- Remove From My Forums
Можно ли заблокировать групповую политику на клиентском компьютере?
-
Вопрос
-
Здравствуйте. Есть домен с групповыми политиками. Можно ли, имея права локального администратора на компьютере, заблокировать на этом компьютере применение одного правила из групповых политик?
Ответы
-
Добрый день.
Коллеги, прошу не сорится.
Думаю Автору сей темы проще обратится в ИТ службу своей компании и если они сочтут нужным то выполнят пожелания автора, способов много, например фильтр WMI применить к политике или к пользователю или его пк
применить исключения.Но если это проявление противостояния пользователя политикам сб и ит или намерения что либо не хорошего то это повод для создания инцидента в сб и ит предприятия, и последующее увольнение пользователя.
От себя могу сказать что есть не мало продуктов и в том числе у MSFT которые отслеживают не одобренные или не санкционированные изменения и логируют кто и когда их сделал или пытался сделать ну и соответственно в зависимости
от настроек правил откатывают их.
Я не волшебник, я только учусь MCTS Мнения, высказанные здесь, являются отражение моих личных взглядов, а не позиции работодателя. Вся информация предоставляется как есть без каких-либо гарантий Мой Блог http://www.ru-tech.net/
-
Изменено
20 мая 2016 г. 13:57
Дополнил -
Предложено в качестве ответа
Vlad_TMVP
20 мая 2016 г. 13:57 -
Помечено в качестве ответа
Dmitriy VereshchakMicrosoft contingent staff, Moderator
23 мая 2016 г. 9:08
-
Изменено
Найдите gpedit. msc и щелкните верхний результат, чтобы запустить редактор локальной групповой политики. Дважды щелкните политику «Настроить автоматическое обновление» справа. Установите флажок «Отключено», чтобы отключить политику и навсегда отключить автоматические обновления.
Вариант 1 — отключить обновление групповой политики
- Удерживая нажатой клавишу Windows, нажмите «R», чтобы открыть командное окно «Выполнить».
- Введите «gpedit. …
- В «Политике локального компьютера» перейдите в «Конфигурация компьютера»> «Административные шаблоны»> «Система»> «Групповая политика».
- Откройте параметр «Отключить фоновое обновление групповой политики».
Как удалить Gpedit MSC из Windows 10?
- Запустите gpedit. msc из панели поиска.
- В редакторе групповой политики перейдите к. Конфигурация компьютера / Административные шаблоны / Система / Групповая политика.
- Щелкните правой кнопкой мыши на поле «Отключить фоновое обновление групповой политики».
- Щелкните Включено.
Как остановить групповую политику?
Убедитесь, что вновь добавленная учетная запись выбрана в окне Группы или имена пользователей. Затем прокрутите вниз в окне «Разрешения» и установите флажок «Запретить» для разрешения «Применить групповую политику». Щелкните ОК. Нажмите Да в ответ на запрос безопасности Windows.
Как отключить ограниченный режим в Windows 10?
Щелкните изображение своего профиля. Щелкните Безопасный режим. В появившемся диалоговом окне включите или выключите Безопасный режим.
Как разблокировать Gpedit MSC?
Чтобы открыть файл gpedit. msc из окна «Выполнить», нажмите клавиши Windows + R, чтобы открыть окно «Выполнить». Затем введите «gpedit. msc »и нажмите Enter, чтобы открыть редактор локальной групповой политики.
Как отключить обновления групповой политики?
Как отключить автоматические обновления с помощью групповой политики
- Откройте «Старт».
- Найдите gpedit. …
- Перейдите по следующему пути:…
- Дважды щелкните политику «Настроить автоматическое обновление» справа. …
- Установите флажок «Отключено», чтобы отключить политику и навсегда отключить автоматические обновления. …
- Нажмите кнопку Применить.
17 ночей. 2020 г.
Как очистить все групповые политики до значений по умолчанию на моем компьютере?
По умолчанию для всех политик в редакторе групповой политики установлено значение «Не настроено». Чтобы сбросить политику, все, что вам нужно сделать, это выбрать переключатель «Не настроено», а затем нажать кнопку «ОК», чтобы сохранить изменения.
Как сбросить групповую политику по умолчанию в Windows 10?
