Как сбросить локальные политики по умолчанию windows 10

Групповые политики (GPO, Group Policy Object) это удобный инструмент тонкой настройки окружения пользователей и операционной системы Windows. На компьютер и пользователей могут применяться доменные групповые политики (если компьютер состоит в домене Active Directory) и локальные (эти политики настраиваются локально на компьютере). Из-за некорректной настройки некоторых параметров GPO (чаще всего связанных с безопасностью), вы можете столкнуться с различными проблемами с запуском приложений или инструментов, ошибками в работе операционной системы (вплоть до невозможности локального входа в Windows) и т.д. Если вы не знаете, какой именно настроенных параметр GPO вызывает проблему, вы можете сбросить настройки групповых политик Windows к значениям по-умолчанию.

Сбросить отдельные параметры локальной групповой политики с помощью редактора gpedit.msc

Для настройки параметров политик на локальном компьютере используется графическая консоль редактора локальной групповой политики (gpedit.msc). Эта консоль доступна в только в Pro, Enterprise и Education редакциях Windows 10 и 11.

Запустите оснастку
gpedit.msc
и перейдите в раздел All Settings локальных политик компьютера (Local Computer Policy -> Computer Configuration -> Administrative templates / Политика “Локальный компьютер” -> Конфигурация компьютера -> Административные шаблоны). В этом разделе содержится список всех политик, доступных к настройке в установленных административных (admx) шаблонах GPO. Отсортируйте политики по столбцу State (Состояние) и найдите все активные политики (находятся в состоянии Disabled / Отключено или Enabled / Включено).

Чтобы отключить действие параметра групповой, нужно изменить его состояние на Not configured (Не задана).

Аналогично сбросьте настройки параметров в пользовательском разделе локальных политик (User Configuration/ Конфигурация пользователя).

Это самый простой способ найти и отменить применённые настройки локальных параметров групповой политики в Windows. Однако некорректные настройки GPO групповых политик могут привести к невозможности запустить оснастку gpedit.msc (или вообще любые программы), потере прав локального администратора на компьютере, запрета на локальный вход в систему, и т.д.. В таких случаях нужно сбросить все настройки GPO в локальных файлах на компьютере.

Сброс всех настроек локальной GPO из командной строки

Windows хранит настройки локальных групповых политик в файлах Registry.pol. Пользовательские и компьютерные настройки политик хранятся в разных файлах.

• Настройки конфигурации компьютера (раздел Computer Configuration) хранятся в
  %SystemRoot%\System32\GroupPolicy\Machine\registry.pol
• Пользовательские политики (раздел User Configuration) —
  %SystemRoot%\System32\GroupPolicy\User\registry.pol

Когда вы включаете определенные параметры в локальной GPO из консоли gpedit.msc, все изменения сохраняются в файлы Registry.pol. После обновления групповых политик (командой
gpupdate /force
или по-расписанию), новые настройки импортируются в реестр и применяются к компьютеру.

Таким образом, чтобы удалить текущие настройки локальной групповой политики, нужно удалить файлы Registry.pol в каталоге GroupPolicy. Вы можете сбросить текущие политики из командной строки с правами администратора:

RMDIR /S /Q "%WinDir%\System32\GroupPolicyUsers"
RMDIR /S /Q "%WinDir%\System32\GroupPolicy"

Обновите настройки групповых политик, чтобы сбросить старые настройки в реестре:
gpupdate /force

Данные команды сбросят все настройки локальной GPO в секциях Computer Configuration и User Configuration.

Откройте консоль редактора
gpedit.msc
и убедитесь, что все политики перешли в состояние “Не задано”/”Not configured”. После запуска консоли gpedit.msc каталоги GroupPolicyUsers и GroupPolicy будут пересозданы автоматически

Сброс локальных политик безопасности Windows

Локальные политики безопасности (local security policies) настраиваются с помощью отдельной консоли
secpol.msc
. Если вы хотите сбросить настройки локальных политик безопасности Windows к значениям по-умолчанию, выполните команду:

secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb /verbose

Файл
%windir%\inf\defltbase.inf
содержит шаблон дефолтных локальных настроек безопасности Windows.

Перезагрузите компьютер. Это должно сбросить настройки безопасности Windows, которые хранятся в ветке реестра HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System

Если предыдущий способ не помог, попробуйте вручную переименовать файл контрольной точки базы локальных политик безопасности %windir%\security\database\edb.chk:

ren %windir%\security\database\edb.chk edb_old.chk


Обновите настройки политик:
gpupdate /force

Перезагрузите Windows с помощью команды shutdown:
Shutdown –f –r –t 0

Как сбросить настройки локальных GPO, если вы не можете войти в Windows?

Если локальный вход в Windows невозможен или не удается запустить командную строку (например, при блокировке ее и других программ с помощью Applocker), вы можете удалить файлы Registry.pol, загрузившись с установочного диска Windows (загрузочной USB флешки) или любого LiveCD.

