rОдним из основных инструментов тонкой настройки параметров пользователя и среды Windows являются групповые политики — GPO (Group Policy Object). На сам компьютер и его пользователей могут действовать доменные групповые политики (если компьютер состоит в домене Active Directory) и локальные (эти политики настраиваются локально на компьютере). Однако некорректная настройка некоторых параметров GPO может привести к различным проблемам: невозможность подключить принтер, запрет на подключение USB накопителей, ограничение сетевого доступа некорректными настройками брандмауэра Windows, запрета на установку или запуск любых приложений (через политики SPR или AppLocker) или на локальный или удаленный вход на компьютеры.
Если администратор не может локально войти в систему, или не знает точно какая из примененных им настроек GPO вызывает проблему, приходится прибегать к аварийному сценарию сброса настроек групповых политик на настройки по-умолчанию. В “чистом” состоянии ни один из параметров групповых политик не задан.
В этой статье мы покажем несколько методов сброса настроек параметров локальных и доменных групповых политик к значениям по умолчанию. Эта инструкция является универсальной и может быть использована для сброса настроек GPO на всех поддерживаемых версиях Windows: начиная с Windows 7 и заканчивая Windows 10, а также для всех версий Windows Server 2008/R2, 2012/R2 / 2016 и 2019.
Содержание:
- Сброс параметров локальной групповой политики с помощью редактора gpedit.msc
- Файлы групповых политик Registry.pol
- Сброс настроек локальной GPO из командной строки
- Сброс локальных политик безопасности Windows
- Как сбросить настройки локальных GPO, если невозможно войти в Windows?
- Сброс примененных настроек доменных GPO
Сброс параметров локальной групповой политики с помощью редактора gpedit.msc
Этот способ предполагает использование графической консоли редактора локальной групповой политики gpedit.msc для отключения всех настроенных политик. Графический редактор локальной GPO доступен только в Pro, Enterprise и Education редакциях Windows 10.
Запустите оснастку
gpedit.msc
и перейдите в раздел All Settings локальных политик компьютера (Local Computer Policy -> Computer Configuration — > Administrative templates / Политика “Локальный компьютер” -> Конфигурация компьютера -> Административные шаблоны). В этом разделе содержится список всех политик, доступных к настройке в административных шаблонах. Отсортируйте политики по столбцу State (Состояние) и найдите все активные политики (находятся в состоянии Disabled / Отключено или Enabled / Включено). Отключите действие все (или только определенные настройки GPO), переведя их в состояние Not configured (Не задана).
Чтобы создать резервную копию текущих настроек локальной GPO можно использовать утилиту LGPO.exe из Security Compliance Manager.
Аналогично измените настройки параметров в пользовательском разделе локальных политик (User Configuration/ Конфигурация пользователя). Так можно отключить действие всех настроек административных шаблонов GPO.
Совет. Список всех примененных настроек локальных и доменных политик в удобном html отчете можно получить с помощью встроенной утилиты GPResult командой:
gpresult /h c:distrgpreport2.html
Указанный выше способ сброса групповых политик в Windows подойдет для самых “простых” случаев. Некорректные настройки групповых политик могут привести к более серьезным проблемам. Например, невозможность запустить оснастку gpedit.msc или вообще любых программ, потери административных прав на компьютере, или запрета на локальный вход в систему. В таких случаях приходится сбрасывать сохраненные настройки GPO в локальных файлах на компьютере.
Файлы групповых политик Registry.pol
Архитектура групповых политик Windows основана на специальных файлах Registry.pol. Данные файлы хранят параметры реестра, которые соответствуют тем или иным настройкам GPO. Пользовательские и компьютерные настройки политик хранятся в разных файлах Registry.pol.
- Настройки конфигурации компьютера (раздел Computer Configuration) хранятся в %SystemRoot%System32GroupPolicyMachineregistry.pol
- Пользовательские политики (раздел User Configuration) — %SystemRoot%System32GroupPolicyUserregistry.pol
При загрузке компьютера Windows загружает содержимое файла MachineRegistry.pol в ветку системного реестра HKEY_LOCAL_MACHINE (HKLM). Содержимое файла UserRegistry.pol импортируется в ветку HKEY_CURRENT_USER (HKCU) при входе пользователя в систему.
