Jedným z hlavných nástrojov na jemné doladenie nastavení používateľov a systému Windows je skupinové politiky - GPO (objekt skupinovej politiky). Na samotný počítač a jeho používateľov môžu mať vplyv politiky skupiny domén (ak je počítač v doméne Active Directory) a miestne (tieto politiky sú nakonfigurované lokálne a vzťahujú sa iba na tento počítač). Skupinová politika je skvelý spôsob, ako nakonfigurovať systém, ktorý môže zvýšiť jeho funkčnosť, bezpečnosť a zabezpečenie. Pre začínajúcich správcov systému, ktorí sa rozhodnú experimentovať s bezpečnosťou svojho počítača, však nesprávne nastavenie niektorých nastavení skupinových nastavení (miestnych alebo doménových) môže viesť k rôznym problémom: od drobných problémov, ako napríklad nemožnosť pripojiť tlačiareň alebo USB flash disk, až po úplný zákaz inštalácia alebo spustenie akýchkoľvek aplikácií (prostredníctvom pravidiel SPR alebo AppLocker) alebo dokonca zákaz miestneho alebo vzdialeného prihlásenia.
V takých prípadoch, keď sa správca nemôže prihlásiť do systému lokálne alebo ak presne nevie, ktoré z použitých nastavení politiky spôsobuje problém, musíte sa uchýliť k núdzovému scenáru, ktorým je resetovanie skupinových politík na predvolené nastavenia (predvolene). V „čistom“ stave počítača nie je nastavené žiadne nastavenie skupinovej politiky.
V tomto článku si ukážeme niekoľko spôsobov, ako obnoviť predvolené hodnoty nastavení politiky miestnych a doménových skupín. Táto príručka je univerzálna a dá sa použiť na obnovenie nastavení GPO vo všetkých podporovaných verziách systému Windows: od systému Windows 7 a končiaceho systémom Windows 10, ako aj pre všetky verzie systému Windows Server 2008 / R2, 2012 / R2 a 2016..
obsah:
- Obnovte miestne politiky pomocou konzoly gpedit.msc
- Vynútiť reset miestnych nastavení GPO z príkazového riadku
- Obnovte miestne bezpečnostné zásady systému Windows
- Obnovte miestne politiky, keď sa systém Windows nemôže prihlásiť
- Obnovte nastavenia GPO použitej domény
Obnovte miestne politiky pomocou konzoly gpedit.msc
Táto metóda zahŕňa použitie grafickej konzoly editora lokálnej skupiny. gpedit.msc zakázať všetky nakonfigurované politiky. Miestny grafický editor GPO je k dispozícii iba v vydaniach Pro, Enterprise a Education..
rada. V domácich vydaniach systému Windows chýba konzola Editora lokálnych zásad skupiny, stále ju však môžete spustiť. Pomocou nižšie uvedených odkazov si môžete stiahnuť a nainštalovať konzolu gpedit.msc pre Windows 7 a Windows 10:- Editor zásad skupiny pre systém Windows 7 Home
- Konzola Gpedit.msc pre Windows 10 Home Edition
Spustite modul gpedit.msc a prejdite na časť Všetky nastavenia pravidlá miestneho počítača (Pravidlá miestneho počítača -> Konfigurácia počítača -> Šablóny pre správu / Pravidlá miestneho počítača -> Konfigurácia počítača -> Šablóny pre správu). Táto časť obsahuje zoznam všetkých politík, ktoré je možné nakonfigurovať v šablónach pre správu. Zoradiť politiky podľa stĺpca stáť (Stav) a vyhľadajte všetky aktívne politiky (sú v stave) invalidný / Vyp alebo povolené / Zahrnuté). Zakážte činnosť všetkých alebo iba určitých politík a uveďte ich do stavu nie nakonfigurovaný (Nie je nastavené).