1. Загрузитес компьютер с любого установочного диска/флешки с Windows и запустите командную строку (
   Shift+F10
   ).
2. Выполните команду:
   diskpart
3. Затем выведите список подключенных к компьютеру дисков:
   list volume
   
   В данном примере буква, присвоенная системному диску, соответствует букве в системе – C:\. В некоторых случаях она может не соответствовать. Поэтому следующие команды необходимо выполнять в контексте вашего системного диска (например, D:\ или C:\)
4. Завершите работу с diskpart:
   exit
5. Выполните следующие команды:
   rd /S /Q C:\Windows\System32\GroupPolicy

rd /S /Q C:\Windows\System32\GroupPolicyUsers
6. Перезагрузите компьютер в обычном режиме и проверьте, что все параметры локальной групповой политики сброшены в состояние по-умолчанию.

Сброс настроек доменных GPO в Windows

Если компьютер включен в домен Active Directory, его настройки могут быть заданы задаются доменными GPO.

Файлы registry.pol всех применённых доменных GPO кэшируются в каталог %windir%\System32\GroupPolicy\DataStore\0\SysVol\contoso.com\Policies. Каждая политика хранится в отдельном каталоге с GUID доменной политики.

Когда вы исключаете компьютер из домена, файлы registry.pol доменных политик на компьютере должны автоматически удалиться. Иногда случается, что компьютер покинул домен, но на него все еще действуют доменные GPO.

В этом случае рекомендуется выполнить сброс кеша доменных политик на компьютере. Воспользуйтесь следующим BAT скриптом:

DEL /S /F /Q “%ALLUSERSPROFILE%\Microsoft\Group Policy\History\*.*”
REG DELETE HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy /f
REG DELETE HKLM\Software\Policies\Microsoft /f
REG DELETE HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies /f
REG DELETE HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies /f
REG DELETE HKCU\Software\Policies\Microsoft /f
REG DELETE "HKCU\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects" /f
DEL /F /Q C:\WINDOWS\security\Database\secedit.sdb
klist purge
gpupdate /force
exit

Также отметим, что в папке C:\ProgramData\Microsoft\Group Policy\History находятся настройки параметров Group Policy Preferences, примененных на компьютере. Если вы включили опцию Remove this item if it is no longer applied в настройках элемента GP Preferences, кэш GPO в этой папке позволит вернуть предыдущее состояние после отключения политики.

Восстановить настройки по-умолчанию для Default Domain Policy

В групповых политиках домене есть две политики по умолчанию с известными GUID:

• Default Domain Policy
  {31B2F340-016D-11D2-945F-00C04FB984F9}
• Default Domain Controller Policy
  {6AC1786C-016F-11D2-945F-00C04FB984F9}

Рекомендации Microsoft указывают, что не нужно редактировать эти GPO. Лучше создать копию этих политик в консоли Group Policy Management (gpmc.msc) и изменить нужные настройки.

Вы можете восстановить настройки этих GPO к состоянию по-умолчанию с помощью утилиты dcgpofix.

Откройте командную строку с правами администратора домена на DC и выполните команду:

dcgpofix /target:Domain
– сбросить Default Domain GPO

dcgpofix /target:DC
– сбросить Default Domain Controller GPO

Или сбросить сразу обе политики:

dcgpofix /target:both

Может появится ошибка:

The Active Directory schema version for this domain and the version supported by this tool do not match. The GPO can be restored using the /ignoreschema command-line parameter. However, it is recommended that you try to obtain an updated version of this tool that might have an updated version of the Active Directory schema. Restoring a GPO with an incorrect schema might result in unpredictable behavior.

В этом случае нужно добавить параметр /ignoreschema для принудительного сброса настроек стандартных GPO. Например:

dcgpofix /ignoreschema /target:Domain

Совет. Рассмотренные выше методики позволяют сбросить все настройки групповых политик во всех версиях Windows. Сбрасываются все настройки, внесенные с помощью редактора групповой политики, однако не сбрасываются все изменения, внесенные в реестре напрямую через regedit.exe, REG- файлы, PowerShell, или доменные GPP с настройками реестра.

В данной статье показаны различные способы, с помощью которых можно сбросить все параметры локальных групповых политик к настройкам по умолчанию.

Редактор локальных групповых политик является одним из основных инструментов для тонкой настройки параметров пользователей и операционной системы. С помощью групповых политик можно повысить безопасность системы, а также настроить конфигурацию интерфейса и элементов управления для пользователей.

В некоторых случаях, при неудачной настройке параметров, могут возникнуть различные проблемы, например такие как запрет на установку или запуск приложений, невозможность подключить принтер или флешку, или даже запрет на вход в систему.

В подобных ситуациях возникает необходимость сброса состояния групповых политик к настройкам по умолчанию, когда ни один из параметров групповых политик не задан.

Как сбросить локальные групповые политики с помощью оснастки gpedit.msc

Сбросить все параметры локальных политик можно в оснастке gpedit.msc, то есть в редакторе локальных групповых политик. Для этого нажмите сочетание клавиш + R и в открывшемся окне Выполнить введите gpedit.msc и нажмите клавишу Enter ↵.

В окне редактора локальных групповых политик последовательно разверните следующие элементы списка:

Конфигурация компьютера ➯ Административные шаблоны ➯ Все Параметры

Раздел Все Параметры содержит список всех политик, доступных к конфигурированию в административных шаблонах. Отсортируйте политики в столбце Состояние таким образом, чтобы активные политики имеющие статус Включено и Отключено оказались вверху списка.