Когда вы открываете консоль редактора GPO, она загружает содержимое registry.pol файлов и предоставляет их в удобном графическом виде. При закрытии редактора GPO внесенные изменения сохраняются в файлы Registry.pol. После обновления групповых политик (командой
gpupdate /force
или по-расписанию), новые настройки попадают в реестр и применяются к компьютеру.
Совет. Для внесения изменения в файлы стоит использовать только редактор групповых политик GPO. Не рекомендуется редактировать файлы Registry.pol вручную или с помощью старых версий редактора групповой политики!
Чтобы удалить все текущие настройки локальной групповой политики, нужно удалить файлы Registry.pol в каталоге GroupPolicy.
Сброс настроек локальной GPO из командной строки
Для принудительного сброса всех текущих настроек групповых политик в Windows вам нужно удалить файлы Registry.pol. Допустимо целиком удалить каталоги с файлами настройки политик. Сделать это можно следующими командами, запущенными в командной строке с правами администратора:
RMDIR /S /Q "%WinDir%System32GroupPolicyUsers"
RMDIR /S /Q "%WinDir%System32GroupPolicy"
В Windows 10 2004 команда
rd.exe
была удалена из образа, поэтому для удаления каталогов нужно использовать команду
rmdir.exe
.
После этого нужно сбросить старые настройки политик в реестре, применив GPO с чистыми настройками:
gpupdate /force
Данные команды сбросят все настройки локальной GPO в секциях Computer Configuration и User Configuration.
Откройте консоль редактора
gpedit.msc
и убедитесь, что все политики перешли в состояние “Не задано”/”Not configured”. После запуска консоли gpedit.msc удаленные папки GroupPolicyUsers и GroupPolicy будут пересозданы автоматически с пустыми файлами Registry.pol.
Сброс локальных политик безопасности Windows
Локальные политик безопасности (local security policies) настраиваются с помощью отдельной консоли управления
secpol.msc
. Если проблемы с компьютером вызваны “закручиванием гаек” в локальных политиках безопасности, и, если у вас остался доступ к системе и административные права, сначала стоит попробовать сбросить настройки локальных политик безопасности Windows к значениям по-умолчанию. Для этого в командной строке с правами администратора выполните:
- Для Windows 10, Windows 8.1/8 и Windows 7:
secedit /configure /cfg %windir%infdefltbase.inf /db defltbase.sdb /verbose
- Для Windows XP:
secedit /configure /cfg %windir%repairsecsetup.inf /db secsetup.sdb /verbose
Перезагрузите компьютер.
Если у вас сохранятся проблемы с политиками безопасности, попробуйте вручную переименовать файл контрольной точки базы локальных политик безопасности %windir%securitydatabaseedb.chk.
ren %windir%securitydatabaseedb.chk edb_old.chk
Выполните команду:
gpupdate /force
Перезагрузите Windows с помощью команды shutdown:
Shutdown –f –r –t 0
Как сбросить настройки локальных GPO, если невозможно войти в Windows?
Если локальный вход в Windows невозможен или не удается запустить командную строку (например, при блокировке ее и других программ с помощью Applocker), вы можете удалить файлы Registry.pol, загрузившись с установочного диска Windows (загрузочной USB флешки) или любого LiveCD.
- Загрузитес компьютер с любого установочного диска/флешки с Windows и запустите командную строку (
Shift+F10
). - Выполните команду:
diskpart
- Затем выведите список подключенных к компьютеру дисков:
list volume
В данном примере буква, присвоенная системному диску, соответствует букве в системе – C:. В некоторых случаях она может не соответствовать. Поэтому следующие команды необходимо выполнять в контексте вашего системного диска (например, D: или C:)
- Завершите работу с diskpart,, набрав:
exit
- Последовательно выполните следующие команды:
rd /S /Q C:WindowsSystem32GroupPolicy
rd /S /Q C:WindowsSystem32GroupPolicyUsers
- Перезагрузите компьютер в обычном режиме и проверьте, что все параметры локальной групповой политики сброшены в состояние по-умолчанию.
Сброс примененных настроек доменных GPO
Несколько слов о доменных групповых политиках. Если компьютер включен в домен Active Directory, некоторые его настройки задаются доменными GPO.
