Jednym z głównych narzędzi do dostrajania ustawień użytkownika i systemu Windows jest zasady grupy - GPO (obiekt zasad grupy). Na komputer i jego użytkowników mogą mieć wpływ zasady grupy domen (jeśli komputer znajduje się w domenie Active Directory) i lokalne (te zasady są skonfigurowane lokalnie i dotyczą tylko tego komputera). Zasady grupy to świetny sposób na skonfigurowanie systemu, który może zwiększyć jego funkcjonalność, bezpieczeństwo i ochronę. Jednak w przypadku początkujących administratorów systemu, którzy decydują się na eksperymenty z bezpieczeństwem swojego komputera, nieprawidłowe ustawienie niektórych lokalnych zasad grupy (lub domeny) może prowadzić do różnych problemów: od drobnych problemów, takich jak niemożność podłączenia drukarki lub dysku flash USB, do całkowitego zakazu instalacja lub uruchamianie dowolnych aplikacji (za pośrednictwem zasad SPR lub AppLocker), a nawet zakaz lokalnego lub zdalnego logowania.
W takich przypadkach, gdy administrator nie może zalogować się lokalnie do systemu lub nie wie dokładnie, które z zastosowanych ustawień zasad powodują problem, należy skorzystać z awaryjnego scenariusza resetowania zasad grupy do ustawień domyślnych (domyślnie). W stanie „czystego” komputera żadne ustawienia zasad grupy nie są ustawione.
W tym artykule pokażemy kilka metod resetowania ustawień zasad lokalnych i zasad grupy domen do wartości domyślnych. Ten podręcznik jest uniwersalny i może być używany do resetowania ustawień GPO we wszystkich obsługiwanych wersjach systemu Windows: od Windows 7 do Windows 10, a także we wszystkich wersjach Windows Server 2008 / R2, 2012 / R2 i 2016.
Treść
- Zresetuj lokalne zasady za pomocą konsoli gpedit.msc
- Wymuś reset lokalnych ustawień GPO z wiersza poleceń
- Zresetuj lokalne zasady zabezpieczeń systemu Windows
- Zresetuj zasady lokalne, gdy Windows nie może się zalogować
- Zresetuj zastosowane ustawienia GPO domeny
Zresetuj lokalne zasady za pomocą konsoli gpedit.msc
Ta metoda polega na użyciu konsoli graficznej lokalnego edytora zasad grupy. gpedit.msc aby wyłączyć wszystkie skonfigurowane zasady. Lokalny edytor grafiki GPO jest dostępny tylko w wersjach Pro, Enterprise i Education..
Wskazówka. W domowych wydaniach systemu Windows brakuje konsoli Edytora lokalnych zasad grupy, ale nadal można ją uruchomić. Korzystając z poniższych łączy, możesz pobrać i zainstalować konsolę gpedit.msc dla systemu Windows 7 i Windows 10:- Edytor zasad grupy dla systemu Windows 7 Home
- Konsola Gpedit.msc dla systemu Windows 10 Home Edition
Uruchom przystawkę gpedit.msc i przejdź do sekcji Wszystkie ustawienia lokalne zasady komputera (Zasady komputera lokalnego -> Konfiguracja komputera -> Szablony administracyjne / Zasady komputera lokalnego -> Konfiguracja komputera -> Szablony administracyjne) Ta sekcja zawiera listę wszystkich zasad, które można skonfigurować w szablonach administracyjnych. Sortuj zasady według kolumny Stan (Status) i znajdź wszystkie aktywne polityki (są w stanie Niepełnosprawnych / Wył lub Włączone / W zestawie) Wyłącz działanie wszystkich lub tylko niektórych polityk, wprowadzając je w stan Nie skonfigurowany (Nieustawione).
Te same działania należy wykonać w sekcji zasad użytkownika (Użytkownik Konfiguracja/ Konfiguracja użytkownika) W ten sposób można wyłączyć efekt wszystkich ustawień administracyjnych szablonów GPO..
