Как сделать сброс групповых политик Windows 10

Редактор локальной групповой политики — мощный инструмент, позволяющий тонко настраивать параметры Windows. Применяется он в основном системными администраторами, а при понимании дела с таким же успехом его могут использовать и рядовые юзеры. Впрочем, от ошибок не застрахованы ни первые, ни вторые. Иногда случается, что вследствие неудачной настройки параметров через редактор локальных групповых политик система начинает работать некорректно.

Самое лучшее, что можно предпринять в такой ситуации, это вернуть изменённые настройки в исходное состояние. Если же изменённых настроек много, и вы при этом не помните, что именно меняли, можно прибегнуть к полному сбросу всех настроек редактора групповых политик к значениям по умолчанию. Вот как это можно сделать на примере с Windows 10.

Сбросить конфигурацию редактора политик можно через сам редактор политик. Откройте его командой gpedit.msc и перейдите по пути Конфигурация компьютера -> Административные шаблоны -> Все Параметры. Нажатием импровизированной стрелки в столбце «Состояние» отсортируйте политики таким образом, чтобы имеющие статус «Включено» и «Отключено» оказались вверху списка, так вам будет удобнее с ними работать.

Затем дважды кликните по каждой из этих политик мышкой и в окне настроек установите радиокнопку в положение «Не задано».

Те же самые действия повторите для политики в разделе «Конфигурация пользователя».

Сброс параметров редактора групповых политик также можно выполнить с помощью командной строки. Откройте консоль от имени администратора и последовательно выполните эти три команды, а затем перезагрузите компьютер:

RD /S /Q “%WinDir%System32GroupPolicy”RD /S /Q “%WinDir%System32GroupPolicyUsers”gpuрdаte /force

И, наконец, последний шаг — сброс к значениям по умолчанию локальных политик безопасности. Эта оснастка является своего рода расширением компонента локальных групповых политик. Открывается она командой secpol.msc. Для её сброса также можно использовать командную строку, запущенную с правами администратора. Сама команда сброса выглядит следующим образом:

secedit /configure /cfg %windir%infdefltbase.inf /db defltbase.sdb /verbose

Как и в случае с оснасткой gpedit.msc, для восстановления исходных настроек потребуется перезагрузка компьютера.

Для всех параметров, у которых значение состояния отличается от «Не задана» дважды кликните по параметру и установите значение «Не задано». </li>Проверьте, нет ли в аналогичном подразделе, но в «Конфигурация пользователя» политик с заданными значениями (включено или отключено). Если есть — поменяйте на «Не задана».

Готово — параметры всех локальных политик были изменены на те, которые установлены по умолчанию в Windows (а они именно не заданы).

Как сбросить локальные политики безопасности в Windows 10, 8 и Windows 7

Для локальных политик безопасности есть отдельный редактор — secpol.msc, однако, способ для сброса локальных групповых политик здесь не подойдет, потому как некоторых из политик безопасности имеют заданные значения по умолчанию.

Для сброса вы можете использовать командную строку, запущенную от имени администратора, в которую следует ввести команду

secedit /configure /cfg %windir%infdefltbase.inf /db defltbase.sdb /verbose

и нажать Enter.

Удаление локальных групповых политик

Важно: этот способ потенциально нежелателен, выполняйте его только на свой страх и риск. Также этот способ не сработает для политик, измененных путем внесения правок в редакторе реестра минуя редакторы политик.

Политики загружаются в реестр Windows из файлов в папках WindowsSystem32GroupPolicy и WindowsSystem32GroupPolicyUsers. Если удалить эти папки (может потребоваться загрузиться в безопасном режиме) и перезагрузить компьютер, политики будут сброшены на настройки по умолчанию.

Удаление можно произвести и в командной строке, запущенной от имени администратора, по порядку выполнив команды (последняя команда выполняет перезагрузку политик):

RD /S /Q "%WinDir%System32GroupPolicy" RD /S /Q "%WinDir%System32GroupPolicyUsers" gpupdate /force

Если ни один из способов вам не помог, можно сбросить Windows 10 (доступно и в Windows 8/8.1) на настройки по умолчанию, в том числе и с сохранением данных.

