Где хранятся файлы групповой политики windows 7

Групповые политики нужны для управления операционной системы Windows. Они применяются во время персонализации интерфейса, ограничения доступа к определенным ресурсам системы и многого другого. Используют данные функции преимущественно системные администраторы. Они создают однотипную рабочую среду на нескольких компьютерах, ограничивают доступ пользователям. В этой статье мы подробно разберем групповые политики в Windows 7, расскажем про редактор, его настройку и приведем некоторые примеры групповых политик.

Редактор групповой политики

В Windows 7 Домашняя Базовая/Расширенная и Начальная редактор групповых политик просто отсутствует. Разработчики позволяют использовать его только в профессиональных версиях Виндовс, например, в Windows 7 Максимальная. Если вы не обладаете этой версией, то те же действия вам придется выполнять через изменения параметров реестра. Давайте подробнее рассмотрим редактор.

Запуск редактора групповой политики

Переход к среде работы с параметрами и настройками осуществляется за несколько простых действий. Вам только необходимо:

1. Зажать клавиши Win + R, чтобы открыть «Выполнить».



2. Напечатать в строке gpedit.msc и подтвердить действие, нажав «ОК». Далее запустится новое окно.

Теперь можно приступать к работе в редакторе.

Работа в редакторе

Разделяется главное окно управления на две части. Слева располагается структурированные категории политик. Они в свою очередь делятся еще на две различные группы – настройка компьютера и настройка пользователя.

В правой части отображается информация о выбранной политике из меню слева.

Из этого можно сделать вывод, что работа в редакторе осуществляется путем перемещения по категориям для поиска необходимой настройки. Выберите, например, «Административные шаблоны» в «Конфигурации пользователя» и перейдите в папку «Меню «Пуск» и диспетчер задач». Теперь справа отобразятся параметры и их состояния. Нажмите на любую строку, чтобы открыть ее описание.

Настройки политики

Каждая политика доступна для настройки. Открывается окно редактирования параметров по двойному щелчку на определенную строку. Вид окон может отличаться, все зависит от выбранной политики.

Стандартное простое окно имеет три различных состояния, которые настраиваются пользователем. Если точка стоит напротив «Не задано», то политика не действует. «Включить» – она будет работать и активируются настройки. «Отключить» – находится в рабочем состоянии, однако параметры не применяются.

Рекомендуем обратить внимание на строку «Поддерживается» в окне, она показывает, на какие версии Windows распространяется политика.

Фильтры политик

Минусом редактора является отсутствие функции поиска. Существует множество различных настроек и параметров, их больше трех тысяч, все они разбросаны по отдельным папкам, а поиск приходится осуществлять вручную. Однако данный процесс упрощается благодаря структурированной группе из двух ветвей, в которых расположились тематические папки.

Например, в разделе «Административные шаблоны», в любой конфигурации, находятся политики, которые никак не связаны с безопасностью. В этой папке находится еще несколько папок с определенными настройками, однако можно включить полное отображение всех параметров, для этого нужно нажать на ветвь и выбрать пункт в правой части редактора «Все параметры», что приведет к открытию всех политик данной ветви.

Экспорт списка политик

Если все-таки появляется необходимость найти определенный параметр, то сделать это можно только путем экспорта списка в текстовый формат, а потом уже через, например Word, осуществлять поиск. В главном окне редактора есть специальная функция «Экспорт списка», он переносит все политики в формат TXT и сохраняет в выбранном месте на компьютере.

Применение фильтрации

Благодаря появлению ветви «Все параметры» и улучшению функции фильтрации поиск практически не нужен, ведь лишнее откидывается путем применения фильтров, а отображаться будут только необходимые политики. Давайте подробнее рассмотрим процесс применения фильтрации:

1. Выберите, например, «Конфигурация компьютера», откройте раздел «Административные шаблоны» и перейдите в «Все параметры».



2. Разверните всплывающее меню «Действие» и перейдите в «Параметры фильтра».



