Jedan od glavnih alata za fino podešavanje postavki korisnika i sustava Windows je grupna pravila - GPO (objekt grupne politike). Na samo računalo i njegove korisnike mogu utjecati pravila grupe domena (ako je računalo u domeni Active Directory) i lokalna (ta su pravila konfigurirana lokalno i odnose se samo na ovo računalo). Politike grupe odličan su način za konfiguriranje sustava, u mogućnosti povećati njegovu funkcionalnost, sigurnost i sigurnost. Međutim, za administratore početnika sustava koji odluče eksperimentirati sa sigurnošću svog računala, pogrešna konfiguracija nekih postavki lokalne politike (ili domene) može dovesti do različitih problema: od manjih problema, poput nemogućnosti spajanja pisača ili USB flash pogona, do potpune zabrane instaliranje ili pokretanje bilo koje aplikacije (putem SPR ili AppLocker pravila) ili čak zabrana lokalne ili udaljene prijave.
U takvim slučajevima, kada se administrator ne može lokalno prijaviti u sustav ili ne zna točno koja od primijenjenih postavki politike uzrokuje problem, morate pribjeći hitnom scenariju vraćanja grupnih pravila na zadane postavke (prema zadanim postavkama). U stanju "čistog" računala nije postavljena nijedna postavka pravila grupe.
U ovom ćemo članku pokazati nekoliko metoda za resetiranje postavki lokalne politike i pravila grupe domena na zadane vrijednosti. Ovaj je priručnik univerzalan i može se koristiti za resetiranje postavki GPO-a na svim podržanim verzijama sustava Windows: s Windows 7 na Windows 10, kao i za sve verzije sustava Windows Server 2008 / R2, 2012 / R2 i 2016.
sadržaj:
- Ponovno postavite lokalna pravila pomoću gpedit.msc konzole
- Prisilite resetiranje lokalnih GPO postavki iz naredbenog retka
- Poništite sigurnosna pravila lokalnog sustava Windows
- Ponovno postavljanje lokalnih pravila kada se Windows ne može prijaviti
- Poništite postavke primijenjene domene GPO
Ponovno postavite lokalna pravila pomoću gpedit.msc konzole
Ova metoda uključuje korištenje grafičke konzole uređivača pravila lokalne grupe. gpedit.MSC da biste onemogućili sva konfigurirana pravila. Lokalni grafički uređivač GPO dostupan je samo u izdanjima Pro, Enterprise i Education..
vijeće. U kućnim izdanjima sustava Windows nedostaje konzola za uređivanje lokalnih pravila politike, ali svejedno je možete pokrenuti. Pomoću donjih veza možete preuzeti i instalirati gpedit.msc konzolu za Windows 7 i Windows 10:- Uređivač pravila grupe za Windows 7 Home
- Gpedit.msc konzola za Windows 10 Home Edition
Pokrenite snap-in gpedit.msc i idite na odjeljak Sve postavke lokalna računalna pravila (Lokalna računalna politika -> Konfiguracija računala -> Administrativni predlošci / Lokalna računalna politika -> Konfiguracija računala -> Administrativni predlošci). Ovaj odjeljak sadrži popis svih pravila koja se mogu konfigurirati u administrativnim predlošcima. Poredaj pravila po stupcu stanje (Status) i pronađite sva aktivna pravila (nalaze se u stanju onesposobljen / Isključeno ili Omogućeno / Uključeno). Onemogućite djelovanje svih ili samo određenih pravila i dovedite ih u stanje nije konfiguriran (Nije postavljeno).