Затем дважды кликните мышкой по каждой из этих политик и в окне настроек установите радиокнопку в положение Не задано и нажмите кнопку OK.

Такие же действия выполните для политик в разделе Конфигурация пользователя и перезагрузите компьютер.

Таким образом вы отключите действие всех административных групповых политик.

Как сбросить локальные групповые политики в командной строке

Сброс параметров локальных групповых политик также можно выполнить с помощью командной строки. Данный способ включает в себя удаление папок с параметрами групповых политик с диска, на котором установлена ​​операционная система.

Архитектура административных шаблонов групповых политик основана на специальных файлах Registry.pol. Данные файлы хранят параметры реестра, которые соответствуют тем или иным настройкам сконфигурированных групповых политик. Пользовательские и компьютерные политики хранятся в разных файлах Registry.pol

Настройки компьютера (раздел Конфигурация компьютера) хранятся в

%SystemRoot%\\System32\\ GroupPolicy\\Machine\\registry.pol.

Пользовательские политики (раздел Конфигурация пользователя) хранятся в
%SystemRoot%\\System32\\ GroupPolicy\\User\\registry.pol

Запустите консоль командной строки от имени администратора и последовательно выполните команды:

RD /S /Q «%WinDir%\\System32\\GroupPolicyUsers»

RD /S /Q «%WinDir%\\System32\\GroupPolicy»

gpupdate /force

Как сбросить локальные политики безопасности (secpol.msc)

Локальные политики безопасности (local security policies) настраиваются с помощью отдельной консоли управления secpol.msc. Если проблемы с компьютером вызваны в результате применения локальных политик безопасности, а у пользователя остался доступ к системе и административные права, то попробуйте сбросить параметры безопасности системы к значениям по умолчанию.

Для этого в командной строке запущенной с правами администратора выполните команду:

secedit /configure /cfg %windir%\\inf\\defltbase.inf /db defltbase.sdb /verbose

После выполнения команды, чтобы изменения вступили в силу перезагрузите компьютер.

Как сбросить локальные групповые политики если нет возможности войти в систему

В случае если локальный вход в систему невозможен или не удается запустить командную строку, то сбросить параметры локальных групповых политик можно загрузившись с установочного носителя.

Загрузитесь с установочного носителя с дистрибутивом операционной системы и запустите командную строку нажав сочетание клавиш Shift+F10

Теперь нам нужно запустить утилиту diskpart, для этого в окне командной строки выполните команду:

diskpart

Затем выведем список дисков в системе выполнив команду:

list volume

В данном примере буква, присвоенная системному диску (раздел на котором установлена операционная система) является буква – D:\\, что не соответствует букве в системе – C:\\, когда она загружена в обычном режиме. В некоторых случаях она может соответствовать. В данном случае определение буквы диска производилось по его объему. Поэтому следующие команды необходимо выполнять в контексте вашего системного диска (например, C:\\ D:\\ или E:\\).

Теперь завершите работу с утилитой diskpart, выполнив команду:

exit

Осталось последовательно выполните следующие команды:

RD /S /Q D:\\Windows\\System32\\GroupPolicy

RD /S /Q D:\\Windows\\System32\\GroupPolicyUsers

Перезагрузите компьютер, войдите в систему и убедитесь что параметры локальных групповых политик сброшены к настройкам по умолчанию.

В некоторых ситуациях пользователю может понадобится выполнить сброс групповой политики по умолчанию в операционной системе Windows. Эта необходимость возникает в случае неправильного поведения системы из-за включения или отключения различных функций.

Сброс групповых политик Windows помогает восстановить многие параметры компьютера с настройками по умолчанию, если другие методы и исправления не приводят к положительному результату.

С помощью приложения «Параметры» или Панели управления Windows можно настроить большинство возможностей компьютера. Расширенные настройки конфигурации выполняются через редактор локальной групповой политики, в котором находятся различные параметры системы, собранные в одном интерфейсе.

В групповой политике собраны параметры и предпочтения, применяемые к конфигурации компьютера или пользователя. С помощью групповой политики упрощается управление распространенными и повторяющимися заданиями. Некоторые задачи трудно выполнять вручную, но их легко автоматизировать в редакторе локальной групповой политики.

Системный администратор или пользователь с помощью редактора локальной групповой политики (gpedit.msc) настраивает параметры Windows. Этот инструмент позволяет вносить изменения в конфигурацию для пользователя и компьютера.

Многие пользователи вносят изменения в параметрах объектов групповой политики (GPO) в редакторе, чтобы настроить Windows под решение своих задач. Во время проведения этой операции иногда задаются неверные значения для некоторых параметров.

Из-за этого возможна неправильная работа отдельных функций ПК или нежелательное поведение системы. Если за некоторое время на устройстве было отключено или включено много различных политик, то пользователь может не помнить, что именно и когда он изменил.

Необходимо вернуть прежние значения настроек системы. В этом случае поможет сброс групповых политик, чтобы вернуть параметры локальной групповой политики к исходным значениям.

Обратите внимание на то, что Редактор локальной групповой политики доступен в следующих версиях Windows 10/11: Корпоративной (Enterprise), Профессиональной (Professional) и для образовательных учреждений (Education). В домашней версиях Windows этого инструмента нет, но есть некоторые способы исправить эту ситуацию.