3. Поставьте галочку возле пункта «Включить фильтры по ключевым словам». Здесь имеется несколько вариантов подбора соответствий. Откройте всплывающее меню напротив строки ввода текста и выберите «Любой» – если нужно отображать все политики, которые соответствуют хотя бы одному указанному слову, «Все» – отобразит политики, содержащие текст из строки в любом порядке, «Точный» – только параметры, точно соответствующие заданному фильтру по словам, в правильном порядке. Флажками снизу строки соответствий отмечаются места, где будет осуществляться выборка.



4. Нажмите «ОК» и после этого в строке «Состояние» отобразятся только подходящие параметры.

В том же всплывающем меню «Действие» ставится или убирается галочка напротив строки «Фильтр», если нужно применить или отменить заранее заданные настройки подбора соответствий.

Принцип работы с групповыми политиками

Рассматриваемый в этой статье инструмент позволяет применять множество самых разнообразных параметров. К сожалению, большинство из них понятно только профессионалам, использующим групповые политики в рабочих целях. Однако и обычному пользователю есть что настроить, используя некоторые параметры. Разберем несколько простых примеров.

Изменение окна безопасности Windows

Если в Виндовс 7 зажать сочетание клавиш Ctrl + Alt + Delete, то будет запущено окно безопасности, где осуществляется переход к диспетчеру задач, блокировка ПК, завершение сеанса системы, смена профиля пользователя и пароля.

Каждая команда за исключением «Сменить пользователя» доступна для редактирования путем изменения нескольких параметров. Выполняется это в среде с параметрами или путем изменения реестра. Рассмотрим оба варианта.

1. Откройте редактор.
2. Перейдите в папку «Конфигурация пользователя», «Административные шаблоны», «Система» и «Варианты действий после нажатия Ctrl + Alt + Delete».



3. Откройте любую необходимую политику в окне справа.



4. В простом окне управления состоянием параметра поставьте галочку напротив «Включить» и не забудьте применить изменения.

Пользователям, у которых нет редактора политик, все действия нужно будет выполнять через реестр. Давайте рассмотрим все действия пошагово:

1. Перейдите к редактированию реестра.

Подробнее: Как открыть редактор реестра в Windows 7

2. Перейдите к разделу «System». Он находится по этому ключу:

HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem

3. Там вы увидите три строки, отвечающие за появление функций в окне безопасности.



4. Откройте необходимую строку и поменяйте значение на «1», чтобы активировать параметр.

После сохранения изменений деактивированные параметры больше не будут отображаться в окне безопасности Windows 7.

Изменения панели мест

Многие используют диалоговые окна «Сохранить как» или «Открыть как». Слева отображается навигационная панель, включая раздел «Избранное». Данный раздел настраивается стандартными средствами Windows, однако это долго и неудобно. Поэтому лучше воспользоваться групповыми политиками для редактирования отображения значков в данном меню. Редактирование происходит следующим образом:

1. Перейдите в редактор, выберите «Конфигурация пользователя», перейдите к «Административные шаблоны», «Компоненты Windows», «Проводник» и конечной папкой будет «Общее диалоговое окно открытия файлов».



2. Здесь вас интересует «Элементы, отображаемые в панели мест».



3. Поставьте точку напротив «Включить» и добавьте до пяти различных путей сохранения в соответствующие строки. Справа от них отображается инструкция правильного указания путей к локальным или сетевым папкам.

Теперь рассмотрим добавление элементов через реестр для пользователей, у которых отсутствует редактор.

1. Перейдите по пути:

HKCUSoftwareMicrosoftWindowsCurrentVersionPolicies

2. Выберите папку «Policies» и сделайте в ней раздел comdlg32.



3. Перейдите в созданный раздел и сделайте внутри него папку Placesbar.



4. В этом разделе потребуется создать до пяти строковых параметров и назвать их от «Place0» до «Place4».



5. После создания откройте каждый из них и в строку введите необходимый путь к папке.

Слежение за завершением работы компьютера

Когда вы завершаете работу за компьютером, выключение системы происходит без показа дополнительных окон, что позволяет не быстрее выключить ПК. Но иногда требуется узнать почему происходит выключение или перезапуск системы. В этом поможет включение специального диалогового окна. Включается оно с помощью редактора или путем изменения реестра.