Файлы registry.pol всех применённых доменных групповых политик хранятся в каталоге %windir%System32GroupPolicyDataStoreSysVol contoso.comPolicies. Каждая политика хранится в отдельном каталоге с GUID доменной политики. При исключении компьютера из домена файлы registry.pol доменных политик на компьютере удаляются и соответственно, не загружаются в реестр. Но иногда несмотря на исключения компьютера из домена, настройки политик могут все ещё применяться к компьютеру.
Этим файлам registry.pol соответствуют следующие ветки реестра:
- HKLMSoftwarePoliciesMicrosoft
- HKCUSoftwarePoliciesMicrosoft
- HKCUSoftwareMicrosoftWindowsCurrentVersionGroup Policy Objects
- HKCUSoftwareMicrosoftWindowsCurrentVersionPolicies
История примененных версий доменных политик, которые сохранились на клиенте, находится в ветках:
- HKLMSOFTWAREMicrosoftWindowsCurrentVersionGroup PolicyHistory
- HKCUSoftwareMicrosoftWindowsCurrentVersionGroup PolicyHistory
Локальный кэш примененных доменных GPO хранится в каталоге C:ProgramDataMicrosoftGroup PolicyHistory. Удалите файлы в этом каталоге командой:
DEL /S /F /Q “%PROGRAMDATA%MicrosoftGroup PolicyHistory*.*”
Также для удаления доменных GPO, нужно очистить каталог %windir%System32GroupPolicyDataStoreSysVolcontoso.comPolicies и удалить указанные ветки реестра (настоятельно рекомендуется создать резервную копию удаляемых файлов и веток реестра !!!).
Затем выполните команду:
gpupdate /force /boot
Совет. Рассмотренные выше методики позволяют сбросить все настройки групповых политик во всех версиях Windows. Сбрасываются все настройки, внесенные с помощью редактора групповой политики, однако не сбрасываются все изменения, внесенные в реестре напрямую через regedit.exe, REG- файлы, через доменные GPP или любым другим способом.
Skip to content
Прочитано:
697
Итак, вот Вы вывели рабочую станцию (W7X64, W10X64
), серверную систему (Server 2008R2,Server2012R2,Server2016
) из домена (polygon.local
), на этом все? А нет надо бы откатить все сделанные групповыми политиками изменения на те что были раньше. Если в дальнейшем данную систему нужно использовать? Можно поступить следующим образом, если конечно Вы записывали как настраивали все групповые политики то удалить изменения, а если нет.
Запускаю консоль командной строки с правами администратора:
Win + cmd
→ через правый клик по «Командная строка» выбираем пункт «Запуск от имени адиминистратора»:
C:Windowssystem32>secedit /configure /cfg c:windowsinfdefltbase.inf /db defltbase.sdb /verbose
Задание выполнено. При выполнении этой операции были выданы предупреждения для некоторых атрибутов. Это только предупреждение.
Подробные сведения записаны в журнале %windir%securitylogsscesrv.log.
После удаляем настройки GPO в системе:
C:Windowssystem32>rmdir /S /Q %systemroot%system32GroupPolicyUsers
C:Windowssystem32>rmdir /S /Q %systemroot%system32GroupPolicy
Затем для возврата групповых политик системы в дефолтное значение следует просто перезагрузиться.
C:Windowssystem32>shutdown /r /t 3
Пока на этом всё, заметка будет дополняться по мере нахождения новых способов к обезличиванию после вывода из домена, хотя я знаю один способ — это использование утилиты sysprep
. С уважением, автор блога Олло Александр aka ekzorchik.
One of the main tools to configure user and system settings in Windows is the Group Policy Objects (GPO). Local (these settings are configured locally on the computer) and domain GPOs (if a computer is joined to the Active Directory domain) can be applied to the computer and its users. However, incorrect configuration of some GPO settings can lead to various problems. Group Policy settings can block the connection of USB devices, shared printers and folder, restrict network access by the Windows Defender Firewall rules, block apps and tools from the installing or running (via SPR or AppLocker policies), restrict local or remote logons to a computer.
If you cannot logon to the computer locally, or doesn’t know exactly which of the applied GPO settings causing a problem, you have to use a script to reset the Group Policy settings to their defaults. In a “clean” state, none of the Group Policy settings are configured.
