Jedním z hlavních nástrojů pro jemné doladění nastavení uživatele a systému Windows je skupinové zásady - GPO (Object Group Object Object). Samotný počítač a jeho uživatelé mohou být ovlivněni zásadami skupin domén (pokud je počítač v doméně Active Directory) a místními (tyto zásady jsou nakonfigurovány místně a vztahují se pouze na tento počítač). Skupinová politika je skvělý způsob, jak nakonfigurovat systém a zvýšit jeho funkčnost, zabezpečení a bezpečnost. Pro začínající správce systému, kteří se rozhodnou experimentovat se zabezpečením svého počítače, však nesprávné nastavení některých nastavení skupinových (místních nebo doménových) skupin může vést k různým problémům: od drobných problémů, jako je nemožnost připojit tiskárnu nebo USB flash disk, až po úplný zákaz instalace nebo spouštění jakýchkoli aplikací (prostřednictvím zásad SPR nebo AppLocker) nebo dokonce zákazu místního nebo vzdáleného přihlášení.
V takových případech, kdy se administrátor nemůže přihlásit do systému lokálně nebo přesně neví, které z použitých nastavení zásad způsobuje problém, je nutné uchýlit se k nouzovému scénáři resetování skupinových zásad na výchozí nastavení (ve výchozím nastavení). Ve stavu „čistý“ počítače není nastaveno žádné nastavení zásad skupiny.
V tomto článku si ukážeme několik metod pro resetování nastavení zásad místních a skupinových domén na výchozí hodnoty. Tato příručka je univerzální a lze ji použít k obnovení nastavení GPO ve všech podporovaných verzích Windows: počínaje Windows 7 a končící Windows 10, stejně jako pro všechny verze Windows Server 2008 / R2, 2012 / R2 a 2016.
Obsah:
- Obnovte místní zásady pomocí konzoly gpedit.msc
- Vynutit reset místních nastavení GPO z příkazového řádku
- Obnovte místní zásady zabezpečení systému Windows
- Pokud nelze systém Windows přihlásit, obnovte místní zásady
- Obnovte nastavení GPO použité domény
Obnovte místní zásady pomocí konzoly gpedit.msc
Tato metoda zahrnuje použití grafické konzoly editoru místních skupinových zásad. gpedit.msc zakázat všechny nakonfigurované zásady. Místní grafický editor GPO je k dispozici pouze v edicích Pro, Enterprise a Education..
Tip. V domácích vydáních systému Windows chybí konzola Editoru místních zásad skupiny, ale stále ji můžete spustit. Pomocí níže uvedených odkazů si můžete stáhnout a nainstalovat konzolu gpedit.msc pro Windows 7 a Windows 10:- Editor zásad skupiny pro Windows 7 Home
- Konzola Gpedit.msc pro Windows 10 Home Edition
Spusťte modul gpedit.msc a přejděte do sekce Všechna nastavení zásady místního počítače (Zásady místního počítače -> Konfigurace počítače -> Šablony pro správu / Zásady místního počítače -> Konfigurace počítače -> Šablony pro správu) Tato část obsahuje seznam všech zásad, které lze konfigurovat v šablonách pro správu. Zásady řazení podle sloupce Stát (Stav) a najděte všechny aktivní zásady (jsou ve stavu) Zakázáno / Vypnuto nebo Povoleno / Zahrnuto) Zakažte činnost všech nebo pouze určitých politik a uveďte je do stavu Ne nakonfigurováno (Není nastaveno).
Stejné akce by se měly provádět v sekci uživatelských zásad (Uživatel Konfigurace/ Konfigurace uživatele) Můžete tak zakázat účinek všech nastavení šablon správy GPO pro správu..
Tip. Seznam všech použitých nastavení místních a doménových zásad ve vhodné zprávě html lze získat pomocí vestavěného obslužného programu GPResult s příkazem:gpresult / h c: \ distr \ gpreport2.html
Výše uvedená metoda resetování skupinových zásad ve Windows je vhodná pro „nejjednodušší“ případy. Nesprávné nastavení skupinových zásad může vést k vážnějším problémům, například: neschopnost spustit modul gpedit.msc nebo všechny programy obecně, ztráta uživatelských práv správce systému nebo zákaz lokálního přihlášení do systému. Tyto případy zvažujeme podrobněji..
Vynutit reset místních nastavení GPO z příkazového řádku
Tato část popisuje, jak vynutit reset všech aktuálních nastavení zásad skupiny v systému Windows. Nejprve však popíšeme některé principy práce s GPO v systému Windows..
Architektura skupinových zásad založená na speciálních souborech Registr.pol. Tyto soubory ukládají nastavení registru, které odpovídají určitým nastavením nakonfigurovaných skupinových zásad. Uživatelské a počítačové zásady jsou uloženy v různých souborech. Registr.pol.
- Nastavení konfigurace počítače (část Konfigurace počítače) jsou uloženy v% SystemRoot% \ System32 \ GroupPolicy \ Machine \ registry.pol
- Uživatelské zásady (část Konfigurace uživatele) -% SystemRoot% \ System32 \ GroupPolicy \ User \ registry.pol
Při spuštění počítače systém importuje obsah souboru \ Machine \ Registry.pol do větve registru HKEY_LOCAL_MACHINE (HKLM). Obsah souboru \ User \ Registry.pol je importován do větve HKEY_CURRENT_USER (HKCU), když se uživatel přihlásí.