Iste radnje treba izvesti u odjeljku s pravilima o korisnicima (korisnik konfiguracija/ Konfiguracija korisnika). Na taj način možete onemogućiti učinak svih postavki predložaka administrativnog GPO-a..
vijeće. Popis svih primijenjenih postavki lokalne politike i pravila domene u prikladnom html izvješću može se dobiti pomoću ugrađenog uslužnog programa GPResult s naredbom:gpresult / h c: \ distr \ gpreport2.html
Gornja metoda resetiranja grupnih pravila u sustavu Windows pogodna je za većinu “jednostavnih” slučajeva. Neispravne postavke za grupna pravila mogu dovesti do ozbiljnijih problema, na primjer: nemogućnost pokretanja snap-ina gpedit.msc ili svih programa općenito, gubitak korisničkih prava od strane administratora sustava ili zabrana lokalne prijave u sustav. Ove slučajeve razmatramo detaljnije..
Prisilite resetiranje lokalnih GPO postavki iz naredbenog retka
U ovom se odjeljku opisuje kako prisiliti resetiranje svih trenutnih postavki grupe pravila u sustavu Windows. Međutim, prvo ćemo opisati neke principe za rad s GPO-ovima u sustavu Windows..
Arhitektura grupnih politika na temelju posebnih datoteka Registar.pol. Ove datoteke pohranjuju postavke registra koje odgovaraju određenim postavkama konfiguriranih pravila o grupi. Pravila o korisnicima i računalima pohranjuju se u različitim datotekama. Registar.pol.
- Postavke konfiguracije računala (odjeljak Konfiguracija računala) pohranjuju se u% SystemRoot% \ System32 \ GroupPolicy \ Machine \ register.pol
- Korisnička pravila (odjeljak Korisnička konfiguracija) -% SystemRoot% \ System32 \ GroupPolicy \ Korisnik \ register.pol
Kad se računalo pokrene, sustav uvozi sadržaj datoteke \ Machine \ Registry.pol u podružnicu registra HKEY_LOCAL_MACHINE (HKLM). Sadržaj datoteke \ Korisnik \ Registry.pol uvozi se u ogranak HKEY_CURRENT_USER (HKCU) kada se korisnik prijavi na.
Konzola uređivača pravila lokalne grupe, kada se otvori, učitava sadržaj tih datoteka i pruža ih u grafičkom obliku pogodnom za korisnika. Kad zatvorite GPO editor, promjene koje napravite zapisane su u datoteke Registry.pol. Nakon ažuriranja grupnih pravila (pomoću naredbe gpupdate / force ili prema rasporedu), nove postavke ulaze u registar.
vijeće. Za izmjenu datoteka koristite samo uređivač GPO grupe pravila. Ne preporučuje se ručno uređivanje Registry.pol datoteka ili korištenje starijih verzija uređivača grupnih politika!Da biste izbrisali sve trenutne postavke pravila lokalnih grupa, morate izbrisati datoteke Registry.pol u direktoriju GroupPolicy. To možete učiniti pomoću sljedećih naredbi koje se izvode u naredbenoj liniji s pravima administratora:
RD / S / Q "% WinDir% \ System32 \ GroupPolicyUsers" RD / S / Q "% WinDir% \ System32 \ GroupPolicy"
Nakon toga morate ažurirati postavke pravila u registru:
gpupdate / force
Ove naredbe resetirat će sve postavke pravila lokalnih grupa u odjeljcima Konfiguracija računala i Konfiguracija korisnika..
Otvorite konzolu urednika gpedit.msc i provjerite jesu li sva pravila u stanju koje nije konfigurirano. Nakon pokretanja konzole gpedit.msc, izbrisane mape automatski će se stvoriti sa zadanim postavkama.
Poništite sigurnosna pravila lokalnog sustava Windows
Lokalna sigurnosna pravila konfigurirano pomoću zasebne upravljačke konzole secpol.msc. Ako su problemi s računalom nastali zatezanjem vijaka u lokalnim sigurnosnim pravilima i ako korisnik još uvijek ima pristup sustavu i administrativnim pravima, prvo biste trebali pokušati resetirati Windows sigurnosna pravila lokalne mreže na zadane vrijednosti. Da biste to učinili, u naredbenom retku s povlasticama administratora pokrenite:
- Za Windows 10, Windows 8.1 / 8 i Windows 7:
secedit / configure / cfg% windir% \ inf \ defltbase.inf / db defltbase.sdb / verbose
- Za Windows XP:
secedit / configure / cfg% windir% \ repair \ secsetup.inf / db secsetup.sdb / verbose
Nakon čega se računalo mora ponovno pokrenuti.