</li>–>

  secedit /configure /cfg %windir%infdefltbase.inf /db defltbase.sdb /verbose

  RD /S /Q "%WinDir%System32GroupPolicyUsers"

  RD /S /Q "%WinDir%System32GroupPolicy"

  gpupdate /force

В предыдущей статье мы писали о том, как найти в Windows локальные политики безопасности. Для этого есть два способа: через поиск (Win+S) и с помощью команды «Выполнить» (secpol.msc). Сегодня разберемся, как настраивать и сбрасывать политики безопасности и для его это нужно.

Сброс политик безопасности в Windows 10

Изменение значение какого-либо параметра может потребоваться для настройки работы приложений, параметров самой ОС и т.д. Параметры отвечают за безопасность системы: сети, брандмауэр, учетные записи. Политики безопасности относятся к групповым локальным политикам, но имеют, как мы показали в предыдущей статье, свой интерфейс.

Заходим в редактор и выбираем нужный параметр. Попробуем установить правила для создания паролей на «десятки». По умолчанию сложность пароля отключена, но включить ее легко – два раза кликаем по параметру и устанавливаем соответствующий маркер, нажимаем «ОК».

Перейдя во вкладку «Объяснение», вы сможете прочитать подробную инструкцию о применение того или иного параметра. Например, для нашей настройки описываются минимальные требования для создания новых паролей (длина, заглавные буквы, символы и проч.).

Мы поступили несколько неправильно: привели пример по «включению» параметра», хотя речь в заголовке идет о сбросе настроек. Но делается это точно так же: вместо значения «Включить» выставляется значение «Выключить».

Командная строка

Второй способ сбросить политики безопасности – через командную строку, запущенную от имени администратора (как это сделать, читайте здесь). Открываем не PowerShell, а стандартную строку CMD с админскими правами.

В этом случае сбрасываются не отдельные параметры, а сразу все значения политик. В строке нужно прописать следующую команду:

secedit /configure /cfg %windir%infdefltbase.inf /db defltbase.sdb /verbose

После каждого сброса (и через редактор, и через командную строку) перезагружаем компьютер. Есть вариант полного удаления политик, но делать этого нежелательно, да и не имеет особого смысла. Рекомендуем перед изменение политик безопасности создавать точки восстановления, чтобы затем можно было к ним вернуться и восстановить изначальные параметры.

Еще много интересных статей:

Где найти редактор локальной групповой политики в Виндовс 10?

Как изменить учетную запись в Windows (Виндовс) 10.

Администратор запретил выполнение приложения.

Добавление приложения в исключение брандмауэра Windows 10.

Одним из основных инструментов тонкой настройки параметров пользователя и среды Windows являются групповые политики — GPO (Group Policy Object). На сам компьютер и его пользователей могут действовать доменные групповые политики (если компьютер состоит в домене Active Directory) и локальные (эти политики настраиваются локально на компьютере).  Однако некорректная настройка некоторых параметров  GPO может привести к различным проблемам: невозможность подключить принтер, запрет на подключение USB накопителей, ограничение сетевого доступа некорректными настройками брандмауэра Windows, запрета на установку или запуск любых приложений (через политики SPR или AppLocker) или на локальный или удаленный вход на компьютеры.

Если администратор не может локально войти в систему, или не знает точно какая из примененных им настроек GPO вызывает проблему, приходится прибегать к аварийному сценарию сброса настроек групповых политик на настройки по-умолчанию. В “чистом” состоянии ни один из параметров групповых политик не задан.

В этой статье мы покажем несколько методов сброса настроек параметров локальных и доменных групповых политик к значениям по умолчанию. Эта инструкция является универсальной и может быть использована для сброса настроек GPO на всех поддерживаемых версиях Windows: начиная с Windows 7 и заканчивая Windows 10, а также для всех версий Windows Server 2008/R2, 2012/R2 / 2016 и 2019.

Содержание:

Запустите оснастку gpedit.msc и перейдите в раздел All Settings локальных политик компьютера (Local Computer Policy -> Computer Configuration — > Administrative templates / Политика “Локальный компьютер” -> Конфигурация компьютера -> Административные шаблоны). В этом разделе содержится список всех политик, доступных к настройке в административных шаблонах. Отсортируйте политики по столбцу State (Состояние) и найдите все активные политики (находятся в состоянии Disabled / Отключено или Enabled / Включено). Отключите действие все (или только определенные настройки GPO), переведя их в состояние Not configured (Не задана).