Rovnaké akcie by sa mali vykonať v sekcii užívateľských politík (užívateľ konfigurácia/ Konfigurácia užívateľa). Takto môžete zakázať účinok všetkých nastavení šablón pre správu GPO..
rada. Zoznam všetkých použitých nastavení miestnych a doménových politík vo vhodnom html protokole je možné získať pomocou zabudovaného pomocného programu GPResult s príkazom:gpresult / h c: \ distr \ gpreport2.htmlVyššie uvedený spôsob resetovania skupinových politík vo Windows je vhodný pre najjednoduchšie prípady. Nesprávne nastavenie skupinových politík môže viesť k závažnejším problémom, napríklad: neschopnosť spustiť modul gpedit.msc alebo všetky programy všeobecne, strata práv administrátora systému alebo zákaz lokálneho prihlásenia do systému. Tieto prípady posudzujeme podrobnejšie..
Vynútiť reset miestnych nastavení GPO z príkazového riadku
Táto časť popisuje spôsob vynútenia obnovenia všetkých aktuálnych nastavení skupinovej politiky vo Windows. Najprv však popíšeme niektoré zásady práce s objektmi GPO v systéme Windows..
Architektúra skupinovej politiky založená na špeciálnych súboroch registre.pol. Tieto súbory ukladajú nastavenia registra, ktoré zodpovedajú určitým nastaveniam nakonfigurovaných skupinových politík. Pravidlá používateľa a počítača sú uložené v rôznych súboroch. registre.pol.
- Nastavenia počítačovej konfigurácie (časť Konfigurácia počítača) sú uložené v adresári% SystemRoot% \ System32 \ GroupPolicy \ Machine \ registry.pol
- Pravidlá pre používateľov (časť Konfigurácia užívateľa) -% SystemRoot% \ System32 \ GroupPolicy \ User \ registry.pol
Keď sa počítač zavedie, systém naimportuje obsah súboru \ Machine \ Registry.pol do vetvy registra HKEY_LOCAL_MACHINE (HKLM). Obsah súboru \ User \ Registry.pol sa importuje do vetvy HKEY_CURRENT_USER (HKCU) po prihlásení používateľa.
Konzola editora lokálnej skupiny po otvorení načíta obsah týchto súborov a poskytne ich v grafickej forme, ktorá je pre používateľa výhodná. Po zatvorení editora GPO sa vykonané zmeny zapíšu do súborov Registry.pol. Po aktualizácii skupinových politík (pomocou príkazu gpupdate / force alebo podľa plánu) sa nové nastavenia dostanú do registra.
rada. Na vykonanie zmien v súboroch by ste mali používať iba Editor zásad skupiny GPO. Neodporúča sa upravovať súbory Registry.pol manuálne alebo používať staršie verzie Editora skupinovej politiky!Ak chcete odstrániť všetky aktuálne nastavenia politík miestnych skupín, musíte odstrániť súbory Registry.pol v adresári GroupPolicy. Môžete to urobiť pomocou nasledujúcich príkazov spustených na príkazovom riadku s právami správcu:
RD / S / Q "% WinDir% \ System32 \ GroupPolicyUsers" RD / S / Q "% WinDir% \ System32 \ GroupPolicy"
Potom musíte aktualizovať nastavenia politiky v registri:
gpupdate / force
Tieto príkazy obnovia všetky nastavenia politík miestnych skupín v sekciách Konfigurácia počítača a Konfigurácia používateľa..
Otvorte konzolu editora gpedit.msc a overte, či sú všetky politiky v stave Nenakonfigurované. Po spustení konzoly gpedit.msc sa odstránené priečinky automaticky vytvoria s predvolenými nastaveniami.
