Eno glavnih orodij za natančno nastavitev uporabniških in sistemskih nastavitev sistema Windows je skupinske politike - GPO (predmet skupinske politike). Na računalnik in njegove uporabnike lahko vplivajo pravilniki skupine domen (če je računalnik v domeni Active Directory) in lokalni (ti pravilniki so konfigurirani lokalno in veljajo samo za ta računalnik). Politike skupine so odličen način za konfiguriranje sistema, ki lahko poveča njegovo funkcionalnost, varnost in varnost. Vendar pa lahko za začetnike sistemskih skrbnikov, ki se odločijo eksperimentirati z varnostjo svojega računalnika, nepravilna nastavitev nekaterih lokalnih (ali domenskih) skupinskih nastavitev pravilnika skupin povzroči različne težave: od manjših težav, na primer nezmožnosti priklopa tiskalnika ali bliskovnega pogona USB, do popolne prepovedi namestitev ali zagon kakršnih koli programov (prek pravilnikov SPR ali AppLocker) ali celo prepoved lokalne ali oddaljene prijave.
V takih primerih, ko se administrator ne more lokalno prijaviti v sistem ali ne ve natančno, katera od uporabljenih nastavitev politike povzroča težavo, se morate zateči k nujnemu scenariju ponastavitve pravilnikov skupine na privzete nastavitve (privzeto). V stanju »čistega« računalnika ni nastavljena nobena od nastavitev politike skupine.
V tem članku bomo prikazali več načinov za ponastavitev nastavitev lokalnih in domenskih pravilnikov na privzete vrednosti. Ta priročnik je univerzalen in ga je mogoče uporabiti za ponastavitev nastavitev GPO v vseh podprtih različicah sistema Windows: od sistema Windows 7 do konca sistema Windows 10 ter za vse različice Windows Server 2008 / R2, 2012 / R2 in 2016.
Vsebina:
- Ponastavite lokalne pravilnike s konzolo gpedit.msc
- Prisilite ponastavitev lokalnih nastavitev GPO iz ukazne vrstice
- Ponastavite lokalna varnostna pravila Windows
- Ponastavite lokalne pravilnike, ko se Windows ne more prijaviti
- Ponastavitev nastavljenih GPO nastavitev domene
Ponastavite lokalne pravilnike s konzolo gpedit.msc
Ta metoda vključuje uporabo grafične konzole urejevalnika pravilnikov lokalne skupine. gpedit.msc da onemogočite vse konfigurirane politike. Lokalni grafični urejevalnik GPO je na voljo samo v izdajah Pro, Enterprise in Education..
Namig. V domačih izdajah sistema Windows manjka konzola za lokalno skupinsko politiko, vendar jo lahko še vedno zaženete. S spodnjimi povezavami lahko prenesete in namestite konzolo gpedit.msc za Windows 7 in Windows 10:- Urejevalnik skupinskih pravilnikov za Windows 7 Home
- Konzola Gpedit.msc za Windows 10 Home Edition
Zaženite snap-in gpedit.msc in pojdite na razdelek Vse nastavitve lokalne računalniške politike (Lokalna računalniška politika -> Konfiguracija računalnika -> Administrativne predloge / Lokalni računalniški pravilnik -> Konfiguracija računalnika -> Upravne predloge) Ta razdelek vsebuje seznam vseh pravilnikov, ki jih je mogoče konfigurirati v skrbniških predlogah. Razvrstite pravilnike po stolpcu Država (Status) in poiščite vse aktivne pravilnike (so v stanju) Invalidi / Izklopljeno ali Omogočeno / Vključeno) Onemogočite delovanje vseh ali samo določenih pravilnikov in jih postavite v stanje Ne konfiguriran (Ni nastavljeno).
Ista dejanja je treba izvesti v razdelku o uporabniških pravilnikih (Uporabnik KonfiguracijaKonfiguracija uporabnika) Tako lahko onemogočite učinek vseh nastavitev predlog upravnih GPO..