In this article we show several methods for resetting the settings of local and domain Group Policies to default values. This guide can be used to reset GPO settings on all supported Windows versions: from Windows 7 to Windows 10, as well as all versions of Windows Server (2008/R2, 2012/R2, 2016 and 2019).
Contents:
- How to Reset Local Group Policy Editor (Gpedit.msc) Settings to Default?
- Group Policy Files Registry.pol
- Resetting all Local Group Policy Settings at Once on Windows 10/Windows Server 2016
- Reset Local Security Policy Settings to Default in Windows
- Reset Local GPO Settings without Logging in
- How to Clear and Remove Domain-Applied GPO settings?
How to Reset Local Group Policy Editor (Gpedit.msc) Settings to Default?
This method involves using the GUI of the local Group Policy Editor console (gpedit.msc) to disable all configured policy settings. The local GPO graphical editor is available only in Pro, Enterprise and Education Windows 10 editions.
Run the gpedit.msc
MMC snap-in and go to the All Settings section (Local Computer Policy -> Computer Configuration – > Administrative templates). This section contains a list of all settings available for configuration in the local administrative GPO templates. Sort policies by the State column and find all configured policies (Disabled or Enabled state). Disable all or some of them by switching them to the Not configured state.
You can use the LGPO.exe tool from Security Compliance Manager to backup the current local GPO settings.
Do the same steps in the User Configuration section. Thus, you can disable all the settings of all settings in the Administrative GPO templates.
Tip. A list of all applied local and domain policy settings in a convenient HTML report form can be obtained with the built-in GPResult tool:
gpresult /h c:PSGPRreport.html
The above method for resetting Group Policy in Windows is suitable for the simplest cases. Incorrect GPO configuration can lead to more serious problems. For example, the inability to run the gpedit.msc
snap-in or even any program or app, loss of the administrator privileges, or a restrict to logon locally. In such cases, you have to reset the saved GPO settings in local files on your computer.
Group Policy Files Registry.pol
The Windows Group Policy architecture is based on special Registry.pol files. These files store registry settings that correspond to the configured GPO settings. User and Computer policies are stored in different Registry.pol files.
- The computer settings (Computer Configuration section) are stored in
%SystemRoot%System32GroupPolicyMachineregistry.pol
- The user settings (User Configuration section) are stored in
%SystemRoot%System32GroupPolicyUserregistry.pol
During the startup, the Windows imports the contents of MachineRegistry.pol to the system registry hive HKEY_LOCAL_MACHINE (HKLM). The contents of the file UserRegistry.pol are imported to the HKEY_CURRENT_USER (HKCU) hive when the user logs in.
When you open the Local GPO Editor Console, it loads the contents of the registry.pol files and shows them in a user-friendly graphical way. When you close the GPO editor, the changes you make are saved to the Registry.pol files. When you update the Group Policy settings on your computer (using the gpupdate /force
command or on a schedule), the new settings applied to the registry.
Tip. To make changes to the Registry.pol files, you should only use the local GPO Editor console. It is not recommended to edit Registry.pol files manually or using the older versions of Group Policy Editor!
To remove all current settings for the local GPO, you must remove the Registry.pol files in the GroupPolicy and GroupPolicyUsers folders.
Resetting all Local Group Policy Settings at Once on Windows 10/Windows Server 2016
To force a reset of all current local Group Policy settings, you must delete the Registry.pol files. It is possible to completely delete directories with policy configuration files. You can do it with the following commands, run them in the elevated command prompt:
RD /S /Q "%WinDir%System32GroupPolicyUsers"
RD /S /Q "%WinDir%System32GroupPolicy"
In Windows 10 2004, the RD.exe
command was removed, so the RMDIR.exe
command must be used to remove directories.
After that, you need to reset the old GPO settings in the registry by applying a clean GPO:
gpupdate /force
These commands will reset all local Group Policy settings in the Computer Configuration and User Configuration sections.
Open the gpedit.msc
and make sure that all policies are in the Not Configured state. After running the gpedit.msc console, deleted GroupPolicyUsers
and GroupPolicy
folders will be created automatically with empty Registry.pol files.
The next time you make changes to Group Policy, Windows will create new Registry.pol files with the new settings.