Сбросить настройки конфигурации компьютера
- Откройте «Старт».
- Найдите gpedit. …
- Перейдите по следующему пути:…
- Щелкните заголовок столбца «Состояние», чтобы отсортировать параметры и просмотреть значения «Включено» и «Отключено». …
- Дважды щелкните одну из ранее измененных политик.
- Выберите вариант Не настроено. …
- Нажмите кнопку Применить.
5 ночей. 2020 г.
Как очистить кеш GPO в Windows 10?
Очистить кеш групповой политики
- Откройте Мой компьютер / Компьютер.
- Перейдите по адресу:% windir% system32GroupPolicy.
- Удалите все в папке.
- Затем удалите: C: ProgramDataMicrosoftGroup PolicyHistory.
- Перезагрузите компьютер, чтобы повторно применить групповые политики.
Отменяет ли групповая политика локальную политику?
О: Значение, определенное для любой политики (например, минимальная длина пароля, равная восьми) в объектах групповой политики (GPO), переопределяет любое значение, определенное для той же политики в локальном объекте политики компьютера.
Как мне снять ограничения для моего ноутбука?
Контроль учетных записей
- Щелкните «Пуск | Панель управления | Система и безопасность | Центр событий.»
- На левой панели выберите «Изменить настройки контроля учетных записей пользователей». …
- Перетащите ползунок на «Никогда не уведомлять». Нажмите «ОК», а затем перезапустите, чтобы отключить UAC на ПК.
Как отключить режим ограничений?
Примечание. Это позволяет управлять только безопасным режимом на вашем Android TV.
- Войдите в свой аккаунт.
- На главном экране прокрутите вниз до строки «Приложения».
- Выберите YouTube.
- Прокрутите вниз и выберите Настройки.
- Выберите Безопасный режим или Безопасный режим.
- Выберите «Включено» или «Отключено».
Как отключить ограничения браузера?
Как отключить блокировку веб-сайта
- Откройте браузер и выберите пункт меню «Инструменты».
- Выберите «Свойства обозревателя» и щелкните вкладку «Безопасность».
- Щелкните значок «Сайты с ограниченным доступом», а затем кнопку «Сайты».
- Выберите веб-сайт, который хотите разблокировать, в списке «Веб-сайты» и нажмите «Удалить». Нажмите «Закрыть», а затем «ОК» в окне «Свойства обозревателя».
Содержание
- 1 Сброс с помощью редактора локальной групповой политики
- 2 Как сбросить локальные политики безопасности в Windows 10, 8 и Windows 7
- 3 Удаление локальных групповых политик
- 4 Отменяем действие групповых политик на локальном компьютере
Многие твики и настройки Windows (в том числе описываемые на этом сайте) затрагивают изменение параметров локальной групповой политики или политик безопасности с помощью соответствующего редактора (присутствует в профессиональных и корпоративных версиях ОС и в Windows 7 Максимальная), редактора реестра или, иногда, сторонних программ.
В некоторых случаях может потребоваться сбросить параметры локальной групповой политики на настройки по умолчанию — как правило, необходимость возникает, когда какую-то системную функцию не удается включить или отключить другим способом или невозможно изменение каких-либо параметров (в Windows 10 при этом вы можете видеть сообщение о том, что некоторыми параметрами управляет администратор или организация).
В этой инструкции подробно о способах сбросить локальные групповые политики и политики безопасности в Windows 10, 8 и Windows 7 различными способами.
Сброс с помощью редактора локальной групповой политики
Первый способ сброса — использовать встроенный в Windows версий Pro, Enterprise или Ultimate (в Домашней отсутствует) редактор локальной групповой политики.
Шаги будут выглядеть следующим образом
- Запустите редактор локальной групповой политики, нажав клавиши Win+R на клавиатуре, введя gpedit.msc и нажав Enter.
- Раскройте раздел «Конфигурация компьютера» — «Административные шаблоны» и выберите пункт «Все параметры». Выполните сортировку по столбцу «Состояние».
- Для всех параметров, у которых значение состояния отличается от «Не задана» дважды кликните по параметру и установите значение «Не задано».
- Проверьте, нет ли в аналогичном подразделе, но в «Конфигурация пользователя» политик с заданными значениями (включено или отключено). Если есть — поменяйте на «Не задана».