Wskazówka. Listę wszystkich zastosowanych ustawień lokalnych i zasad domeny w wygodnym raporcie HTML można uzyskać za pomocą wbudowanego narzędzia GPResult z poleceniem:gpresult / h c: \ distr \ gpreport2.htmlPowyższa metoda resetowania zasad grupy w systemie Windows jest odpowiednia w najbardziej „prostych” przypadkach. Nieprawidłowe ustawienia zasad grupy mogą prowadzić do poważniejszych problemów, na przykład: niemożności uruchomienia przystawki gpedit.msc lub wszystkich programów w ogóle, utraty uprawnień administratora systemu lub zakazu lokalnego logowania do systemu. Rozważamy te przypadki bardziej szczegółowo..
Wymuś reset lokalnych ustawień GPO z wiersza poleceń
W tej sekcji opisano, jak wymusić zresetowanie wszystkich bieżących ustawień zasad grupy w systemie Windows. Najpierw jednak opiszemy niektóre zasady pracy z obiektami GPO w systemie Windows..
Architektura zasad grupy oparta na plikach specjalnych Rejestr.pol. Te pliki przechowują ustawienia rejestru, które odpowiadają niektórym ustawieniom skonfigurowanych zasad grupy. Zasady użytkownika i komputera są przechowywane w różnych plikach. Rejestr.pol.
- Ustawienia konfiguracji komputera (sekcja Konfiguracja komputera) są przechowywane w% SystemRoot% \ System32 \ GroupPolicy \ Machine \ register.pol
- Zasady użytkownika (sekcja Konfiguracja użytkownika) -% SystemRoot% \ System32 \ GroupPolicy \ User \ register.pol
Po uruchomieniu komputera system importuje zawartość pliku \ Machine \ Registry.pol do gałęzi rejestru HKEY_LOCAL_MACHINE (HKLM). Zawartość pliku \ Użytkownik \ Rejestr.pol jest importowana do gałęzi HKEY_CURRENT_USER (HKCU), gdy użytkownik loguje się.
Po otwarciu konsola lokalnego edytora zasad grupy ładuje zawartość tych plików i udostępnia je w formie graficznej wygodnej dla użytkownika. Po zamknięciu edytora GPO wprowadzone zmiany są zapisywane w plikach Registry.pol. Po zaktualizowaniu zasad grupy (za pomocą polecenia gpupdate / force lub zgodnie z harmonogramem) nowe ustawienia trafiają do rejestru.
Wskazówka. Aby wprowadzić zmiany w plikach, należy używać tylko edytora zasad grupy GPO. Nie zaleca się ręcznej edycji plików Registry.pol lub korzystania ze starszych wersji Edytora zasad grupy!Aby usunąć wszystkie bieżące ustawienia lokalnych zasad grupy, musisz usunąć pliki Registry.pol z katalogu GroupPolicy. Możesz to zrobić za pomocą następujących poleceń uruchomionych w wierszu poleceń z uprawnieniami administratora:
RD / S / Q "% WinDir% \ System32 \ GroupPolicyUsers" RD / S / Q "% WinDir% \ System32 \ GroupPolicy"
Następnie musisz zaktualizować ustawienia zasad w rejestrze:
gpupdate / force
Te polecenia zresetują wszystkie ustawienia lokalnych zasad grupy w sekcjach Konfiguracja komputera i Konfiguracja użytkownika..
Otwórz konsolę edytora gpedit.msc i sprawdź, czy wszystkie zasady są w stanie Nieskonfigurowane. Po uruchomieniu konsoli gpedit.msc usunięte foldery zostaną utworzone automatycznie z ustawieniami domyślnymi.
Zresetuj lokalne zasady zabezpieczeń systemu Windows
Lokalne zasady bezpieczeństwa skonfigurowane przy użyciu osobnej konsoli zarządzania secpol.msc. Jeśli problemy z komputerem są spowodowane dokręceniem śrub w lokalnych zasadach bezpieczeństwa, a jeśli użytkownik nadal ma dostęp do uprawnień systemowych i administracyjnych, najpierw spróbuj zresetować lokalne zasady bezpieczeństwa Windows do wartości domyślnych. Aby to zrobić, w wierszu polecenia z uprawnieniami administratora uruchom:
- W systemie Windows 10, Windows 8.1 / 8 i Windows 7:
secedit / configure / cfg% windir% \ inf \ defltbase.inf / db defltbase.sdb / verbose - W systemie Windows XP:
secedit / config / cfg% windir% \ repair \ secsetup.inf / db secsetup.sdb / verbose
Następnie komputer musi zostać ponownie uruchomiony.