1. Откройте редактор и перейдите к «Конфигурация компьютера», «Административные шаблоны», после чего выберите папку «Система».



2. В ней нужно выбрать параметр «Отображать диалог слежения за завершением работы».



3. Откроется простое окно настройки, где необходимо поставить точку напротив «Включить», при этом в разделе параметры во всплывающем меню необходимо указать «Всегда». После не забудьте применить изменения.

Данная функция включается и через реестр. Вам нужно совершить несколько простых действий:

1. Запустите реестр и перейдите по пути:

HKLMSoftwarePoliciesMicrosoftWindows NTReliability



2. Найдите в разделе две строки: «ShutdownReasonOn» и «ShutdownReasonUI».
3. Введите в строку с состоянием «1».

Читайте также: Как узнать, когда в последний раз включался компьютер

В этой статье мы разобрали основные принципы использования групповых политик Виндовс 7, объяснили значимость редактора и сравнили его с реестром. Ряд параметров предоставляет пользователям несколько тысяч различных настроек, позволяющие редактировать некоторые функции пользователей или системы. Работа с параметрами осуществляется по аналогии с приведенными выше примерами.

rОдним из основных инструментов тонкой настройки параметров пользователя и среды Windows являются групповые политики — GPO (Group Policy Object). На сам компьютер и его пользователей могут действовать доменные групповые политики (если компьютер состоит в домене Active Directory) и локальные (эти политики настраиваются локально на компьютере). Однако некорректная настройка некоторых параметров GPO может привести к различным проблемам: невозможность подключить принтер, запрет на подключение USB накопителей, ограничение сетевого доступа некорректными настройками брандмауэра Windows, запрета на установку или запуск любых приложений (через политики SPR или AppLocker) или на локальный или удаленный вход на компьютеры.

Если администратор не может локально войти в систему, или не знает точно какая из примененных им настроек GPO вызывает проблему, приходится прибегать к аварийному сценарию сброса настроек групповых политик на настройки по-умолчанию. В “чистом” состоянии ни один из параметров групповых политик не задан.

В этой статье мы покажем несколько методов сброса настроек параметров локальных и доменных групповых политик к значениям по умолчанию. Эта инструкция является универсальной и может быть использована для сброса настроек GPO на всех поддерживаемых версиях Windows: начиная с Windows 7 и заканчивая Windows 10, а также для всех версий Windows Server 2008/R2, 2012/R2 / 2016 и 2019.

Сброс параметров локальной групповой политики с помощью редактора gpedit.msc

Этот способ предполагает использование графической консоли редактора локальной групповой политики gpedit.msc для отключения всех настроенных политик. Графический редактор локальной GPO доступен только в Pro, Enterprise и Education редакциях Windows 10.

Запустите оснастку
gpedit.msc
и перейдите в раздел All Settings локальных политик компьютера (Local Computer Policy -> Computer Configuration — > Administrative templates / Политика “Локальный компьютер” -> Конфигурация компьютера -> Административные шаблоны). В этом разделе содержится список всех политик, доступных к настройке в административных шаблонах. Отсортируйте политики по столбцу State (Состояние) и найдите все активные политики (находятся в состоянии Disabled / Отключено или Enabled / Включено). Отключите действие все (или только определенные настройки GPO), переведя их в состояние Not configured (Не задана).

Чтобы создать резервную копию текущих настроек локальной GPO можно использовать утилиту LGPO.exe из Security Compliance Manager.

Аналогично измените настройки параметров в пользовательском разделе локальных политик (User Configuration/ Конфигурация пользователя). Так можно отключить действие всех настроек административных шаблонов GPO.

Совет. Список всех примененных настроек локальных и доменных политик в удобном html отчете можно получить с помощью встроенной утилиты GPResult командой:
gpresult /h c:distrgpreport2.html

Указанный выше способ сброса групповых политик в Windows подойдет для самых “простых” случаев. Некорректные настройки групповых политик могут привести к более серьезным проблемам. Например, невозможность запустить оснастку gpedit.msc или вообще любых программ, потери административных прав на компьютере, или запрета на локальный вход в систему. В таких случаях приходится сбрасывать сохраненные настройки GPO в локальных файлах на компьютере.