Из этого руководства вы узнаете о том, как сбросить групповые политики по умолчанию в Windows поодиночке, или сбросить сразу все параметры объектов групповых политик в исходное состояние.

Сброс групповой политики в Windows 10 и Windows 11

Если вы внесли немного изменений, у вас есть возможность сбросить групповую политику по отдельности через редактор локальной групповой политики. Большинство политик по умолчанию имеют значение параметра — «Не задано», и благодаря этому вы можете их быстро отсортировать в окне инструмента.

Вам нужно будет выбрать определенный параметр групповой политики, а потом сбросить его до значений по умолчанию.

Пройдите несколько шагов, чтобы сбросить параметры отдельной политики в конфигурации компьютера:

1. В окне поиска Windows введите «gpedit.msc», а затем откройте на компьютере эту оснастку.
2. В окне «Редактор локальной групповой политики» в правой области «Политика “Локальный компьютер”» сначала откройте «Конфигурация компьютера», а потом «Административные шаблоны».
3. В узле «Административные шаблоны» щелкните по элементу «Все параметры».

1. В открывшемся окне щелкните по заголовку столбца «Состояние», чтобы отсортировать настройки. Здесь вы увидите три типа состояния: «Включена», «Отключена» и «Не задана». Нас интересуют включенные и отключенные параметры.

1. Дважды щелкните левой кнопкой мыши по объекту политики, которую вы хотите сбросить.

1. В окне данной политики установите значение «Не задано».

1. Нажмите на кнопки «Применить» и «ОК».
2. Перезагрузите компьютер.

Повторите эти действия для другой групповой политики, чтобы продолжить сбрасывать параметры по одному.

Выполните аналогичные действия, чтобы сбросить параметры политики для конфигурации пользователя:

1. Нажмите на клавиши «Win» + «R».
2. В диалоговое окно «Выполнить» введите «gpedit.msc», а затем щелкните по «Enter».
3. В окне «Редактор локальной групповой политики» пройдите по пути:

Конфигурация пользователя ➜ Административные шаблоны ➜ Все параметры

1. Нажмите на название столбца «Состояние», чтобы отсортировать включенные и отключенные политики.
2. В окне изменения параметров конкретной групповой политики активируйте параметр — «Не задано».
3. Перезапустите систему.

Эти действия восстанавливают отдельные параметры групповой политики по умолчанию.

Как сбросить все групповые политики в Windows 10/11

Сейчас мы посмотрим, как сбросить локальные групповые политики по умолчанию, если на данном компьютере было изменено много политик в разное время. В этом случае не представляется возможным найти нужные параметры для сброса вручную.

Мы сбросим все объекты групповой политики до значений по умолчанию с помощью командной строки или Windows PowerShell.

Проделайте следующее:

1. Введите в поиске Windows «CMD» или «PowerShell», а потом запустите приложение от имени администратора. В Windows 11 можно открыть «Терминал (Администратор)» из меню «Пуск», кликнув по нему правой кнопки мыши, и оттуда открыть любой из этих инструментов.
2. В окне консоли ведите команду, чтобы выполнить сброс локальных групповых политик конфигурации компьютера, а затем щелкните по «Enter»:

RD /S /Q "%WinDir%\System32\GroupPolicy"

1. Выполните команду для сброса групповых политик конфигурации пользователя:

RD / S /Q "%WinDir%\System32\GroupPolicyUsers"

1. Выполните следующую команду для обновления настроек групповой политики.

gpupdate /force

1. Сброс групповых политик Windows 10 или Windows 11 завершен, перезагрузите ПК для применения изменений.

Сброс локальных политик безопасности Windows

Политика безопасности поддерживается в другой оснастке — Локальной политике безопасности. Из-за неправильной конфигурации политики безопасности могут возникать проблемы на компьютере.

Сброс локальных политик безопасности помогает исправить нежелательные функции системы, наряду с групповыми политиками.

Выполните эту инструкцию:

1. В поле поиска Windows введите «CMD» и запустите это приложение от имени администратора.
2. В окне интерпретатора командной строки введите команду, а потом нажмите «Enter»:

secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb /verbose

1. После завершения задания закройте командную строку и перезагрузите компьютер.

Выводы статьи

На компьютере могут возникать проблемы из-за неправильных настроек операционной системы Windows. Часть пользователей изменяет параметры системы с помощью редактора локальной групповой политики.

Если там были заданы неверные значения, то пользователю необходимо знать, как сбросить локальные групповые политики, чтобы вернуть настройки системы по умолчанию. Вы можете поочередно изменить параметры объектов групповой политике, или сразу сбросить все групповые политики на компьютере. В некоторых случаях имеет смысл также сбросить локальные политики безопасности.

Сброс групповых политик Windows (видео)

The Group Policy Editor is an important tool for Windows OS, using which System Administrators can fine-tune system settings. It has several infrastructural configuration options that allow you to make adjustments to the specific performance and security settings for users and computers. Sometimes you might end up tweaking your Group Policy Editor a bit further down the line and your computer starts behaving in an unwanted way. This is when you know that it’s time to reset all Group Policy settings to default and save yourself the pain of reinstalling Windows again. In this guide, we’ll be showing you how to reset all Group Policy settings to default in Windows 11/10.