Чтобы создать резервную копию текущих настроек локальной GPO можно использовать утилиту LGPO.exe из Security Compliance Manager.

Аналогично измените настройки параметров в пользовательском разделе локальных политик (User Configuration/ Конфигурация пользователя). Так можно отключить действие всех настроек административных шаблонов GPO.

Совет. Список всех примененных настроек локальных и доменных политик в удобном html отчете можно получить с помощью встроенной утилиты GPResult командой:gpresult /h c:distrgpreport2.html

Указанный выше способ сброса групповых политик в Windows подойдет для самых “простых” случаев. Некорректные настройки групповых политик могут привести к более серьезным проблемам. Например, невозможность запустить оснастку gpedit.msc или вообще любых программ, потери административных прав на компьютере, или запрета на локальный вход в систему. В таких случаях приходится сбрасывать сохраненные настройки GPO в локальных файлах на компьютере.

Файлы групповых политик Registry.pol

Архитектура групповых политик Windows основана на специальных файлах Registry.pol. Данные файлы хранят параметры реестра, которые соответствуют тем или иным настройкам GPO. Пользовательские и компьютерные настройки политик хранятся в разных файлах Registry.pol.

• Настройки конфигурации компьютера (раздел Computer Configuration) хранятся в %SystemRoot%System32GroupPolicyMachineregistry.pol
• Пользовательские политики (раздел User Configuration)  —  %SystemRoot%System32GroupPolicyUserregistry.pol

При загрузке компьютера Windows загружает содержимое файла MachineRegistry.pol в ветку системного реестра HKEY_LOCAL_MACHINE (HKLM). Содержимое файла UserRegistry.pol импортируется в ветку HKEY_CURRENT_USER (HKCU) при входе пользователя в систему.

Когда вы открываете консоль редактора GPO, она загружает содержимое registry.pol файлов и предоставляет их в удобном графическом виде. При закрытии редактора GPO внесенные изменения сохраняются в файлы Registry.pol. После обновления групповых политик (командой gpupdate /force или по-расписанию), новые настройки попадают в реестр и применяются к компьютеру.

Совет. Для внесения изменения в файлы стоит использовать только редактор групповых политик GPO. Не рекомендуется редактировать файлы Registry.pol вручную или с помощью старых версий редактора групповой политики!

Чтобы удалить все текущие настройки локальной  групповой политики, нужно удалить файлы Registry.pol в каталоге GroupPolicy.

Сброс настроек локальной GPO из командной строки

Для принудительного сброса всех текущих настроек групповых политик в Windows вам нужно удалить файлы Registry.pol.  Допустимо целиком удалить каталоги с файлами настройки политик. Сделать это можно следующими командами, запущенными в командной строке с правами администратора:

RMDIR /S /Q "%WinDir%System32GroupPolicyUsers"  RMDIR /S /Q "%WinDir%System32GroupPolicy"

В Windows 10 2004 команда rd.exe была удалена из образа, поэтому для удаления каталогов нужно использовать команду rmdir.exe.

После этого нужно сбросить старые настройки политик в реестре, применив GPO с чистыми настройками:

gpupdate /force

Данные команды сбросят все настройки локальной GPO в секциях Computer Configuration и User Configuration.

Откройте консоль редактора gpedit.msc и убедитесь, что все политики перешли в состояние “Не задано”/”Not configured”. После запуска консоли gpedit.msc удаленные папки GroupPolicyUsers и GroupPolicy будут пересозданы автоматически с пустыми файлами Registry.pol.

Сброс локальных политик безопасности Windows

Локальные политик безопасности (local security policies) настраиваются с помощью отдельной консоли управления secpol.msc. Если проблемы с компьютером вызваны “закручиванием гаек” в локальных политиках безопасности, и, если у вас остался доступ к системе и административные права, сначала стоит попробовать сбросить настройки локальных политик безопасности Windows к значениям по-умолчанию. Для этого в командной строке с правами администратора выполните:

• Для Windows 10, Windows 8.1/8 и Windows 7: secedit /configure /cfg %windir%infdefltbase.inf /db defltbase.sdb /verbose
• Для Windows XP: secedit /configure /cfg %windir%repairsecsetup.inf /db secsetup.sdb /verbose

Перезагрузите компьютер.