Файлы групповых политик Registry.pol

Архитектура групповых политик Windows основана на специальных файлах Registry.pol. Данные файлы хранят параметры реестра, которые соответствуют тем или иным настройкам GPO. Пользовательские и компьютерные настройки политик хранятся в разных файлах Registry.pol.

• Настройки конфигурации компьютера (раздел Computer Configuration) хранятся в %SystemRoot%System32GroupPolicyMachineregistry.pol
• Пользовательские политики (раздел User Configuration) — %SystemRoot%System32GroupPolicyUserregistry.pol

При загрузке компьютера Windows загружает содержимое файла MachineRegistry.pol в ветку системного реестра HKEY_LOCAL_MACHINE (HKLM). Содержимое файла UserRegistry.pol импортируется в ветку HKEY_CURRENT_USER (HKCU) при входе пользователя в систему.

Когда вы открываете консоль редактора GPO, она загружает содержимое registry.pol файлов и предоставляет их в удобном графическом виде. При закрытии редактора GPO внесенные изменения сохраняются в файлы Registry.pol. После обновления групповых политик (командой
gpupdate /force
или по-расписанию), новые настройки попадают в реестр и применяются к компьютеру.

Чтобы удалить все текущие настройки локальной групповой политики, нужно удалить файлы Registry.pol в каталоге GroupPolicy.

Сброс настроек локальной GPO из командной строки

Для принудительного сброса всех текущих настроек групповых политик в Windows вам нужно удалить файлы Registry.pol. Допустимо целиком удалить каталоги с файлами настройки политик. Сделать это можно следующими командами, запущенными в командной строке с правами администратора:
RMDIR /S /Q "%WinDir%System32GroupPolicyUsers"

RMDIR /S /Q "%WinDir%System32GroupPolicy"

В Windows 10 2004 команда
rd.exe
была удалена из образа, поэтому для удаления каталогов нужно использовать команду
rmdir.exe
.

После этого нужно сбросить старые настройки политик в реестре, применив GPO с чистыми настройками:

gpupdate /force

Данные команды сбросят все настройки локальной GPO в секциях Computer Configuration и User Configuration.

Откройте консоль редактора
gpedit.msc
и убедитесь, что все политики перешли в состояние “Не задано”/”Not configured”. После запуска консоли gpedit.msc удаленные папки GroupPolicyUsers и GroupPolicy будут пересозданы автоматически с пустыми файлами Registry.pol.

Сброс локальных политик безопасности Windows

Локальные политик безопасности (local security policies) настраиваются с помощью отдельной консоли управления
secpol.msc
. Если проблемы с компьютером вызваны “закручиванием гаек” в локальных политиках безопасности, и, если у вас остался доступ к системе и административные права, сначала стоит попробовать сбросить настройки локальных политик безопасности Windows к значениям по-умолчанию. Для этого в командной строке с правами администратора выполните:

• Для Windows 10, Windows 8.1/8 и Windows 7:
  secedit /configure /cfg %windir%infdefltbase.inf /db defltbase.sdb /verbose
• Для Windows XP:
  secedit /configure /cfg %windir%repairsecsetup.inf /db secsetup.sdb /verbose

Перезагрузите компьютер.

Если у вас сохранятся проблемы с политиками безопасности, попробуйте вручную переименовать файл контрольной точки базы локальных политик безопасности %windir%securitydatabaseedb.chk.

ren %windir%securitydatabaseedb.chk edb_old.chk


Выполните команду:

gpupdate /force

Перезагрузите Windows с помощью команды shutdown:
Shutdown –f –r –t 0

Как сбросить настройки локальных GPO, если невозможно войти в Windows?

Если локальный вход в Windows невозможен или не удается запустить командную строку (например, при блокировке ее и других программ с помощью Applocker), вы можете удалить файлы Registry.pol, загрузившись с установочного диска Windows (загрузочной USB флешки) или любого LiveCD.