Готово — параметры всех локальных политик были изменены на те, которые установлены по умолчанию в Windows (а они именно не заданы).
Как сбросить локальные политики безопасности в Windows 10, 8 и Windows 7
Для локальных политик безопасности есть отдельный редактор — secpol.msc, однако, способ для сброса локальных групповых политик здесь не подойдет, потому как некоторых из политик безопасности имеют заданные значения по умолчанию.
Для сброса вы можете использовать командную строку, запущенную от имени администратора, в которую следует ввести команду
secedit /configure /cfg %windir%infdefltbase.inf /db defltbase.sdb /verbose
и нажать Enter.
Удаление локальных групповых политик
Важно: этот способ потенциально нежелателен, выполняйте его только на свой страх и риск. Также этот способ не сработает для политик, измененных путем внесения правок в редакторе реестра минуя редакторы политик.
Политики загружаются в реестр Windows из файлов в папках WindowsSystem32GroupPolicy и WindowsSystem32GroupPolicyUsers. Если удалить эти папки (может потребоваться загрузиться в безопасном режиме) и перезагрузить компьютер, политики будут сброшены на настройки по умолчанию.
Удаление можно произвести и в командной строке, запущенной от имени администратора, по порядку выполнив команды (последняя команда выполняет перезагрузку политик):
RD /S /Q "%WinDir%System32GroupPolicy" RD /S /Q "%WinDir%System32GroupPolicyUsers" gpupdate /force
Если ни один из способов вам не помог, можно сбросить Windows 10 (доступно и в Windows 8/8.1) на настройки по умолчанию, в том числе и с сохранением данных.
Редактор локальной групповой политики — мощный инструмент, позволяющий тонко настраивать параметры Windows. Применяется он в основном системными администраторами, а при понимании дела с таким же успехом его могут использовать и рядовые юзеры. Впрочем, от ошибок не застрахованы ни первые, ни вторые. Иногда случается, что вследствие неудачной настройки параметров через редактор локальных групповых политик система начинает работать некорректно.
Самое лучшее, что можно предпринять в такой ситуации, это вернуть изменённые настройки в исходное состояние. Если же изменённых настроек много, и вы при этом не помните, что именно меняли, можно прибегнуть к полному сбросу всех настроек редактора групповых политик к значениям по умолчанию. Вот как это можно сделать на примере с Windows 10.
Сбросить конфигурацию редактора политик можно через сам редактор политик. Откройте его командой gpedit.msc и перейдите по пути Конфигурация компьютера -> Административные шаблоны -> Все Параметры. Нажатием импровизированной стрелки в столбце «Состояние» отсортируйте политики таким образом, чтобы имеющие статус «Включено» и «Отключено» оказались вверху списка, так вам будет удобнее с ними работать.
Затем дважды кликните по каждой из этих политик мышкой и в окне настроек установите радиокнопку в положение «Не задано».
Те же самые действия повторите для политики в разделе «Конфигурация пользователя».
Сброс параметров редактора групповых политик также можно выполнить с помощью командной строки. Откройте консоль от имени администратора и последовательно выполните эти три команды, а затем перезагрузите компьютер:
RD /S /Q «%WinDir%System32GroupPolicy»RD /S /Q «%WinDir%System32GroupPolicyUsers»gpuрdаte /force
И, наконец, последний шаг — сброс к значениям по умолчанию локальных политик безопасности. Эта оснастка является своего рода расширением компонента локальных групповых политик. Открывается она командой secpol.msc. Для её сброса также можно использовать командную строку, запущенную с правами администратора. Сама команда сброса выглядит следующим образом:
secedit /configure /cfg %windir%infdefltbase.inf /db defltbase.sdb /verbose
Как и в случае с оснасткой gpedit.msc, для восстановления исходных настроек потребуется перезагрузка компьютера.