Reset Local Security Policy Settings to Default in Windows
Local security policies are configured in a separate mmc console – secpol.msc
. If the problems with the computer are caused by “tightening the screws” in the local security settings, and if you still have local access to Windows and administrator rights, it’s better to reset the security policy settings to the default values. To do it, open the cmd.exe
as an administrator and run the following command:
- In Windows 10, Windows 8.1/8 and Windows 7:
secedit /configure /cfg %windir%infdefltbase.inf /db defltbase.sdb /verbose
- In Windows XP:
secedit /configure /cfg %windir%repairsecsetup.inf /db secsetup.sdb /verbose
Restart the computer.
If you still have problems with security policies, try manually renaming the checkpoint file of the local security policy database %windir%securitydatabaseedb.chk.
ren %windir%securitydatabaseedb.chk edb_old.chk
Run the command:
gpupdate /force
Restart Windows using the shutdown command:
Shutdown –f –r –t 0
Reset Local GPO Settings without Logging in
If it is impossible to boot/login Windows, the GPSVC service is not running, you don’t have local administrator privileges, or you cannot open the command prompt (for example, apps are blocked by Applocker/SRP policy), just boot your computer from any Windows installation disc, USB flash drive or LiveCD and reset local GPO outside of the installed Windows image.
- Boot your computer from any Windows installation media and open the command prompt (
Shift+F10
); - Run the command:
diskpart
- Then display the list of volumes on the computer:
list volume
In this case, the drive letter assigned to the system volume corresponds to the system drive C:. However, sometimes it may not match. So, the commands below must be executed in the context of your system drive (e. g., D: or C:); - Close diskpart:
exit
- Run the following commands one by one:
RD /S /Q C:WindowsSystem32GroupPolicy
RD /S /Q C:WindowsSystem32GroupPolicyUsers - Restart the computer in the normal mode and make sure that the local Group Policy settings are reset to their default state.
How to Clear and Remove Domain-Applied GPO settings?
A few words about domain Group Policies. If a computer is joined to an Active Directory domain, some of its settings are set by domain-based GPOs
The registry.pol files of all applied domain Group Policies are stored in the directory %windir%System32GroupPolicyDataStoreSysVolcontoso.comPolicies. Each policy is stored in a separate folder with the domain policy GUID. After your computer leaves the AD domain, the registry.pol files of domain Group Policies on the computer will be deleted and won’t be loaded to the registry at startup. However, sometimes, despite removing a computer from the domain, GPO settings can still be applied to the computer.
The following registry keys correspond to these registry.pol files:
- HKLMSoftwarePoliciesMicrosoft
- HKCUSoftwarePoliciesMicrosoft
- HKCUSoftwareMicrosoftWindowsCurrentVersionGroup Policy Objects
- HKCUSoftwareMicrosoftWindowsCurrentVersionPolicies
The versions history of the applied domain GPOs that have been used on the client is located in the following registry keys:
- HKLMSOFTWAREMicrosoftWindowsCurrentVersionGroup PolicyHistory
- HKCUSoftwareMicrosoftWindowsCurrentVersionGroup PolicyHistory
The local cache of applied domain GPOs is stored in the C:ProgramDataMicrosoftGroup PolicyHistory. Delete the files in this directory with the command::
DEL /S /F /Q “%PROGRAMDATA%MicrosoftGroup PolicyHistory*.*”
If you need to forcefully remove the domain GPO settings, you need to clean the %windir%System32GroupPolicyDataStoreSysVolcontoso.comPolicies
directory and delete the specified registry keys (it is strongly recommended that you backup the deleted files and registry entries!!!) .
gpupdate /force /boot
Tip. The ways discussed above allow you to reset all local GPO settings in Windows versions. All settings made with the Group Policy Editor will reset. However, the changes made directly into the registry with the regedit.exe, REG files, domain registry GPP or in any other way are not reset.
The way I see it you have two options.
The first of which is to run a report before you start «playing around» with the GPO. This will allow you to have a picture of all of the settings before you start changing them. In order to do this, go to your GPMC and expand the «Group Policy Objects» container on the left hand pane. Then right click on the GPO you are working with. Then click «Save Report». When your done it should look something like the attached picture.
The other option is you could back up the GPO. Again, in GPMC navigate to your GPO and right click. From there you select «back up» and go though the wizard, it’s pretty straight forward. To restore the GPO back to its original settings simply right click on the GPO once more and select «import settings». Again the wizard will guide you though the rest of the process.