Namig. Seznam vseh uporabljenih nastavitev lokalnih in domenskih pravil v priročnem html poročilu je mogoče dobiti z vgrajenim pripomočkom GPResult z ukazom:gpresult / h c: \ distr \ gpreport2.htmlZgornji način ponastavitve skupinskih pravil v sistemu Windows je primeren za najbolj "preproste" primere. Nepravilne nastavitve za skupinske pravilnike lahko privedejo do resnejših težav, na primer: nezmožnost zagona vtičnika gpedit.msc ali vseh programov na splošno, izguba uporabnikov pravic sistemskih skrbnikov ali prepoved lokalnega prijavljanja v sistem. Te primere obravnavamo podrobneje..
Prisilite ponastavitev lokalnih nastavitev GPO iz ukazne vrstice
V tem razdelku je opisano, kako prisiliti ponastavitev vseh trenutnih nastavitev skupinske politike v sistemu Windows. Vendar bomo najprej opisali nekaj načel za delo z GPO v operacijskem sistemu Windows..
Arhitektura skupinske politike temelji na posebnih datotekah Registra.pol. Te datoteke shranjujejo nastavitve registra, ki ustrezajo določenim nastavitvam konfiguriranih pravilnikov skupine. Uporabniške in računalniške politike so shranjene v različnih datotekah. Registra.pol.
- Nastavitve konfiguracije računalnika (razdelek Konfiguracija računalnika) so shranjeni v% SystemRoot% \ System32 \ GroupPolicy \ Machine \ register.pol
- Uporabniške politike (razdelek Uporabniška konfiguracija) -% SystemRoot% \ System32 \ GroupPolicy \ Uporabnik \ register.pol
Ko se računalnik zažene, sistem uvozi vsebino datoteke \ Machine \ Registry.pol v podružnico registra HKEY_LOCAL_MACHINE (HKLM). Vsebina datoteke \ Uporabnik \ Registry.pol se uvozi v vejo HKEY_CURRENT_USER (HKCU), ko se uporabnik prijavi na.
Konzola urejevalnika pravilnikov lokalne skupine, ko se odpre, naloži vsebino teh datotek in jih poda v grafični obliki, priročni za uporabnika. Ko zaprete urejevalnik GPO, se spremembe, ki jih izvedete, zapišejo v datoteke Registry.pol. Po posodobitvi skupinskih pravilnikov (z uporabo ukaza gpupdate / force ali po načrtu) se nove nastavitve vnesejo v register.
Namig. Če želite spremeniti datoteke, uporabite samo urejevalnik pravilnikov skupin GPO. Datoteke Registry.pol ni priporočljivo ročno urejati ali uporabljati starejših različic urejevalnika skupinskih pravil!Če želite izbrisati vse trenutne nastavitve lokalnih skupinskih pravilnikov, morate v imeniku GroupPolicy izbrisati datoteke Registry.pol. To lahko storite z naslednjimi ukazi, ki se izvajajo v ukazni vrstici s skrbniškimi pravicami:
RD / S / Q "% WinDir% \ System32 \ GroupPolicyUsers" RD / S / Q "% WinDir% \ System32 \ GroupPolicy"
Po tem morate posodobiti nastavitve pravilnika v registru:
gpupdate / force
Ti ukazi ponastavijo vse nastavitve pravilnikov lokalne skupine v razdelkih Konfiguracija računalnika in Konfiguracija uporabnika..
Odprite konzolo urejevalnika gpedit.msc in preverite, ali so vse politike v stanju brez konfiguracije. Po zagonu konzole gpedit.msc bodo izbrisane mape samodejno ustvarjene s privzetimi nastavitvami.