Previous Entry | Next Entry
Отменяем действие групповых политик на локальном компьютере
Отменяем действие групповых политик на локальном компьютереhttps://windowsnotes.ru/windows-7/otmenyaem-dejstvie-gruppovyx-politik-na-lokalnom-kompyutere/Групповые политики — это основной инструмент управления пользователями в домене. С их помощью администратор может настраивать практически любые параметры рабочей среды пользователя. Все, начиная от запрета на запуск определенных программ и заканчивая рисунком на рабочем столе можно задать через групповые политики. Управление политиками осуществляется на уровне домена и только члены группы администраторов домена или предприятия имеют к ним доступ.А можно ли отменить действие групповых политик на компьютере, не будучи при этом администратором домена? Сегодня мы попробуем это выяснить. В качестве подопытного возьмем компьютер с установленной на нем Windows 7, являющийся членом домена. Все действия будем проводить под обычной учетной записью, не имеющей в домене никаких административных полномочий.За применение групповых политик на локальном компьютере в Windows 7 отвечает служба Group Policy Client (gpsvc). Ее состояние можно посмотреть прямо в Диспетчере задач, на вкладке Службы.Или в оснастке Службы (Services).gpsvc в оснастке ServicesПервое что приходит в голову — просто остановить службу и установить режим запуска в Disabled. Но не все так просто, как кажется. Служба gpsvc запускается от имени локальной системы, и не остановить, не изменить параметры запуска ее из графической оснастки мы не сможем.свойства gpsvcКак вариант можно с помощью утилиты psexec запустить командную консоль от имени системы и затем остановить службу командой net stop gpsvcостанавливаем gpsvc из командной строкиНо решение это временное. Хотя служба и остановлена, изменить параметры ее запуска мы все равно не сможем, и при следующей перезагрузке она будет запущена. Чтобы изменить режим запуска службы нам потребуется правка реестра.Настройки службы находятся в разделе . По умолчанию изменение параметров этого раздела запрещено, так что прежде чем приступать к его редактированию, нам необходимо получить на это права. Кликаем правой клавишей мыши на разделе и выбираем пункт «Разрешения».меняем разрешения gpsvc в реестреПервым делом нам надо изменить владельца раздела. Для этого идем в дополнительные параметры безопасности и выбираем владельцем свою учетную запись.изменение владельца раздела реестра gpsvcПосле чего даем себе полные права и, на всякий случай, удаляем всех из списка доступа.редактируем список доступа раздела реестраТеперь можно вернуться к настройкам службы. За режим запуска отвечает параметр Start. По умолчанию он равен 2, что означает режим запуска Авто. Для отключения службы ставим 4.настраиваем режим запуска службы gpsvcИ еще. Отключив таким образом службу клиента групповой политики, вы периодически будете получать в трее уведомления о недоступности службы Windows.сообщение о недоступности службыЧтобы этого избежать, можно удалить (предварительно сохранив) раздел реестра отключаем уведомления о недоступности службы gpsvcТаким вот нехитрым способом можно отключить действие групповых политик. При этом совсем не обязательно обладать административными правами в домене, достаточно лишь входить в группу локальных администраторов на компьютере. Правда такой номер может пройти только на компьютерах с Windows 7 или Vista. В более ранних ОС службы gpsvc нет, а за применение групповых политик отвечает служба Winlogon.Да, чуть не забыл. Все действия, описанные в статье, я проводил исключительно в познавательных целях 🙂 Делать подобное в сети предприятия крайне не рекомендуется, кое где за это могут и уволить. И перед любым вмешательством в реестр обязательно делайте его резервную копию, чтобы в случае чего оперативно откатить изменения.Дополнительная информация:https://social.technet.microsoft.com/Forums/ru-RU/86e85860-d16c-404e-b267-bd10deebfbdb/windows-windows-7-x86-rus-ent-sp1?forum=windows7ruWindows не удается подключиться к службе «Клиент групповой политики». Windows 7 x86 rus ent SP1Решение:…отсутствие некоторых ключей реестра.
- Грузимся под администратором, WIN+R, regedit.exe
- создаем REG_MULTI_SZ с названием GPSvcGroup и параметром GPSvc
- DWORD(32 бита) название AuthenticationCapabilities значение 0x00003020 (12320)
- DWORD(32 бита) название CoInitializeSecurityParam значение 0x00000001 (1)
- Перезагружаемся.