Between these two options you shouldn’t have any more issues of «I Can’t remember what I changed»
attach_file
Attachment
GPO report.png
53.4 KB
Was this post helpful?
thumb_up
thumb_down
В каждом домене Active Directory по умолчанию создаются два объекта групповой политики (Group Policy Object, GPO): Default Domain Policy и Default Domain Controllers Policy. Default Domain Policy назначается на весь домен и определяет в нем политику паролей и учетных записей, а Default Domain Controllers Policy связан с OU Domain Controllers и обеспечивает повышенный уровень безопасности для контроллеров домена.
Эти GPO очень важны, поэтому не рекомендуется вносить в них изменения без крайней необходимости. Так Default Domain Policy рекомендуется использовать только для управления настройками учетных записей, политиками паролей и Керберос, а Default Domain Controllers Policy GPO — для настройки пользовательских прав и политик аудита.
Однако на тот случай, если они повреждены или изменены до полной неработоспособности, есть возможность вернуть их в исходное состояние. Для этого в состав каждой серверной операционной системы начиная с Windows Server 2003 включена утилита Dsgpofix.exe, позволяющая восстановить состояние этих GPO на момент установки.
Чтобы запустить восстановление, достаточно в командной строке выполнить команду Dsgpofix. Запущенная без параметров, она отменяет все изменения объектов групповой политики Default Domain Policy и Default Domain Controllers Policy, причем даже если они были переименованы. Параметр /target позволяет указать, какую из GPO восстанавливать — DC, Domain или Both (оба).
Если в домене присутствуют разные версии Active Directory (например при наличии контроллеров домена с различными версиями Windows), то для совместимости следует использовать ключ /ignoreschema, который игнорирует номер версии схемы AD. В противном случае команда сработает только для одной версии схемы — той, которая используется на контроллере домена с которого ее запустили.
В качестве примера восстановим изменения в Default Domain Policy в домене с разными версиями AD следующей командой:
Dcgpofix /ignoreschema /Target:Domain
И еще один важный момент, который надо учесть при восстановлении Default Domain Controllers Policy GPO. При использовании Dcgpofix некоторые параметры безопасности могут отличаться исходных (создаваемых в процессе установки). В связи с этим сразу после восстановления с помощью Dcgpofix необходимо проверить параметры безопасности вручную. Подробнее о данной проблеме можно узнать здесь.
В заключение скажу, что Microsoft рекомендует использовать Dcgpofix только в аварийных ситуациях, при полном отсутствии резервных копий. Рекомендованный вариант восстановления GPO с помощью резервного копирования описан в этой статье.
- Remove From My Forums
-
Общие обсуждения
-
Добрый день.
Ситуация следующая: Был домен с двумя DC на Windows Server 2008R2. Один из контроллеров обновил до 2012. После чего ушел в отпуск, прихожу — вижу, что второй мертв (поврежден из-за пробоя БП). Перенес роли FSMO, переустановил систему
на 2012 на втором контроллере.После занесения в домен и повышения роли оказалось, что репликация выполняется не совсем корректно : объекты пользователей, OU и т.д. реплицируются корректно, а групповые политики — нет. При проверке DC, с которого выполнялась репликация, вскрылось
следующее: При попытке обращения к папке sysvol при локальном входе на DC выводится сообщение «<путь к папке sysvol><имя домена> ссылается на недоступное расположение…»При попытке запуска редактора групповых политик выводится сообщение, что системе не удается найти указанный путь.
Как я понял, хранилище групповых политик повреждено, и его необходимо создать заново. Как это сделать?
-
Изменен тип
23 сентября 2013 г. 8:00
нет действий
-
Изменен тип
В данной статье показаны различные способы, с помощью которых можно сбросить все параметры локальных групповых политик к настройкам по умолчанию.
Редактор локальных групповых политик является одним из основных инструментов для тонкой настройки параметров пользователей и операционной системы. С помощью групповых политик можно повысить безопасность системы, а также настроить конфигурацию интерфейса и элементов управления для пользователей.
В некоторых случаях, при неудачной настройке параметров, могут возникнуть различные проблемы, например такие как запрет на установку или запуск приложений, невозможность подключить принтер или флешку, или даже запрет на вход в систему.
