзолата на редактора gpedit.msc и проверете дали всички политики са в състояние Не конфигуриран. След стартиране на конзолата gpedit.msc, изтритите папки ще бъдат създадени автоматично с настройки по подразбиране.

Нулиране на местните политики за сигурност на Windows

Местни политики за сигурност конфигуриран с помощта на отделна конзола за управление secpol.msc. Ако проблемите с компютъра са причинени от затягане на винтовете в локалните политики за сигурност и ако потребителят все още има достъп до системните и административни права, първо трябва да опитате да нулирате локалните политики за сигурност на Windows до стойностите по подразбиране. За да направите това, в командния ред с права на администратор, направете

  • За Windows 10, Windows 8.1 / 8 и Windows 7: secedit / configure / cfg% windir% \ inf \ defltbase.inf / db defltbase.sdb / verbose
  • За Windows XP: secedit / configure / cfg% windir% \ repair \ secsetup.inf / db secsetup.sdb / verbose

След което компютърът трябва да се рестартира.

Ако проблемите с политиките за сигурност продължават, опитайте ръчно да преименувате файла на контролната точка на локалната база данни на политиката за сигурност% windir% \ security \ database \ edb.chk

ren% windir% \ security \ база данни \ edb.chk edb_old.chk

Изпълнете командата:
gpupdate / force
Рестартирайте Windows с помощта на командата за изключване:
Изключване -f -r -t 0

Нулирайте местните политики, когато Windows не може да влезете

В случай, че локалното влизане не е възможно или командният ред не може да бъде стартиран (например, когато той и други програми са блокирани с помощта на Applocker). Можете да изтриете Registry.pol файловете, като се зареждате от инсталационния диск на Windows или всеки LiveCD.

  1. Стартирайте от всеки инсталационен диск на Windows и стартирайте командния ред (Shift + F10)
  2. Изпълнете командата:
    Diskpart
  3. След това изброяваме дисковете в системата:
    обем на списъка

    В този пример буквата, присвоена на системния диск, съответства на буквата в системата - C: \. В някои случаи обаче може да не е подходящо. Следователно следните команди трябва да бъдат изпълнени в контекста на вашето системно устройство (например D: \ или C: \)

  4. Завършете работата с diskpart, като въведете:
    изход
  5. Изпълнете следните команди последователно: 
    RD / S / Q C: \ Windows \ System32 \ GroupPolicy
    RD / S / Q C: \ Windows \ System32 \ GroupPolicyUsers
  6. Рестартирайте компютъра в нормален режим и проверете дали правилата за местната група са върнати до стандартното им състояние.

Нулирайте приложените настройки на GPO за приложения

Няколко думи за правилата за групови групи. В случай че компютърът е включен в домейна на Active Directory, някои от неговите настройки могат да бъдат контролирани от администратора на домейна чрез GPO на домейна.

съвет.  В случай, че трябва напълно да блокирате приложението на правилата за домейна на конкретен компютър, препоръчваме статията Деактивиране на използването на домейни с групово име в Windows 7.

Файловете register.pol на всички приложени политики на групата на домейните се съхраняват в директория % windir% \ System32 \ GroupPolicy \ DataStore \ 0 \ SysVol \ contoso.com \ Политики. Всяка политика се съхранява в отделна директория с GUID на политиката за домейни..

Следните клонове на системния регистър отговарят на тези файлове на register.pol:

  • HKLM \ Софтуер \ Политики \ Microsoft
  • HKCU \ Софтуер \ Политики \ Microsoft
  • HKCU \ Софтуер \ Microsoft \ Windows \ CurrentVersion \ Групови политически обекти
  • HKCU \ Софтуер \ Microsoft \ Windows \ CurrentVersion \ Политики

Историята на приложените версии на политиките за домейни, които са запазени на клиента, е в клоновете:

  • HKLM \ СОФТУЕР \ Microsoft \ Windows \ CurrentVersion \ Групова политика \ История \
  • HKCU \ Софтуер \ Microsoft \ Windows \ CurrentVersion \ Групова политика \ История \

Когато компютърът е изключен от домейн, файловете register.pol на политиките за домейна на компютъра се изтриват и съответно не се зареждат в системния регистър.

Ако трябва да наложите премахването на настройките за GPO на домейна, трябва да почистите директорията% windir% \ System32 \ GroupPolicy \ DataStore \ 0 \ SysVol \ contoso.com \ Policies и да изтриете посочените клонове на системния регистър (настоятелно се препоръчва да архивирате изтритите файлове и клонове на системния регистър !!!) , След това изпълнете командата:

gpupdate / force / boot

съвет. Посочената техника ви позволява да нулирате всички настройки на политиките за местни групи във всички версии на Windows. Всички настройки, направени с помощта на редактора на групови правила, обаче се нулират не се нулира всички промени, направени в системния регистър директно чрез редактора на системния регистър, .reg файлове или по някакъв друг начин.
Категория