1. Загрузитес компьютер с любого установочного диска/флешки с Windows и запустите командную строку (
   Shift+F10
   ).
2. Выполните команду:

   diskpart

3. Затем выведите список подключенных к компьютеру дисков:

   list volume

   В данном примере буква, присвоенная системному диску, соответствует букве в системе – C:. В некоторых случаях она может не соответствовать. Поэтому следующие команды необходимо выполнять в контексте вашего системного диска (например, D: или C:)

4. Завершите работу с diskpart,, набрав:

   exit

5. Последовательно выполните следующие команды:

   rd /S /Q C:WindowsSystem32GroupPolicy

   rd /S /Q C:WindowsSystem32GroupPolicyUsers

6. Перезагрузите компьютер в обычном режиме и проверьте, что все параметры локальной групповой политики сброшены в состояние по-умолчанию.

Сброс примененных настроек доменных GPO

Несколько слов о доменных групповых политиках. Если компьютер включен в домен Active Directory, некоторые его настройки задаются доменными GPO.

Файлы registry.pol всех применённых доменных групповых политик хранятся в каталоге %windir%System32GroupPolicyDataStoreSysVol contoso.comPolicies. Каждая политика хранится в отдельном каталоге с GUID доменной политики. При исключении компьютера из домена файлы registry.pol доменных политик на компьютере удаляются и соответственно, не загружаются в реестр. Но иногда несмотря на исключения компьютера из домена, настройки политик могут все ещё применяться к компьютеру.

Этим файлам registry.pol соответствуют следующие ветки реестра:

• HKLMSoftwarePoliciesMicrosoft
• HKCUSoftwarePoliciesMicrosoft
• HKCUSoftwareMicrosoftWindowsCurrentVersionGroup Policy Objects
• HKCUSoftwareMicrosoftWindowsCurrentVersionPolicies

История примененных версий доменных политик, которые сохранились на клиенте, находится в ветках:

• HKLMSOFTWAREMicrosoftWindowsCurrentVersionGroup PolicyHistory
• HKCUSoftwareMicrosoftWindowsCurrentVersionGroup PolicyHistory

Локальный кэш примененных доменных GPO хранится в каталоге C:ProgramDataMicrosoftGroup PolicyHistory. Удалите файлы в этом каталоге командой:

DEL /S /F /Q “%PROGRAMDATA%MicrosoftGroup PolicyHistory*.*”

Также для удаления доменных GPO, нужно очистить каталог %windir%System32GroupPolicyDataStoreSysVolcontoso.comPolicies и удалить указанные ветки реестра (настоятельно рекомендуется создать резервную копию удаляемых файлов и веток реестра !!!).

Затем выполните команду:

gpupdate /force /boot

Совет. Рассмотренные выше методики позволяют сбросить все настройки групповых политик во всех версиях Windows. Сбрасываются все настройки, внесенные с помощью редактора групповой политики, однако не сбрасываются все изменения, внесенные в реестре напрямую через regedit.exe, REG- файлы, через доменные GPP или любым другим способом.

В данной статье я хочу рассказать о множественных локальных групповых политиках (Multiple Local Group Policy objects, MLGPOs) и вариантах их применения.

Теория

Какие бывают Local GPO?

На всех современных компьютерах с операционной системой Windows имеется возможность настройки локальной групповой политики.

В Windows XP, Windows 2000 и Windows Server 2003 существует только одна локальная групповая политика, содержащая в себе настройки компьютера и всех локальных учетных записей. В различных утилитах эта политика может называться Local Group Policy, Local Computer Policy и т.п. В русской версии Windows она называется “Локальный компьютер”. Особенностью политики “Локальный компьютер” является ее применение абсолютно ко всем пользователям компьютера. Например, отключенная через эту политику Control Panel будет недоступна всем пользователям, включая локальных администраторов.

В Windows Vista, Windows 7 и Windows Server 2008 появилась возможность создания нескольких локальных групповых политик:

• “Локальный компьютер”
• “Администраторы”
• “Не администраторы”
• Персональные GPO для каждой учетной записи

Полноценным GPO является только “Локальный компьютер”, остальные GPO содержат лишь подмножество пользовательских настроек.