В подобных ситуациях возникает необходимость сброса состояния групповых политик к настройкам по умолчанию, когда ни один из параметров групповых политик не задан.
Содержание
- Как сбросить локальные групповые политики с помощью оснастки gpedit.msc
- Как сбросить локальные групповые политики в командной строке
- Как сбросить локальные политики безопасности (secpol.msc)
- Как сбросить локальные групповые политики если нет возможности войти в систему
Как сбросить локальные групповые политики с помощью оснастки gpedit.msc
Сбросить все параметры локальных политик можно в оснастке gpedit.msc, то есть в редакторе локальных групповых политик. Для этого нажмите сочетание клавиш + R и в открывшемся окне Выполнить введите gpedit.msc и нажмите клавишу Enter ↵.
В окне редактора локальных групповых политик последовательно разверните следующие элементы списка:
Конфигурация компьютера ➯ Административные шаблоны ➯ Все Параметры
Раздел Все Параметры содержит список всех политик, доступных к конфигурированию в административных шаблонах. Отсортируйте политики в столбце Состояние таким образом, чтобы активные политики имеющие статус Включено и Отключено оказались вверху списка.
Затем дважды кликните мышкой по каждой из этих политик и в окне настроек установите радиокнопку в положение Не задано и нажмите кнопку OK.
Такие же действия выполните для политик в разделе Конфигурация пользователя и перезагрузите компьютер.
Таким образом вы отключите действие всех административных групповых политик.
Как сбросить локальные групповые политики в командной строке
Сброс параметров локальных групповых политик также можно выполнить с помощью командной строки. Данный способ включает в себя удаление папок с параметрами групповых политик с диска, на котором установлена операционная система.
Архитектура административных шаблонов групповых политик основана на специальных файлах Registry.pol. Данные файлы хранят параметры реестра, которые соответствуют тем или иным настройкам сконфигурированных групповых политик. Пользовательские и компьютерные политики хранятся в разных файлах Registry.pol
Настройки компьютера (раздел Конфигурация компьютера) хранятся в
%SystemRoot%\System32\ GroupPolicy\Machine\registry.pol.
Пользовательские политики (раздел Конфигурация пользователя) хранятся в
%SystemRoot%\System32\ GroupPolicy\User\registry.pol
Запустите консоль командной строки от имени администратора и последовательно выполните команды:
RD /S /Q «%WinDir%\System32\GroupPolicyUsers»
RD /S /Q «%WinDir%\System32\GroupPolicy»
gpupdate /force
Как сбросить локальные политики безопасности (secpol.msc)
Локальные политики безопасности (local security policies) настраиваются с помощью отдельной консоли управления secpol.msc. Если проблемы с компьютером вызваны в результате применения локальных политик безопасности, а у пользователя остался доступ к системе и административные права, то попробуйте сбросить параметры безопасности системы к значениям по умолчанию.
Для этого в командной строке запущенной с правами администратора выполните команду:
secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb /verbose
После выполнения команды, чтобы изменения вступили в силу перезагрузите компьютер.
Как сбросить локальные групповые политики если нет возможности войти в систему
В случае если локальный вход в систему невозможен или не удается запустить командную строку, то сбросить параметры локальных групповых политик можно загрузившись с установочного носителя.
Загрузитесь с установочного носителя с дистрибутивом операционной системы и запустите командную строку нажав сочетание клавиш Shift+F10
Теперь нам нужно запустить утилиту diskpart, для этого в окне командной строки выполните команду:
diskpart
Затем выведем список дисков в системе выполнив команду:
list volume
В данном примере буква, присвоенная системному диску (раздел на котором установлена операционная система) является буква – D:\, что не соответствует букве в системе – C:\, когда она загружена в обычном режиме. В некоторых случаях она может соответствовать. В данном случае определение буквы диска производилось по его объему. Поэтому следующие команды необходимо выполнять в контексте вашего системного диска (например, C:\ D:\ или E:\).
Теперь завершите работу с утилитой diskpart, выполнив команду:
exit
Осталось последовательно выполните следующие команды:
RD /S /Q D:\Windows\System32\GroupPolicy
RD /S /Q D:\Windows\System32\GroupPolicyUsers
Перезагрузите компьютер, войдите в систему и убедитесь что параметры локальных групповых политик сброшены к настройкам по умолчанию.