Group Policy settings can vary between several configurations like Personalization, Firewall settings, Printers, Security policies, etc. We’ll take a look at several methods using which you can reset the respective policies to their default state.

1] Reset GPO settings using Local Group Policy Editor

Now, this is a very basic one. Follow the below steps in order to reset the modified GPO settings.

1. Press Windows Key + R on your keyboard to launch Run prompt. Enter gpedit.msc and hit Enter to open Local Group Policy Editor.

2. Navigate to the following path on the left side pane of Group Policy Editor window:

Local Computer Policy > Computer Configuration > Administrative Templates > All Settings

3. Now, on the right side window, sort the policy settings by State column so that all those policies which are Enabled/Disabled currently can be accessed on the top.

4. Up next, change their state from Enabled/Disabled to Not Configured and apply the settings.

5. Repeat the same for the below path as well.

Local Computer Policy > User Configuration > Administrative Templates > All Settings

6. This will restore all Group Policy settings to the default state. However, if you are facing some serious issues like the loss of administrator privileges or being debarred from logging in, then you can try the below method.

2] Restore Local Security Policies to default

Security policies about your administrative account on Windows are maintained in a different management console – secpol.msc (Local Security Policy). This security setting snap-in extends the Group Policy snap-in and helps you define security policies for computers in your domain.

Now, under certain circumstances, you might end up with some messed up Security settings which you can set right if you have retained administrative privileges to your computer.

Follow the below steps to reset the Security policies on your machine:

1. Press Windows Key + X on your keyboard to launch Quick Link menu. Select Command Prompt (Admin) to open an elevated Command Prompt window.

2. Enter the below command in the prompt window and hit Enter:

secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb /verbose

3. After the task completion, restart your machine to make the changes effective and start afresh with Security policies.

4. If some of the components are still appearing strange, you can go for the next method to hard reset the Group Policy Objects.

Read: How to Import or Export Group Policy settings in Windows 11/10.

3] Reset Group Policy Objects using Command Prompt

This particular method involves the deletion of the Group Policy settings folder from the drive where Windows is installed. Follow the below steps to get it done using an elevated Command Prompt window.

1. Open an elevated Command Prompt window the same way mentioned in Method 2.

2. Enter these commands in CMD and execute them one by one.

RD /S /Q "%WinDir%\System32\GroupPolicyUsers"

RD /S /Q "%WinDir%\System32\GroupPolicy"

gpupdate /force

3. Once done, restart your computer.

4] Delete these registry keys using CMD

You can also remove all settings and policies that may have been applied. Create a system restore point and backup your registry first and then run the following command/s:

reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies" /f
reg delete "HKCU\Software\Microsoft\WindowsSelfHost" /f
reg delete "HKCU\Software\Policies" /f
reg delete "HKLM\Software\Microsoft\Policies" /f
reg delete "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies" /f
reg delete "HKLM\Software\Microsoft\Windows\CurrentVersion\WindowsStore\WindowsUpdate" /f
reg delete "HKLM\Software\Microsoft\WindowsSelfHost" /f
reg delete "HKLM\Software\Policies" /f
reg delete "HKLM\Software\WOW6432Node\Microsoft\Policies" /f
reg delete "HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Policies" /f
reg delete "HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\WindowsStore\WindowsUpdate" /f

Make sure you have created a system restore point before making any changes to your registry or policy settings.

Related read: How to repair a corrupt Group Policy in Windows 11/10.

rОдним из основных инструментов тонкой настройки параметров пользователя и среды Windows являются групповые политики — GPO (Group Policy Object). На сам компьютер и его пользователей могут действовать доменные групповые политики (если компьютер состоит в домене Active Directory) и локальные (эти политики настраиваются локально на компьютере). Однако некорректная настройка некоторых параметров GPO может привести к различным проблемам: невозможность подключить принтер, запрет на подключение USB накопителей, ограничение сетевого доступа некорректными настройками брандмауэра Windows, запрета на установку или запуск любых приложений (через политики SPR или AppLocker) или на локальный или удаленный вход на компьютеры.

Если администратор не может локально войти в систему, или не знает точно какая из примененных им настроек GPO вызывает проблему, приходится прибегать к аварийному сценарию сброса настроек групповых политик на настройки по-умолчанию. В “чистом” состоянии ни один из параметров групповых политик не задан.

В этой статье мы покажем несколько методов сброса настроек параметров локальных и доменных групповых политик к значениям по умолчанию. Эта инструкция является универсальной и может быть использована для сброса настроек GPO на всех поддерживаемых версиях Windows: начиная с Windows 7 и заканчивая Windows 10, а также для всех версий Windows Server 2008/R2, 2012/R2 / 2016 и 2019.

Сброс параметров локальной групповой политики с помощью редактора gpedit.msc

Этот способ предполагает использование графической консоли редактора локальной групповой политики gpedit.msc для отключения всех настроенных политик. Графический редактор локальной GPO доступен только в Pro, Enterprise и Education редакциях Windows 10.