PS на всякий случай вот содержимое reg файла:Windows Registry Editor Version 5.00
Profile
- bga68
Latest Month
December 2019 | ||||||
S | M | T | W | T | F | S |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | 5 | 6 | 7 |
8 | 9 | 10 | 11 | 12 | 13 | 14 |
15 | 16 | 17 | 18 | 19 | 20 | 21 |
22 | 23 | 24 | 25 | 26 | 27 | 28 |
29 | 30 | 31 |
View All Archives
Tags
View my Tags page
Categories
View my Categories page Powered by LiveJournal.comDesigned by Emile OngИспользуемые источники:
- https://remontka.pro/reset-policies-windows/
- https://www.white-windows.ru/kak-v-windows-10-sbrosit-nastrojki-lokalnoj-gruppovoj-politiki/
- https://bga68.livejournal.com/459298.html
Содержание
- Способ 1: Применение BAT-файла
- Способ 2: Редактирование реестра
- Способ 3: «Редактор локальной групповой политики»
- Способ 4: Сброс параметров локальных групповых политик
- Дополнительные решения
- Вопросы и ответы
Когда при попытке установить программу/устройство возникает ошибка, говорящая о том, что процедура заблокирована групповой политикой безопасности, это означает, что пользователь сам когда-то активировал функцию ограничения программного обеспечения, а потом просто забыл ее отключить. Также причина ее возникновения может быть в стороннем приложении, предназначенном для обеспечения безопасности и блокирующим то или иное действие.
Способ 1: Применение BAT-файла
Когда инсталляция программ заблокирована групповой политикой, можно создать BAT-файл и выполнить его — это позволит автоматизировать процесс отключения функции.
- Запустите встроенный «Блокнот», отыскав его через строку системного поиска.
- В окне редактора вставьте следующий код
REG ADD HKLMSOFTWAREPoliciesMicrosoftWindowsSaferCodeIdentifiers /v DefaultLevel /t REG_DWORD /d 0x00040000 /f
. - Кликните по вкладке «Файл», затем выберите пункт «Сохранить как».
- В новом окне из выпадающего меню «Тип файла» нужно выбрать вариант «Все файлы», затем укажите любой путь для расположения и задайте имя новому файлу, в конце добавив
.bat
. Сохраните его.
После этого останется отыскать созданный BAT-файл и запустить его двойным кликом левой кнопкой мыши. Откроется «Командная строка», где выполнится соответствующая команда, затем окно консоли будет закрыто. Попробуйте запустить установку проблемной программы, чтобы проверить, ушла ли проблема.
Способ 2: Редактирование реестра
Если установка программы все еще заблокирована, попробуйте изменить значение параметра групповой политики через «Редактор реестра». Только прежде создайте точку восстановления системы, что поможет вернуть ее к рабочему состоянию, если что-то пойдет не так.
Читайте также: Инструкция по созданию точки восстановления Windows 10
- Нажмите на клавиши «Win + R», впишите в строку «Открыть» команду
regedit
, затем нажмите на кнопку «ОК». - В открывшемся окне перейдите к разделу с ограничениями групповой политики. Для этого разверните ветку
HKEY_LOCAL_MACHINE/SOFTWARE/Policies/Microsoft/Windows/DeviceInstall
и нажмите на подраздел «Restrictions». Все ключи, которые располагаются в подразделе, отображаются в центральной части окна. Если они есть, то попытайтесь удалить их. Это может не получиться — тогда измените значение каждого параметра на «0», дважды кликнув по названию ключа.
Вы можете не найти в «Редакторе реестра» таких параметров или папок — тогда никаких изменений вносить не надо, так как ограничения не установлены.
Способ 3: «Редактор локальной групповой политики»
Попробуйте сбросить параметры объекта через встроенное средство «Редактор локальной групповой политики». Следует отметить, что способ доступен только для владельцев редакций Pro и Enterprise операционной системы Windows 10, поскольку только в них предустановлен инструмент.
- Чтобы открыть редактор, в диалоговом окне «Выполнить» используйте команду
gpedit.msc
. - Слева разверните «Политика «Локальный компьютер»» и перейдите по следующему пути: «Конфигурация компьютера» — «Административные шаблоны» — «Все параметры». В центральной части окна упорядочьте параметры по имени, щелкнув по столбцу выше, затем отыщите строку «Включить или отключить устаревшие функции TXF» и дважды кликните по нему ЛКМ.
- В новом окне выберите пункт «Не задано» и сохраните настройки.