Ako se problemi sa sigurnosnim pravilima i dalje pojavljuju, pokušajte ručno preimenovati datoteku kontrolne točke lokalne baze podataka sigurnosnih politika% windir% \ security \ database \ edb.chk
ren% windir% \ sigurnost \ baza podataka \ edb.chk edb_old.chk
Pokrenite naredbu:gpupdate / force
Ponovo pokrenite Windows pomoću naredbe isključivanja:Isključivanje -f -r -t 0
Ponovno postavljanje lokalnih pravila kada se Windows ne može prijaviti
U slučaju da lokalna prijava nije moguća ili se naredbeni redak ne može pokrenuti (na primjer, kada su blokirani pomoću Applocker-a i drugi programi). Datoteke Registry.pol možete izbrisati dizanjem sustava s instalacijskog diska sustava Windows ili bilo kojeg LiveCD-a.
- Pokrenite se s bilo kojeg Windows instalacijskog diska i pokrenite naredbeni redak (Shift + F10)
- Pokrenite naredbu:
diskpart
- Zatim popisujemo diskove u sustavu:
svezak lista
U ovom primjeru slovo dodijeljeno pogonu sustava odgovara slovu u sustavu - C: \. Međutim, u nekim slučajevima to možda i nije prikladno. Stoga se sljedeće naredbe moraju izvesti u kontekstu pogona vašeg sustava (na primjer, D: \ ili C: \)
- Završite rad s diskpartom tako da upišete:
izlaz
- Pokrenite sljedeće naredbe uzastopno:
RD / S / Q C: \ Windows \ System32 \ GroupPolicy
RD / S / Q C: \ Windows \ System32 \ GroupPolicyUsers
- Ponovo pokrenite računalo u uobičajenom načinu i provjerite je li pravila lokalne grupe vraćena na zadano stanje.
Poništite postavke primijenjene domene GPO
Nekoliko riječi o pravilima grupe domena. U slučaju da je računalo uključeno u domenu Active Directory, administrator njegovih domena može kontrolirati neke njegove postavke putem GPO-ova domena.
vijeće. U slučaju da morate potpuno blokirati primjenu pravila o domenama na određenom računalu, preporučujemo članak Onemogući upotrebu GPO-a domena u sustavu Windows 7.Datoteke register.pol svih primijenjenih pravila grupe domena pohranjuju se u direktorij % windir% \ System32 \ GroupPolicy \ DataStore \ 0 \ SysVol \ contoso.com \ Pravila. Svaka pravila pohranjuju se u zasebnu mapu s GUID-om pravila o domeni..
Sljedeće grane registra odgovaraju ovim datotekama register.pol:
- HKLM \ Software \ Politike \ Microsoft
- HKCU \ Softver \ Politike \ Microsoft
- HKCU \ Softver \ Microsoft \ Windows \ CurrentVersion \ Objekti skupnih pravila
- HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies
Povijest primijenjenih verzija pravila domena koje se spremaju na klijentu nalazi se u granama:
- HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Grupna politika \ Povijest \
- HKCU \ Softver \ Microsoft \ Windows \ CurrentVersion \ Grupna politika \ Povijest \
Kad je računalo isključeno iz domene, datoteke register.pol pravila domene na računalu se brišu i, shodno tome, ne učitavaju u registar.
Ako trebate ukloniti postavke GPO domene, morate očistiti direktorij% windir% \ System32 \ GroupPolicy \ DataStore \ 0 \ SysVol \ contoso.com \ Policies i izbrisati navedene grane registra (toplo se preporučuje sigurnosno kopiranje izbrisanih datoteka i ogranaka registra !!!) , Zatim pokrenite naredbu:
gpupdate / force / boot