Запустите оснастку
gpedit.msc
и перейдите в раздел All Settings локальных политик компьютера (Local Computer Policy -> Computer Configuration — > Administrative templates / Политика “Локальный компьютер” -> Конфигурация компьютера -> Административные шаблоны). В этом разделе содержится список всех политик, доступных к настройке в административных шаблонах. Отсортируйте политики по столбцу State (Состояние) и найдите все активные политики (находятся в состоянии Disabled / Отключено или Enabled / Включено). Отключите действие все (или только определенные настройки GPO), переведя их в состояние Not configured (Не задана).

Чтобы создать резервную копию текущих настроек локальной GPO можно использовать утилиту LGPO.exe из Security Compliance Manager.

Аналогично измените настройки параметров в пользовательском разделе локальных политик (User Configuration/ Конфигурация пользователя). Так можно отключить действие всех настроек административных шаблонов GPO.

Совет. Список всех примененных настроек локальных и доменных политик в удобном html отчете можно получить с помощью встроенной утилиты GPResult командой:
gpresult /h c:distrgpreport2.html

Указанный выше способ сброса групповых политик в Windows подойдет для самых “простых” случаев. Некорректные настройки групповых политик могут привести к более серьезным проблемам. Например, невозможность запустить оснастку gpedit.msc или вообще любых программ, потери административных прав на компьютере, или запрета на локальный вход в систему. В таких случаях приходится сбрасывать сохраненные настройки GPO в локальных файлах на компьютере.

Файлы групповых политик Registry.pol

Архитектура групповых политик Windows основана на специальных файлах Registry.pol. Данные файлы хранят параметры реестра, которые соответствуют тем или иным настройкам GPO. Пользовательские и компьютерные настройки политик хранятся в разных файлах Registry.pol.

• Настройки конфигурации компьютера (раздел Computer Configuration) хранятся в %SystemRoot%System32GroupPolicyMachineregistry.pol
• Пользовательские политики (раздел User Configuration) — %SystemRoot%System32GroupPolicyUserregistry.pol

При загрузке компьютера Windows загружает содержимое файла MachineRegistry.pol в ветку системного реестра HKEY_LOCAL_MACHINE (HKLM). Содержимое файла UserRegistry.pol импортируется в ветку HKEY_CURRENT_USER (HKCU) при входе пользователя в систему.

Когда вы открываете консоль редактора GPO, она загружает содержимое registry.pol файлов и предоставляет их в удобном графическом виде. При закрытии редактора GPO внесенные изменения сохраняются в файлы Registry.pol. После обновления групповых политик (командой
gpupdate /force
или по-расписанию), новые настройки попадают в реестр и применяются к компьютеру.

Совет. Для внесения изменения в файлы стоит использовать только редактор групповых политик GPO. Не рекомендуется редактировать файлы Registry.pol вручную или с помощью старых версий редактора групповой политики!

Чтобы удалить все текущие настройки локальной групповой политики, нужно удалить файлы Registry.pol в каталоге GroupPolicy.

Сброс настроек локальной GPO из командной строки

Для принудительного сброса всех текущих настроек групповых политик в Windows вам нужно удалить файлы Registry.pol. Допустимо целиком удалить каталоги с файлами настройки политик. Сделать это можно следующими командами, запущенными в командной строке с правами администратора:
RMDIR /S /Q "%WinDir%System32GroupPolicyUsers"

RMDIR /S /Q "%WinDir%System32GroupPolicy"

В Windows 10 2004 команда
rd.exe
была удалена из образа, поэтому для удаления каталогов нужно использовать команду
rmdir.exe
.

После этого нужно сбросить старые настройки политик в реестре, применив GPO с чистыми настройками:

gpupdate /force

Данные команды сбросят все настройки локальной GPO в секциях Computer Configuration и User Configuration.

Откройте консоль редактора
gpedit.msc
и убедитесь, что все политики перешли в состояние “Не задано”/”Not configured”. После запуска консоли gpedit.msc удаленные папки GroupPolicyUsers и GroupPolicy будут пересозданы автоматически с пустыми файлами Registry.pol.

Локальные политик безопасности (local security policies) настраиваются с помощью отдельной консоли управления
secpol.msc
. Если проблемы с компьютером вызваны “закручиванием гаек” в локальных политиках безопасности, и, если у вас остался доступ к системе и административные права, сначала стоит попробовать сбросить настройки локальных политик безопасности Windows к значениям по-умолчанию. Для этого в командной строке с правами администратора выполните:

• Для Windows 10, Windows 8.1/8 и Windows 7:
  secedit /configure /cfg %windir%infdefltbase.inf /db defltbase.sdb /verbose
• Для Windows XP:
  secedit /configure /cfg %windir%repairsecsetup.inf /db secsetup.sdb /verbose

Перезагрузите компьютер.

Если у вас сохранятся проблемы с политиками безопасности, попробуйте вручную переименовать файл контрольной точки базы локальных политик безопасности %windir%securitydatabaseedb.chk.

Как сбросить настройки локальных GPO, если невозможно войти в Windows?

Если локальный вход в Windows невозможен или не удается запустить командную строку (например, при блокировке ее и других программ с помощью Applocker), вы можете удалить файлы Registry.pol, загрузившись с установочного диска Windows (загрузочной USB флешки) или любого LiveCD.