Эти действия позволяют сбросить параметры групповой политики к тем, которые были по умолчанию.
Если же вы столкнулись с проблемой установки устройств, то в «Редакторе локальной групповой политики» может потребоваться проделать следующее:
- На панели слева перейдите по пути «Конфигурация компьютера» — «Административные шаблоны» — «Система» — «Установка устройств» — «Ограничения на установку устройств». В центральной части окна дважды кликните по строке «Запретить установку устройств, не описанных другими параметрами политики».
- Откроется окно, где нужно выбрать опцию «Не задано», затем сохранить настройки.
Также можете отключить функцию «Контроль учетных записей: обнаружение установки приложений и запрос на повышение прав», которая располагается в «Конфигурация компьютера» — «Конфигурация Windows» — «Параметры Безопасности» — «Локальные политики» — «Параметры безопасности».
Во всех случаях после настройки параметров нужно перезагрузить систему. Также попробуйте использовать эти варианты вместе, чтобы почти наверняка устранить проблему с установкой ПО.
Способ 4: Сброс параметров локальных групповых политик
В ситуации, когда ни один способ не помогает, остается воспользоваться наиболее эффективным, но при этом радикальным методом – сбросить параметры безопасности групповой политики. Причем значения по умолчанию примут все настройки.
Применяйте метод с осторожностью, особенно если ранее производились какие-либо важные настройки или менялись параметры безопасности. Вариант подойдет больше для опытных пользователей.
- Запустите консоль «Командная строка» от имени администратора. Для этого используйте системный поиск на нижней панели, кнопку «Пуск» или клавиши «Win + S».
- В окне поочередно выполните несколько команд, нажимая после каждой клавишу «Enter»:
RD /S /Q "%WinDir%System32GroupPolicy"
RD /S /Q "%WinDir%System32GroupPolicyUsers"
gpupdate /force
Две первые команды полностью очищают папки на системном диске, где находятся групповые политики (Windows создаст их потом заново), а третья команда перезагружает оснастку. После выполнения перезагрузите систему.
Дополнительные решения
Иногда помогает создание новой учетной записи и вход в систему через нее. В этом случае настройки групповой политики не будут применяться к новому аккаунту. О том, как завести новый аккаунт, мы писали более детально в отдельной нашей статье.
Подробнее: Создание новой учётной записи в Windows 10
Вероятно, причиной блокировки оснасткой установки могли стать и различные системные сбои или результаты вирусных атак. Также не исключено, что вы случайно самостоятельно что-то поменяли в настройках, отчего произошла рассматриваемая проблема. Если вы заметили неполадку недавно, то есть время вернуться к контрольной точке восстановления, когда еще Windows 10 корректно функционировала. Для этого используйте нашу инструкцию по ссылке ниже.
Подробнее: Откат к точке восстановления в Windows 10
В крайнем случае можно сбросить настройки Windows 10 до заводских, вернув состояние операционной системы и ее параметры к тем, что были изначально.
Читайте также: Возвращаем Windows 10 к заводскому состоянию
Еще статьи по данной теме:
Помогла ли Вам статья?
Skip to content
Прочитано:
5 783
Задача: Как исключить применение GPO
Сегодня я расскажу каким способом я выхожу из ситуации когда нужно чтобы групповая политика (GPO) применялась на весь домен и всех пользователей (Authenticated Users), но в процессе работы возникает исключение, что вот для определенных аккаунтов домена все же лучше деактивировать ее.
На самом деле все просто, может и на первый взгляд задача выглядит сложно.
Рассмотрим на примере групповой политики GPO_Lock которую я опубликовал в заметке от 11.06.2017
Допустим нужно чтобы пользователю/группе пользователей (К примеру alektest) данная политика не применялась.