Jeśli problemy z zasadami bezpieczeństwa nadal występują, spróbuj ręcznie zmienić nazwę pliku punktu kontrolnego lokalnej bazy danych zasad bezpieczeństwa% windir% \ security \ database \ edb.chk
ren% windir% \ security \ database \ edb.chk edb_old.chk
Uruchom polecenie:gpupdate / force
Uruchom ponownie system Windows za pomocą polecenia shutdown:Wyłącz -f -r -t 0
Zresetuj zasady lokalne, gdy Windows nie może się zalogować
W przypadku, gdy lokalne logowanie nie jest możliwe lub nie można uruchomić wiersza poleceń (na przykład, gdy on i inne programy są blokowane za pomocą Applocker). Możesz usunąć pliki Registry.pol, uruchamiając system z dysku instalacyjnego systemu Windows lub dowolnego dysku LiveCD.
- Uruchom z dowolnego dysku instalacyjnego systemu Windows i uruchom wiersz polecenia (Shift + F10)
- Uruchom polecenie:
diskpart
- Następnie wyświetlamy listę dysków w systemie:
wolumin listy
W tym przykładzie litera przypisana do dysku systemowego odpowiada literze w systemie - C: \. Jednak w niektórych przypadkach może nie być właściwe. Dlatego następujące polecenia muszą zostać wykonane w kontekście dysku systemowego (na przykład D: \ lub C: \)
- Zakończ pracę z diskpart, pisząc:
wyjście
- Uruchom kolejno następujące polecenia:
RD / S / Q C: \ Windows \ System32 \ GroupPolicy
RD / S / Q C: \ Windows \ System32 \ GroupPolicyUsers
- Uruchom ponownie komputer w trybie normalnym i sprawdź, czy zasady grupy lokalnej zostały zresetowane do stanu domyślnego.
Zresetuj zastosowane ustawienia GPO domeny
Kilka słów o zasadach grupy domen. Jeśli komputer znajduje się w domenie Active Directory, niektóre jego ustawienia mogą być kontrolowane przez administratora domeny za pomocą GPO domeny.
Wskazówka. W przypadku, gdy musisz całkowicie zablokować stosowanie zasad domeny na określonym komputerze, zalecamy artykuł Wyłączyć korzystanie z obiektów GPO domeny w systemie Windows 7.Pliki register.pol wszystkich stosowanych zasad grupy domen są przechowywane w katalogu % windir% \ System32 \ GroupPolicy \ DataStore \ 0 \ SysVol \ contoso.com \ Policies. Każda zasada jest przechowywana w osobnym katalogu z identyfikatorem GUID zasad domeny..
Następujące gałęzie rejestru odpowiadają tym plikom register.pol:
- HKLM \ Software \ Policies \ Microsoft
- HKCU \ Software \ Policies \ Microsoft
- HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Group Policy Objects
- HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies
Historia zastosowanych wersji zasad domeny zapisanych na kliencie znajduje się w gałęziach:
- HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Zasady grupy \ Historia \
- HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Zasady grupy \ Historia \
Gdy komputer jest wykluczony z domeny, pliki register.pol zasad domeny na komputerze są usuwane, a zatem nie są ładowane do rejestru.
Jeśli chcesz wymusić usunięcie ustawień GPO domeny, musisz wyczyścić katalog% windir% \ System32 \ GroupPolicy \ DataStore \ 0 \ SysVol \ contoso.com \ Policies i usunąć określone gałęzie rejestru (zdecydowanie zaleca się wykonanie kopii zapasowej usuniętych plików i gałęzi rejestru !!!) . Następnie uruchom polecenie:
gpupdate / force / boot