Если у вас сохранятся проблемы с политиками безопасности, попробуйте вручную переименовать файл контрольной точки базы локальных политик безопасности %windir%securitydatabaseedb.chk.

ren %windir%securitydatabaseedb.chk edb_old.chkВыполните команду:gpupdate /forceПерезагрузите Windows с помощью команды shutdown:Shutdown –f –r –t 0

Как сбросить настройки локальных GPO, если невозможно войти в Windows?

Если локальный вход в Windows невозможен или не удается запустить командную строку (например, при блокировке ее и других программ с помощью Applocker), вы можете удалить файлы Registry.pol, загрузившись с установочного диска Windows (загрузочной USB флешки) или любого LiveCD.

1. Загрузитес компьютер с любого установочного диска/флешки  с Windows и запустите командную строку (Shift+F10).
2. Выполните команду:

   diskpart

3. Затем выведите список подключенных к компьютеру дисков:

   list volume

   В данном примере буква, присвоенная системному диску, соответствует букве в системе – C:. В некоторых случаях она может не соответствовать. Поэтому следующие команды необходимо выполнять в контексте вашего системного диска (например, D: или C:)

4. Завершите работу с diskpart,, набрав:

   exit

5. Последовательно выполните следующие команды:

   rd /S /Q C:WindowsSystem32GroupPolicy

   rd /S /Q C:WindowsSystem32GroupPolicyUsers

6. Перезагрузите компьютер в обычном режиме и проверьте, что все параметры локальной групповой политики сброшены в состояние по-умолчанию.

Сброс примененных настроек доменных GPO

Несколько слов о доменных групповых политиках. Если компьютер включен в домен Active Directory, некоторые его настройки задаются доменными GPO.

Совет.  Если вам нужно совсем заблокировать применение доменных политик на конкретном компьютере, рекомендуем статью Отключаем применение доменных GPO в Windows.

Файлы registry.pol всех применённых доменных групповых политик хранятся в каталоге %windir%System32GroupPolicyDataStoreSysVol contoso.comPolicies. Каждая политика хранится в отдельном каталоге с GUID доменной политики. При исключении компьютера из домена файлы registry.pol доменных политик на компьютере удаляются и соответственно, не загружаются в реестр. Но иногда несмотря на исключения компьютера из домена, настройки политик могут все ещё применяться к компьютеру.

Этим файлам registry.pol соответствуют следующие ветки реестра:

• HKLMSoftwarePoliciesMicrosoft
• HKCUSoftwarePoliciesMicrosoft
• HKCUSoftwareMicrosoftWindowsCurrentVersionGroup Policy Objects
• HKCUSoftwareMicrosoftWindowsCurrentVersionPolicies

История примененных версий доменных политик, которые сохранились на клиенте, находится в ветках:

• HKLMSOFTWAREMicrosoftWindowsCurrentVersionGroup PolicyHistory
• HKCUSoftwareMicrosoftWindowsCurrentVersionGroup PolicyHistory

Локальный кэш примененных доменных GPO хранится в каталоге C:ProgramDataMicrosoftGroup PolicyHistory. Удалите файлы в этом каталоге командой:

DEL /S /F /Q “%PROGRAMDATA%MicrosoftGroup PolicyHistory*.*”

Также для удаления доменных GPO, нужно очистить каталог %windir%System32GroupPolicyDataStoreSysVolcontoso.comPolicies и удалить указанные ветки реестра (настоятельно рекомендуется создать резервную копию удаляемых файлов и веток реестра !!!).

Затем выполните команду:

gpupdate /force /boot

Совет. Рассмотренные выше методики позволяют сбросить все настройки групповых политик во всех версиях Windows. Сбрасываются все настройки, внесенные с помощью редактора групповой политики, однако не сбрасываются все изменения, внесенные в реестре напрямую через regedit.exe, REG- файлы, через доменные GPP или любым другим способом.Используемые источники:

• https://www.white-windows.ru/kak-v-windows-10-sbrosit-nastrojki-lokalnoj-gruppovoj-politiki/
• https://remontka.pro/reset-policies-windows/
• https://g-ek.com/kak-windows-10-sbrosit-vse-nastrojki-lokalnoj-gruppovoj-politiki-po-umolchaniyu
• https://public-pc.com/nastrojka-lokalnyh-politik-bezopasnosti-v-windows-10/
• http://winitpro.ru/index.php/2013/10/03/sbros-lokalnyx-gruppovyx-politik-v-windows/