Делается это следующим образом. Авторизуемся (Login: ekzorchik) на домен контроллере (srv-dc.polygon.local) с правами Domain Admins. Далее открываю оснастку управления групповыми политиками:
Win + X → Control Panel — Administrative Tools — Group Policy Management, находим в текущем домене (в моем случае это polygon.local) → переходим на вкладку Delegation, потом в Advanced (Расширенные)… и добавляем либо пользователя, либо группу. Я добавляю пользователя alektest: Add… → alektest, нажимаю Check Names этим самым осуществляю проверки действительного наличия вводимого в домене. Когда проверка осуществлена успешно вводимое будет подчеркнуто:
После нажимаю кнопку OK. Затем выделив добавленную запись во вкладке Security окна GPO_Lock Security Settings нужно опустить свой взор на подменю: Permissions for alektest и этим увидим какие права доступа присутствую у текущего пользователя/группы. По умолчанию выставлены права Read — это значит учетная запись при авторизации на компьютере считывает данную групповую политику и все что в ней предопределено применяем на рабочей станции. Так вот чтобы данная политика не применялась нужно в данном подменю просто поставить галочку у параметра: Apply group policy — DENY
См. Скриншот ниже для наглядного пониманию что и где нужно отметить галочкой.
Теперь после нажатия Apply — Yes — Ok дополнения к GPO_Lock вступят в силу. Т.е. при совершении Logoff/Logon для пользователя alektest больше не будет применяться групповая политика GPO_Lock и ее также не будет видно в примененном вывода консольной утилиты gpresult /r.
Вот такими простыми действиями и решается данная задача. Как решать задачи? — ставить самим себе и разбивать их на маленькие шажки, как делаю это я.
На этом я прощаюсь и до новых встреч на моем блоге реальных заметок. С уважением Олло Александр aka ekzorchik.
Многие твики и настройки Windows (в том числе описываемые на этом сайте) затрагивают изменение параметров локальной групповой политики или политик безопасности с помощью соответствующего редактора (присутствует в профессиональных и корпоративных версиях ОС), редактора реестра или, иногда, сторонних программ.
В некоторых случаях может потребоваться сбросить параметры локальной групповой политики на настройки по умолчанию — как правило, необходимость возникает, когда какую-то системную функцию не удается включить или отключить другим способом или невозможно изменение каких-либо параметров (в Windows 10 при этом вы можете видеть сообщение о том, что некоторыми параметрами управляет администратор или организация). В этой инструкции подробно о способах сбросить локальные групповые политики и политики безопасности в Windows 11 и Windows 10, 8.1 и Windows 7 различными способами.
Сброс вручную с помощью редактора локальной групповой политики
Первый способ сброса — использовать встроенный в Windows 11, Windows 10 и предыдущих версий в редакцииях Pro, Enterprise или Ultimate (в Домашней отсутствует) редактор локальной групповой политики. При использовании этого метода получится сбросить только политики, настроенные в разделе «Административные шаблоны», но так как у большинства пользователей параметры в других расположениях не меняются, этого может быть достаточно.
Шаги будут выглядеть следующим образом
- Запустите редактор локальной групповой политики. Для этого нажмите клавиши Win+R на клавиатуре (Win — клавиша с эмблемой Windows), введите gpedit.msc и нажмите Enter.
- Раскройте раздел «Конфигурация компьютера» — «Административные шаблоны» и выберите пункт «Все параметры». Выполните сортировку по столбцу «Состояние». Обратите внимание: сортировка выполняется по алфавиту, то есть отключенные политики, если отсортировать состояние как на изображении ниже, окажутся внизу списка.
- Для всех параметров, у которых значение состояния отличается от «Не задана» (то есть в состоянии указано Включена или Отключена) дважды кликните по параметру и установите значение «Не задано».
- Проверьте, нет ли в аналогичном подразделе, но в «Конфигурация пользователя» политик с заданными значениями (включено или отключено). Если есть — поменяйте на «Не задана».
Готово — параметры всех локальных политик были изменены на те, которые установлены по умолчанию в Windows (а они именно не заданы).
Как сбросить локальные политики безопасности в Windows 10, 8 и Windows 7
Для локальных политик безопасности есть отдельный редактор — secpol.msc, однако, способ для сброса локальных групповых политик здесь не подойдет, потому как некоторых из политик безопасности по умолчанию уже имеют заданные значения.
Для сброса вы можете использовать командную строку, запущенную от имени администратора (Как запустить командную строку от имени администратора в Windows 11, Запуск командной строки от администратора в Windows 10 и предыдущих версиях ОС), в которую следует ввести команду
secedit /configure /cfg %windir%infdefltbase.inf /db defltbase.sdb /verbose
и нажать Enter.
