Групповые политики (GPO, Group Policy Objects) в Windows — это мощный инструмент для настройки параметров операционной системы и пользовательской среды. Они могут быть локальными (настраиваются на отдельном компьютере) или доменными (применяются через Active Directory). Однако ошибки в настройке GPO, особенно в параметрах безопасности, могут привести к проблемам: от блокировки приложений до невозможности входа в систему. В этой статье мы подробно разберем, как сбросить настройки групповых политик до значений по умолчанию, используя графические консоли, командную строку, загрузочные носители или утилиты для доменных политик.
Сброс локальных групповых политик через редактор gpedit.msc
Для управления локальными групповыми политиками в Windows используется консоль Редактора локальной групповой политики (gpedit.msc), доступная в редакциях Pro, Enterprise и Education версий Windows 10 и Windows 11.
Примечание: В редакции Home консоль gpedit.msc отсутствует, но её можно установить с помощью сторонних утилит.
Чтобы сбросить настройки:
1. Откройте консоль, выполнив команду gpedit.msc через меню «Выполнить» (Win + R).
2. Перейдите в раздел Политика «Локальный компьютер» -> Конфигурация компьютера -> Административные шаблоны -> Все параметры.
3. Отсортируйте политики по столбцу «Состояние» и найдите активные политики (включены или отключены).
4. Для каждой активной политики установите значение Не задано.
Аналогично проверьте и сбросьте настройки в разделе Конфигурация пользователя.
Совет: Перед изменением создайте резервную копию настроек с помощью утилиты LGPO.exe (входит в состав Microsoft Security Compliance Toolkit). Для анализа применённых политик сгенерируйте отчёт командой:
gpresult /h C:\Reports\gpreport.html
Этот метод подходит для точечного сброса, но если доступ к gpedit.msc заблокирован или система нестабильна, используйте другие способы.
Сброс локальных групповых политик через командную строку
Настройки локальных групповых политик хранятся в файлах Registry.pol в каталоге %SystemRoot%\System32\GroupPolicy:
— Machine\Registry.pol — настройки конфигурации компьютера (импортируются в ветку реестра HKEY_LOCAL_MACHINE при загрузке).
— User\Registry.pol — пользовательские настройки (импортируются в HKEY_CURRENT_USER при входе).
Для сброса всех локальных GPO удалите эти файлы:
1. Откройте командную строку с правами администратора.
2. Выполните команды:
RMDIR /S /Q "%WinDir%\System32\GroupPolicyUsers"
RMDIR /S /Q "%WinDir%\System32\GroupPolicy"
3. Обновите политики командой:
gpupdate /force
4. Проверьте консоль gpedit.msc — все параметры должны быть в состоянии Не задано.
Примечание: Каталоги GroupPolicy и GroupPolicyUsers будут автоматически созданы заново при запуске gpedit.msc.
Сброс локальных политик безопасности
Локальные политики безопасности настраиваются через консоль secpol.msc. Для их сброса до значений по умолчанию:
1. Откройте командную строку с правами администратора.
2. Выполните команду:
secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb /verbose
Эта команда применяет шаблон безопасности из файла defltbase.inf, сбрасывая параметры в ветке реестра HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System.
3. Перезагрузите компьютер.
Если сброс не удался, переименуйте файл контрольной точки базы безопасности:
ren %windir%\security\database\edb.chk edb_old.chk
4. Обновите политики:
gpupdate /force
5. Перезагрузите систему командой:
shutdown /r /f /t 0
Сброс локальных GPO при невозможности входа в Windows
Если из-за некорректных GPO вход в систему невозможен или заблокированы инструменты (например, Командная строка через AppLocker), выполните сброс с загрузочного носителя:
1. Загрузитесь с установочного диска Windows или LiveCD.
2. Откройте командную строку, нажав Shift + F10.
3. Запустите утилиту diskpart:
diskpart
4. Выведите список дисков:
list volume
Определите букву системного диска (обычно C:, но может отличаться).
5. Завершите работу с diskpart:
exit
6. Удалите каталоги GPO:
rd /S /Q C:\Windows\System32\GroupPolicy
rd /S /Q C:\Windows\System32\GroupPolicyUsers
7. Перезагрузите компьютер и проверьте настройки в gpedit.msc.
Сброс кеша доменных групповых политик
Если компьютер находится в домене Active Directory, на него могут применяться доменные GPO, кэшируемые в каталоге:
%windir%\System32\GroupPolicy\DataStore\0\SysVol\contoso.com\Policies
Каждая политика хранится в папке с уникальным GUID. При выходе компьютера из домена кеш обычно очищается, но иногда доменные политики продолжают действовать.
Для их сброса:
1. Создайте и выполните BAT-скрипт с правами администратора:
DEL /S /F /Q "%ALLUSERSPROFILE%\Microsoft\Group Policy\History\*.*"
REG DELETE HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy /f
REG DELETE HKLM\Software\Policies\Microsoft /f
REG DELETE HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies /f
REG DELETE HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies /f
REG DELETE HKCU\Software\Policies\Microsoft /f
REG DELETE "HKCU\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects" /f
DEL /F /Q C:\WINDOWS\security\Database\secedit.sdb
klist purge
gpupdate /force
2. Проверьте каталог C:\ProgramData\Microsoft\Group Policy\History. Если в политиках включена опция Remove this item if it is no longer applied, кеш может сохранять старые настройки.
Восстановление стандартных доменных политик
В домене Active Directory существуют две политики по умолчанию:
— Default Domain Policy (GUID: {31B2F340-016D-11D2-945F-00C04FB984F9})
— Default Domain Controller Policy (GUID: {6AC1786C-016F-11D2-945F-00C04FB984F9})
Microsoft рекомендует не изменять эти политики напрямую, а создавать их копии через консоль gpmc.msc.
Для сброса стандартных политик используйте утилиту dcgpofix на контроллере домена:
1. Откройте командную строку с правами администратора домена.
2. Выполните команду для сброса Default Domain Policy:
dcgpofix /target:Domain
3. Для сброса Default Domain Controller Policy:
dcgpofix /target:DC
4. Для обеих политик одновременно:
dcgpofix /target:both
Если возникает ошибка несоответствия версии схемы Active Directory, добавьте параметр /ignoreschema:
dcgpofix /ignoreschema /target:Domain
Сброс групповых политик в Windows позволяет устранить проблемы, вызванные некорректными настройками. Для локальных GPO используйте gpedit.msc, командную строку или загрузочный носитель. Для политик безопасности применяйте secedit. В доменной среде очищайте кеш GPO или восстанавливайте стандартные политики с помощью dcgpofix. Регулярно создавайте резервные копии и проверяйте настройки, чтобы избежать блокировки системы.