Konzola editoru místních skupinových zásad po otevření načte obsah těchto souborů a poskytne je v grafické podobě vhodné pro uživatele. Když zavřete editor GPO, provedené změny se zapíší do souborů Registry.pol. Po aktualizaci zásad skupiny (pomocí příkazu gpupdate / force nebo podle plánu) se nová nastavení dostanou do registru.
Tip. Chcete-li provést změny v souborech, měli byste použít pouze Editor zásad skupiny GPO. Nedoporučuje se upravovat soubory Registry.pol ručně nebo pomocí starších verzí Editoru zásad skupiny!Chcete-li odstranit všechna aktuální nastavení zásad místní skupiny, musíte odstranit soubory Registry.pol v adresáři GroupPolicy. To lze provést pomocí následujících příkazů spuštěných na příkazovém řádku s právy správce:
RD / S / Q "% WinDir% \ System32 \ GroupPolicyUsers" RD / S / Q "% WinDir% \ System32 \ GroupPolicy"
Poté musíte aktualizovat nastavení zásad v registru:
gpupdate / force
Tyto příkazy resetují všechna nastavení zásad místních skupin v částech Konfigurace počítače a Konfigurace uživatele..
Otevřete konzolu editoru gpedit.msc a ověřte, že všechny zásady jsou ve stavu Nenakonfigurováno. Po spuštění konzoly gpedit.msc se odstraněné složky vytvoří automaticky s výchozím nastavením.
Obnovte místní zásady zabezpečení systému Windows
Místní bezpečnostní zásady nakonfigurován pomocí samostatné konzoly pro správu secpol.msc. Pokud jsou problémy s počítačem způsobeny utažením šroubů v místních zásadách zabezpečení a pokud má uživatel stále přístup k systémovým a správním právům, měli byste nejprve zkusit obnovit místní zásady zabezpečení systému Windows na výchozí hodnoty. Chcete-li to provést, spusťte na příkazovém řádku s oprávněními správce:
- Pro Windows 10, Windows 8.1 / 8 a Windows 7:
secedit / configure / cfg% windir% \ inf \ defltbase.inf / db defltbase.sdb / verbose
- Pro Windows XP:
secedit / configure / cfg% windir% \ repair \ secsetup.inf / db secsetup.sdb / verbose
Poté je třeba počítač restartovat.
Pokud problémy s bezpečnostními zásadami přetrvávají, zkuste ručně přejmenovat soubor kontrolního bodu v místní databázi zásad zabezpečení% windir% \ security \ database \ edb.chk
ren% windir% \ security \ database \ edb.chk edb_old.chk
Spusťte příkaz:gpupdate / force
Restartujte Windows pomocí příkazu vypnutí:Vypnutí -f -r -t 0
Pokud nelze systém Windows přihlásit, obnovte místní zásady
V případě, že lokální přihlášení není možné nebo nelze spustit příkazový řádek (například když jsou blokovány pomocí programu Applocker a další programy). Soubory Registry.pol můžete odstranit spuštěním z instalačního disku Windows nebo z jakéhokoli LiveCD.
- Spusťte z jakéhokoli instalačního disku Windows a spusťte příkazový řádek (Shift + F10)
- Spusťte příkaz:
diskpart
- Pak vypíšeme disky v systému:
objem seznamu
V tomto příkladu odpovídá písmeno přiřazené systémové jednotce písmenu v systému - C: \. V některých případech to však nemusí být vhodné. Proto musí být následující příkazy provedeny v kontextu vaší systémové jednotky (například D: \ nebo C: \)
- Dokončete práci s diskovým oddílem zadáním:
exit
- Postupně spusťte následující příkazy:
RD / S / Q C: \ Windows \ System32 \ GroupPolicy
RD / S / Q C: \ Windows \ System32 \ GroupPolicyUsers
- Restartujte počítač v normálním režimu a ověřte, zda jsou zásady místní skupiny obnoveny do výchozího stavu.
Obnovte nastavení GPO použité domény
Pár slov o zásadách skupin domén. V případě, že je počítač zahrnut do domény Active Directory, může některá jeho nastavení ovládat správce domény prostřednictvím GPO domény.
Tip. V případě, že potřebujete zcela zablokovat aplikaci zásad domény na konkrétním počítači, doporučujeme článek Zakázat používání GPO domény v systému Windows 7.Soubory registry.pol všech použitých zásad skupiny domén jsou uloženy v adresáři % windir% \ System32 \ GroupPolicy \ DataStore \ 0 \ SysVol \ contoso.com \ Policies. Každá zásada je uložena v samostatném adresáři s identifikátorem GUID domény..
Následující větve registru odpovídají těmto souborům registry.pol:
- HKLM \ Software \ Policies \ Microsoft
- HKCU \ Software \ Policies \ Microsoft
- HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Object Policy Objects
- HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies
Historie použitých verzí zásad domény uložených v klientovi je ve větvích:
- HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Group Policy \ History \
- HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Zásady skupiny \ Historie \
Pokud je počítač vyloučen z domény, jsou odstraněny soubory registru.pol zásad domény v počítači, a proto nejsou do registru načteny..
Pokud potřebujete vynutit odstranění nastavení GPO domény, musíte vyčistit adresář% windir% \ System32 \ GroupPolicy \ DataStore \ 0 \ SysVol \ contoso.com \ Policies a odstranit určené větve registru (důrazně doporučujeme zálohovat smazané soubory a větve registru !!!) . Poté spusťte příkaz:
gpupdate / force / boot