Порядок применения нескольких локальных GPO

Порядок применения нескольких локальных групповых политик (и, соответственно, приоритет настроек) такой, как они перечислены в списке:

• первой применяется политика “Локальный компьютер”;
• второй применяется политика “Администраторы” или “Не администраторы”;
• третьей применяется политика индивидуального пользователя.

Разрешение конфликтов множественных локальных GPO

Для начала напомню, что компьютерные настройки имеются только в GPO “Локальный компьютер”. При наличии конфликта между пользовательскими настройками и компьютерными, компьютерные всегда имеют более высокий приоритет.

При наличии конфликта пользовательских настроек между различными GPO действует правило “кто последний, тот и прав”, т.е. приоритетнее та политика, которая применяется позже.

Политики “Администраторы” и “Не администраторы” конфликтовать между собой не могут, поскольку к пользователю может применяться только одна из них; по той же причине не могут конфликтовать между собой индивидуальные пользовательские политики.

Практика

Настройка консоли редактирования локальных политик

Приведенные ниже скриншоты могут немного отличаться в различных версиях Windows.

Для конфигурирования локальной политики необходимо запустить Microsoft Management Console (Start –> Run –> mmc.exe).

В открывшемся окне консоли нужно добавить оснастку Group Policy Object Editor (Редактор объекта групповой политики в русскоязычном варианте).

После нажатия кнопки Добавить… открывается окно мастера выбора объекта GPO.

После нажатия кнопки Обзор… мастер выдает список доступных политик. Если настраиваемый компьютер включен в домен, то в мастере будут выведены вкладки доменных групповых политик.

Например, для Windows XP, включенной в домен, вкладки выглядят так…

…а для Windows 7, не включенной в домен, так:

Как видно из последнего рисунка, в Windows 7 существует возможность создания множественных локальных групповых политик.

Для администрирования множественных локальных групповых политик удобнее всего создать свою собственную консоль, в которую добавить все имеющиеся локальные GPO, например так:

Где хранятся локальные GPO?

Все файлы политики “Локальный компьютер” хранятся в папке C:WINDOWSsystem32GroupPolicy; файлы остальных локальных GPO хранятся в папке C:WINDOWSsystem32GroupPolicyUsers.

После загрузки компьютера, а также после входа пользователя все настройки из политик применяются к локальному компьютеру. Изменения реестра заносятся в отдельные ветви: HKEY_LOCAL_MACHINESOFTWAREPolicies и HKEY_CURRENT_USERSOFTWAREPolicies. Значения реестра в ветвях Policies имеют более высокий приоритет над настройками реестра по умолчанию.

Как удалить локальную политику?

Если вы хотите отказаться от одной из настроек политики, достаточно выставить ее в состояние “Не задано”. После применения политики данная настройка не будет вноситься в реестр в одну из ветвей Policies, и вернется та настройка, которая указана в реестре по умолчанию.

Если необходимо удалить GPO целиком, то можно открыть консоль, добавить оснастку Редактор объекта групповой политики и на вкладке Пользователи удалить политику (опция Удалить объект групповой политики доступна в контекстном меню, если GPO был создан ранее, и напротив него указано Да).

Если нужно удалить все локальные политики, достаточно почистить папки на диске, в которых политики хранятся.

Если требуется временно отключить локальную политику, то необходимо отключить пользовательскую или компьютерную конфигурацию политики через оснастку Редактор объекта групповой политики.

Практическое применение локальных групповых политик

Когда удобно применять локальные групповые политики? Варианты могут быть различные, некоторые идеи перечислены в списке:

• ограничение индивидуальных учетных записей на домашних компьютерах;
• настройка корпоративных компьютеров, не включенных в домен Active Directory;
• начальная конфигурация корпоративных компьютеров, “зашитая” в установочном образе;
• применение групповых политик для локальных учетных записей серверов и других компьютеров – членов домена (на локальные учетные записи пользователей доменная групповая политика не действует);
• индивидуальная настройка компьютеров-членов домена, когда доменные групповые политики по каким-либо причинам не настроены (за исключением самих контроллеров домена, поскольку на них множественные локальные групповые политики недоступны).