Удаление локальных групповых политик для восстановления значений по умолчанию
Важно: этот способ потенциально нежелателен, выполняйте его только на свой страх и риск. Также этот способ не сработает для политик, измененных путем внесения правок в редакторе реестра минуя редакторы политик.
Политики загружаются в реестр Windows из файлов в папках WindowsSystem32GroupPolicy и WindowsSystem32GroupPolicyUsers. Если удалить эти папки (может потребоваться загрузиться в безопасном режиме) и перезагрузить компьютер, политики будут сброшены на настройки по умолчанию.
Удаление можно произвести и в командной строке, запущенной от имени администратора, по порядку выполнив команды (последняя команда выполняет перезагрузку политик):
RD /S /Q "%WinDir%System32GroupPolicy" RD /S /Q "%WinDir%System32GroupPolicyUsers" gpupdate /force
Видео инструкция
Если ни один из способов вам не помог, можно Сбросить Windows 11 к заводским настройкам или Сбросить Windows 10 (доступно и в Windows 8/8.1) на настройки по умолчанию, в том числе и с сохранением данных.
Групповые политики — это основной инструмент управления пользователями в домене. С их помощью администратор может настраивать практически любые параметры рабочей среды пользователя. Все, начиная от запрета на запуск определенных программ и заканчивая рисунком на рабочем столе можно задать через групповые политики. Управление политиками осуществляется на уровне домена и только члены группы администраторов домена или предприятия имеют к ним доступ.
А можно ли отменить действие групповых политик на компьютере, не будучи при этом администратором домена? Сегодня мы попробуем это выяснить. В качестве подопытного возьмем компьютер с установленной на нем Windows 7, являющийся членом домена. Все действия будем проводить под обычной учетной записью, не имеющей в домене никаких административных полномочий.
За применение групповых политик на локальном компьютере в Windows 7 отвечает служба Group Policy Client (gpsvc). Ее состояние можно посмотреть прямо в Диспетчере задач, на вкладке Службы.
Или в оснастке Службы (Services).
Первое что приходит в голову — просто остановить службу и установить режим запуска в Disabled. Но не все так просто, как кажется. Служба gpsvc запускается от имени локальной системы, и не остановить, не изменить параметры запуска ее из графической оснастки мы не сможем.
Как вариант можно с помощью утилиты psexec запустить командную консоль от имени системы и затем остановить службу командой net stop gpsvc
Но решение это временное. Хотя служба и остановлена, изменить параметры ее запуска мы все равно не сможем, и при следующей перезагрузке она будет запущена. Чтобы изменить режим запуска службы нам потребуется правка реестра.
Настройки службы находятся в разделе HKLMSYSTEMCurrentControlSetServicesgpsvc. По умолчанию изменение параметров этого раздела запрещено, так что прежде чем приступать к его редактированию, нам необходимо получить на это права. Кликаем правой клавишей мыши на разделе и выбираем пункт «Разрешения».
Первым делом нам надо изменить владельца раздела. Для этого идем в дополнительные параметры безопасности и выбираем владельцем свою учетную запись.
После чего даем себе полные права и, на всякий случай, удаляем всех из списка доступа.
Теперь можно вернуться к настройкам службы. За режим запуска отвечает параметр Start. По умолчанию он равен 2, что означает режим запуска Авто. Для отключения службы ставим 4.
И еще. Отключив таким образом службу клиента групповой политики, вы периодически будете получать в трее уведомления о недоступности службы Windows.
Чтобы этого избежать, можно удалить (предварительно сохранив) раздел реестра HKLMSYSTEMCurrentControlSetControlWinlogonNotificationsComponentsGPClient
Таким вот нехитрым способом можно отключить действие групповых политик. При этом совсем не обязательно обладать административными правами в домене, достаточно лишь входить в группу локальных администраторов на компьютере. Правда такой номер может пройти только на компьютерах с Windows 7 или Vista. В более ранних ОС службы gpsvc нет, а за применение групповых политик отвечает служба Winlogon.
Да, чуть не забыл. Все действия, описанные в статье, я проводил исключительно в познавательных целях 🙂 Делать подобное в сети предприятия крайне не рекомендуется, кое где за это могут и уволить. И перед любым вмешательством в реестр обязательно делайте его резервную копию, чтобы в случае чего оперативно откатить изменения.