Ponastavite lokalna varnostna pravila Windows
Lokalne varnostne politike konfiguriran z uporabo ločene upravljalne konzole secpol.msc. Če težave z računalnikom povzročajo zategovanje vijakov lokalnih varnostnih pravil in če ima uporabnik še vedno dostop do sistemskih in upravnih pravic, najprej poskusite ponastaviti lokalne varnostne pravilnike Windows na privzete vrednosti. To naredite v ukazni vrstici s skrbniškimi privilegiji:
- Za sisteme Windows 10, Windows 8.1 / 8 in Windows 7:
secedit / configure / cfg% windir% \ inf \ defltbase.inf / db defltbase.sdb / verbose - Za Windows XP:
secedit / configure / cfg% windir% \ repair \ secsetup.inf / db secsetup.sdb / verbose
Po tem se mora računalnik znova zagnati.
Če težave z varnostnimi politikami še vedno obstajajo, poskusite ročno preimenovati datoteko kontrolnih točk lokalne baze podatkov varnostnih pravil% windir% \ security \ database \ edb.chk
ren% windir% \ varnost \ baza podatkov \ edb.chk edb_old.chk
Zaženite ukaz:gpupdate / force
Znova zaženite Windows z ukazom za izklop:Izklop -f -r -t 0
Ponastavite lokalne pravilnike, ko se Windows ne more prijaviti
V primeru, da lokalna prijava ni mogoča ali ukazne vrstice ni mogoče zagnati (na primer, ko so z Applockerjem blokirani ta in drugi programi). Datoteke Registry.pol lahko izbrišete tako, da se zaženete z namestitvenega diska Windows ali katerega koli LiveCD-a.
- Zaženite se s katerega koli namestitvenega diska Windows in zaženite ukazni poziv (Shift + F10)
- Zaženite ukaz:
diskpart
- Nato naštejemo diske v sistemu:
obseg seznama
V tem primeru črka, dodeljena sistemskemu pogonu, ustreza črki v sistemu - C: \. Vendar v nekaterih primerih morda ni primerno. Zato je treba v okviru vašega sistemskega pogona zagnati naslednje ukaze (na primer D: \ ali C: \)
- Zaključite delo z diskovnim delom tako, da vtipkate:
izhod
- Zaporedite naslednje ukaze:
RD / S / Q C: \ Windows \ System32 \ GroupPolicy
RD / S / Q C: \ Windows \ System32 \ GroupPolicyUsers
- Znova zaženite računalnik v običajnem načinu in preverite, ali so pravila lokalnih skupin ponastavljena na privzeto stanje.
Ponastavitev nastavljenih GPO nastavitev domene
Nekaj besed o pravilnikih skupin domen. V primeru, da je računalnik vključen v domeno Active Directory, lahko nekatere njegove nastavitve nadzoruje domena prek domene GPO.
Namig. V primeru, da morate v določenem računalniku v celoti blokirati uporabo pravilnikov o domenah, priporočamo članek Onemogočanje uporabe domenskih skupinskih izdelkov v sistemu Windows 7.Datoteke register.pol vseh uporabljenih pravil skupine skupin domen so shranjene v imeniku % windir% \ System32 \ GroupPolicy \ DataStore \ 0 \ SysVol \ contoso.com \ Politike. Vsak pravilnik je shranjen v ločenem imeniku z GUID pravilnika o domeni..
Te datoteke registra.pol ustrezajo naslednjim podružnicam registra:
- HKLM \ Programska oprema \ Politike \ Microsoft
- HKCU \ Programska oprema \ Politike \ Microsoft
- Predmeti HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Group Policy
- HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Politike
Zgodovina uporabljenih različic pravilnikov domen, ki so shranjene na odjemalcu, je v vejah:
- HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Skupinska politika \ Zgodovina \
- HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Skupinska politika \ Zgodovina \
Ko je računalnik izključen iz domene, se datoteke registra.pol pravilnikov domen v računalniku izbrišejo in se zato ne naložijo v register.
Če morate vsiliti odstranitev nastavitev GPO domene, morate očistiti imenik% windir% \ System32 \ GroupPolicy \ DataStore \ 0 \ SysVol \ contoso.com \ Policies in izbrisati določene veje registra (močno priporočamo, da varnostno kopirate izbrisane datoteke in veje registra !!!) . Nato zaženite ukaz:
gpupdate / force / škorenj