1. Загрузитес компьютер с любого установочного диска/флешки с Windows и запустите командную строку (
   Shift+F10
   ).
2. Выполните команду:

   diskpart

3. Затем выведите список подключенных к компьютеру дисков:

   list volume

   В данном примере буква, присвоенная системному диску, соответствует букве в системе – C:. В некоторых случаях она может не соответствовать. Поэтому следующие команды необходимо выполнять в контексте вашего системного диска (например, D: или C:)

4. Завершите работу с diskpart,, набрав:

   exit

5. Последовательно выполните следующие команды:

   rd /S /Q C:WindowsSystem32GroupPolicy

   rd /S /Q C:WindowsSystem32GroupPolicyUsers

6. Перезагрузите компьютер в обычном режиме и проверьте, что все параметры локальной групповой политики сброшены в состояние по-умолчанию.

Сброс примененных настроек доменных GPO

Несколько слов о доменных групповых политиках. Если компьютер включен в домен Active Directory, некоторые его настройки задаются доменными GPO.

Файлы registry.pol всех применённых доменных групповых политик хранятся в каталоге %windir%System32GroupPolicyDataStoreSysVol contoso.comPolicies. Каждая политика хранится в отдельном каталоге с GUID доменной политики. При исключении компьютера из домена файлы registry.pol доменных политик на компьютере удаляются и соответственно, не загружаются в реестр. Но иногда несмотря на исключения компьютера из домена, настройки политик могут все ещё применяться к компьютеру.

Этим файлам registry.pol соответствуют следующие ветки реестра:

• HKLMSoftwarePoliciesMicrosoft
• HKCUSoftwarePoliciesMicrosoft
• HKCUSoftwareMicrosoftWindowsCurrentVersionGroup Policy Objects
• HKCUSoftwareMicrosoftWindowsCurrentVersionPolicies

История примененных версий доменных политик, которые сохранились на клиенте, находится в ветках:

• HKLMSOFTWAREMicrosoftWindowsCurrentVersionGroup PolicyHistory
• HKCUSoftwareMicrosoftWindowsCurrentVersionGroup PolicyHistory

Локальный кэш примененных доменных GPO хранится в каталоге C:ProgramDataMicrosoftGroup PolicyHistory. Удалите файлы в этом каталоге командой:

DEL /S /F /Q “%PROGRAMDATA%MicrosoftGroup PolicyHistory*.*”

Также для удаления доменных GPO, нужно очистить каталог %windir%System32GroupPolicyDataStoreSysVolcontoso.comPolicies и удалить указанные ветки реестра (настоятельно рекомендуется создать резервную копию удаляемых файлов и веток реестра !!!).

Затем выполните команду:

gpupdate /force /boot

Совет. Рассмотренные выше методики позволяют сбросить все настройки групповых политик во всех версиях Windows. Сбрасываются все настройки, внесенные с помощью редактора групповой политики, однако не сбрасываются все изменения, внесенные в реестре напрямую через regedit.exe, REG- файлы, через доменные GPP или любым другим способом.

Редактор групповой политики это важный инструмент ОС Windows с его помощью системные администраторы могут настраивать тонкие параметры системы. Он имеет несколько вариантов конфигурации и позволят вам внести коррективы производительности, настройки безопасности для пользователей и компьютеров.

 Иногда после неудачной настройки вашего редактора групповой политики ваш компьютер начинает вести себя не лучшим образом. Это значит, что пришло время,  сбросить все настройки групповой политики и вернуть значения по умолчанию, тем самым сэкономив время и нервы вместо  переустановки Windows. В этом руководстве мы покажем вам , как сбросить все настройки групповой политики по умолчанию в операционной системе Windows 10.

Сброс групповой политики к значениям по умолчанию

Настройки Групповой политики делятся на несколько конфигураций, как персонализация, настройки брандмауэра, принтеры, политики безопасности и т.д. Мы рассмотрим несколько способов с помощью которых вы можете сбросить соответствующие политики в состояние по умолчанию.

Сбросить параметры объекта групповой политики с помощью редактора локальной групповой политики

Выполните следующие действия, чтобы сбросить измененные параметры объекта групповой политики.

1. Нажмите Клавиши Win + R на клавиатуре, для запуска аплета «Выполнить». Введите  в строку gpedit.msc и нажмите Enter, чтобы открыть редактор локальных групповых политик.

2. В открывшемся окне редактора групповой политики перейдите по следующему пути в левой боковой панели :

Политика Локальный компьютер →  Конфигурация компьютера →  Административные шаблоны →  Все Параметры

3. Теперь, в правой части окна, нужно упорядочить параметры политики с помощью столбца «Состояние», так что все политики, которые включены / отключены  можно получить в верху списка.

4. Далее вы должны изменить параметры политик с включено / отключено, на не заданно и применить настройки.

5. Повторите то же самое для пути указанного ниже:

Политика локальный компьютер →  Конфигурация пользователя →  Административные шаблоны →  Все Параметры

6. Это позволит восстановить все параметры групповой политики к настройкам по умолчанию. Однако, если вы столкнулись с проблемами, как потеря привилегий администратора или проблемы входа в систему, то вы можете попробовать метод ниже.

 Восстановление локальных политик безопасности по умолчанию

Политики безопасности вашей учетной записи администратора в Windows 10, находятся в другой консоли управления — secpol.msc (Локальная политика безопасности). Эта оснастка параметр безопасности расширяет групповые политики и помогает определить политики безопасности для компьютеров в домене.