Подробнее о настройках множественных локальных групповых политик: http://technet.microsoft.com/en-us/library/cc766291.aspx

Групповая политика — это набор правил, применение которых может облегчить управление пользователями и компьютерами.

Параметры групповой политики применяются для управления конфигурацией операционной системы, а также для отключения опций и элементов управления пользовательского интерфейса для параметров, управляемых групповой политикой. Большинство параметров групповой политики хранятся в разделах реестра, связанных с групповыми политиками.

Существуют два типа групповых политик: локальные групповые политики и групповые политики службы каталогов Active Directory. Локальная групповая политика используется для управления параметрами локальной машины, а групповая политика службы каталогов Active Directory — для управления параметрами компьютеров сайтов, доменов и организационных единиц.

Локальные групповые политики применяются ко всем пользователям и администраторам, входящим в систему на компьютере. Управление локальной групповой политикой осуществляется посредством объекта групповой политики (ОГП — GPO, Group Policy Object). Объект локальной групповой политики хранится на каждом компьютере в скрытой папке %SystemRoot%\System32\GroupPolicy.

Дополнительные пользовательские и групповые объекты локальной групповой политики хранятся в папке %SystemRoot%\System32\GroupPolicyUsers.

Локальные политики (локальный GPO) можно редактировать с помощью оснастки gpedit.msc — редактора локальной групповой политики. Чтобы запустить редактор политики нажмите сочетание клавиш + R, в открывшемся окне Выполнить введите команду gpedit.msc и нажмите клавишу Enter ↵.

В открывшемся окне Редактор локальной групповой политики Вы можете редактировать конфигурацию компьютера и конфигурацию пользователя. В первом разделе (конфигурация компьютера) находятся общесистемные настройки, а во втором — пользовательские настройки.

Рассмотрим небольшой пример использования редактора политик. Допустим мы хотим отключить Диспетчер задач для пользователя. Когда пользователь нажимает Ctrl + Alt + Del, выводится меню, позволяющее запустить окно Диспетчера задач.

Зачем нужно запрещать Диспетчер задач? Пользователь может закрыть процесс, что приведет к потере данных (особенно когда человек не понимает, что делает). А потом будет надоедать с просьбой восстановить эти данные, что, далеко не всегда возможно. Поэтому проще запретить возможность завершать процессы, чем разбираться с потерями данных и их восстановлением.

Для отключения Диспетчера задач запустите редактор политик и выберите Конфигурация пользователя ► Административные шаблоны ► Система ► Варианты действий после нажатия CTRL+ALT+DEL. На правой панели вы увидите варианты действий после нажатия Ctrl + Alt + Del. Дважды щелкните на политике Удалить диспетчер задач.

По умолчанию политика не задана. Для отключения Диспетчера задач выберите значение Включить и нажмите кнопку OK.

После этого запуск Диспетчера задач будет невозможен.

Вы также не сможете запустить Диспетчер задач нажимая сочетание клавиш Ctrl + Shift + Esc, а также путем ввода команды taskmgr в окне Выполнить, в этом случае вы получите сообщение о том что Диспетчер задач отключен администратором.

При желании отключить Диспетчер задач можно и через реестр. По сути, политики — это надстройки реестра. Чем различается настройка системы через политики и через реестр? Да ничем, по большому счету. Политики созданы для более удобного редактирования реестра. Так, при отключении Диспетчера задач через редактор политик будет создан раздел реестра HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System, а в него добавлен параметр DisableTaskMgr типа DWORD со значением 1.

Для включения Диспетчера задач нужно в разделе реестра
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System для параметра DisableTaskMgr установить значение 0 или использовать редактор политик для установки значения Отключить.

Чтобы отключить Диспетчер задач не для конкретного пользователя, а в масштабах всей системы, нужно создать DWORD-параметр DisableTaskMgr со значением 1 в разделе реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System.