Obnovte miestne bezpečnostné zásady systému Windows
Miestne bezpečnostné politiky nakonfigurovaný pomocou samostatnej riadiacej konzoly secpol.msc. Ak sú problémy s počítačom spôsobené utiahnutím skrutiek v miestnych bezpečnostných zásadách a ak má používateľ stále prístup k právam na systém a správu, mali by ste sa najskôr pokúsiť obnoviť predvolené hodnoty miestnych bezpečnostných politík Windows. Na príkazovom riadku s oprávneniami správcu spustite tento príkaz:
- Pre systémy Windows 10, Windows 8.1 / 8 a Windows 7:
secedit / configure / cfg% windir% \ inf \ defltbase.inf / db defltbase.sdb / verbose - Pre Windows XP:
secedit / configure / cfg% windir% \ repair \ secsetup.inf / db secsetup.sdb / verbose
Potom sa počítač musí reštartovať.
Ak problémy s bezpečnostnými politikami pretrvávajú, skúste manuálne premenovať súbor kontrolného bodu v miestnej databáze bezpečnostných politík% windir% \ security \ database \ edb.chk
ren% windir% \ security \ database \ edb.chk edb_old.chk
Spustite príkaz:gpupdate / force
Reštartujte systém Windows pomocou príkazu na vypnutie:Vypnutie -f -r -t 0
Obnovte miestne politiky, keď sa systém Windows nemôže prihlásiť
V prípade, že lokálne prihlásenie nie je možné alebo príkazový riadok nie je možné spustiť (napríklad ak sú blokované pomocou Applocker a ďalšie programy). Súbory Registry.pol môžete odstrániť zavedením z inštalačného disku Windows alebo LiveCD.
- Spustenie z ľubovoľného inštalačného disku Windows a spustenie príkazového riadka (Shift + F10)
- Spustite príkaz:
diskpart
- Potom vypíšeme disky v systéme:
objem zoznamu
V tomto príklade písmeno priradené systémovej jednotke zodpovedá písmenu v systéme - C: \. V niektorých prípadoch to však nemusí byť vhodné. Preto musia byť nasledujúce príkazy vykonané v kontexte systémovej jednotky (napríklad D: \ alebo C: \)
- Dokončite prácu s diskovým oddielom napísaním:
výjazd
- Postupne spúšťajte nasledujúce príkazy:
RD / S / Q C: \ Windows \ System32 \ GroupPolicy
RD / S / Q C: \ Windows \ System32 \ GroupPolicyUsers
- Reštartujte počítač v normálnom režime a overte, či sú politiky miestnych skupín obnovené na predvolený stav.
Obnovte nastavenia GPO použitej domény
Niekoľko slov o zásadách skupín domén. V prípade, že je počítač zahrnutý do domény Active Directory, niektoré jeho nastavenia môže byť spravované správcom domény prostredníctvom GPO domény..
rada. V prípade, že potrebujete úplne blokovať uplatňovanie zásad domény na konkrétnom počítači, odporúčame článok Zakázať používanie domény GPO v systéme Windows 7..Súbory registry.pol všetkých použitých politík skupín domén sú uložené v adresári % windir% \ System32 \ GroupPolicy \ DataStore \ 0 \ SysVol \ contoso.com \ Policies. Každá politika je uložená v samostatnom adresári s identifikátorom GUID domény..
Tieto vetvy registra zodpovedajú týmto súborom registry.pol:
- HKLM \ Software \ Policies \ Microsoft
- HKCU \ Software \ Policies \ Microsoft
- HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Group Policy Objects
- HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies
História aplikovaných verzií doménových politík, ktoré sú uložené na klientovi, je vo vetvách:
- HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Group Policy \ History \
- HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Group Policy \ History \
Ak je počítač vylúčený z domény, súbory registra.pol politík domény v počítači sa odstránia, a preto sa do registra nenahrajú..
Ak potrebujete vynútiť odstránenie nastavení domény GPO, musíte vyčistiť adresár% windir% \ System32 \ GroupPolicy \ DataStore \ 0 \ SysVol \ contoso.com \ Policies (dôrazne sa odporúča zálohovať odstránené súbory a vetvy registra !!!) , Potom spustite príkaz:
gpupdate / force / boot