Выполните следующие действия, чтобы изменить политику безопасности на вашей машине:

1. Откройте Командную строку (от имени администратора).

2. Введите следующую команду в окне командной строки и нажмите клавишу Enter:

secedit /configure /cfg %windir%infdefltbase.inf /db defltbase.sdb /verbose

3. После завершения задачи, перезагрузите компьютер, чтобы изменения вступили в силу.

 Сброс объектов групповой политики с помощью командной строки

Данный метод включает в себя удаление папки параметров групповой политики с диска, на котором установлена ​​операционная система. Выполните следующие действия, чтобы сделать это с помощью командной строки от имени администратора.

1. Откройте Командную строку как администратор  

2. Введите следующие команды одну за другой.

RD /S /Q "%WinDir%System32GroupPolicyUsers"

RD /S /Q "%WinDir%System32GroupPolicy"

gpupdate /force

3. После этого, перезагрузите компьютер.

Примечание: Убедитесь, что вы создали точку восстановления системы перед внесением изменений в реестр или объектов групповой политики.

Редактор групповой политики – это важный инструмент для ОС Windows, с помощью которого системные администраторы могут настроить параметры системы. Он имеет несколько вариантов конфигурации инфраструктуры, что позволяет вам настраивать параметры производительности и безопасности пользователей и компьютеров. Иногда вам может понадобиться настроить редактор групповой политики немного дальше, когда ваш компьютер начнет работать нежелательным образом. Это когда вы знаете, что пришло время сбросить все параметры групповой политики на значения по умолчанию и избавить себя от необходимости переустановки Windows снова. В этом руководстве мы покажем вам, как восстановить все параметры групповой политики по умолчанию в Windows 10.

Сбросить групповую политику по умолчанию

Параметры групповой политики могут различаться в зависимости от нескольких конфигураций, таких как Персонализация, Параметры брандмауэра, Принтеры, Политики безопасности, и т. Д. Мы рассмотрим несколько методов, с помощью которых можно сбросить соответствующие политики до состояния по умолчанию. ,

1] Сброс настроек GPO с помощью редактора локальной групповой политики

Теперь это очень простой. Выполните следующие шаги для сброса измененных настроек объекта групповой политики.

1. Нажмите Windows Key + R на клавиатуре, чтобы запустить приглашение «Выполнить». Введите gpedit.msc и нажмите Enter, чтобы открыть редактор локальной групповой политики.

2. Перейдите по следующему пути в левой части окна редактора групповой политики:

Политика локального компьютера> Конфигурация компьютера> Административные шаблоны> Все параметры

3. Теперь в правом боковом окне отсортируйте параметры политики по столбцу «Состояние», чтобы все те политики, которые в настоящее время включены/отключены , были доступны сверху.

4. Далее, измените их состояние с Включено/Отключено на Не настроено и примените настройки.

5. Повторите то же самое для приведенного ниже пути.

Политика локального компьютера> Конфигурация пользователя> Административные шаблоны> Все настройки

6. Это восстановит все параметры групповой политики в состояние по умолчанию. Однако, если вы столкнулись с некоторыми серьезными проблемами, такими как потеря прав администратора или отстранение от входа в систему, вы можете попробовать следующий метод.

2] Восстановить локальные политики безопасности по умолчанию

Политики безопасности вашей учетной записи администратора в Windows поддерживаются в другой консоли управления – secpol.msc (локальная политика безопасности) . Эта оснастка параметра безопасности расширяет оснастку «Групповая политика» и помогает определять политики безопасности для компьютеров в вашем домене.

Теперь, при определенных обстоятельствах, вы можете получить некоторые испорченные настройки безопасности, которые вы можете установить правильно, если вы сохранили административные привилегии на вашем компьютере.

Выполните следующие шаги для сброса политик безопасности на вашем компьютере:

1. Нажмите Windows Key + X на клавиатуре, чтобы открыть меню Быстрая ссылка . Выберите Командная строка (Администратор) , чтобы открыть окно командной строки с повышенными правами.

2. Введите указанную ниже команду в окне приглашения и нажмите Enter:

 secedit/configure/cfg% windir%  inf  defltbase.inf/db defltbase.sdb/verbose 

3. После завершения задачи перезагрузите компьютер, чтобы изменения вступили в силу, и снова начните с политик безопасности.

4. Если некоторые компоненты по-прежнему выглядят странно, вы можете перейти к следующему методу для полной перезагрузки объектов групповой политики.

3] Сброс объектов групповой политики с помощью командной строки

Этот конкретный метод включает удаление папки параметров групповой политики с диска, на котором установлена ​​Windows. Выполните следующие шаги, чтобы сделать это, используя окно командной строки с повышенными правами.

1. Откройте окно командной строки с повышенными правами, как описано в способе 2.

2. Введите эти команды в CMD и выполните их одну за другой.

 RD/S/Q "% WinDir%  System32  GroupPolicyUsers" 

 RD/S/Q "% WinDir%  System32  GroupPolicy" 

 gpupdate/force 

3. По завершении перезагрузите компьютер.

Убедитесь, что вы создали точку восстановления системы, прежде чем вносить какие-либо изменения в реестр или параметры политики.

Связанное чтение . Как восстановить поврежденную групповую политику в Windows 10.