Групповая политика не работает.

редактор локальной групповой политики

Если вы обнаружили, что групповая политика не работает не работает, как то:

  • вносимые изменения не обнаруживаются ни на хозяйской ни на клиентской машинах, и система на них никак не реагирует;
  • из редактора групповой политики исчезли некоторые настройки и целые разделы;
  • изменения, применимые ранее, нарушили комфорт в работе (а что и где изменено вы уже и не помните)

информация из статьи вам пригодится. Фактически я бы хотел представить свой краткий обзор-справку, из которой можно будет познакомиться с групповой политикой чуть ближе, нежели меняя время от времени отдельные в ней и около её настройки, не понимая строгий смысл происходящего. Кроме того,  нижеследующая инструкция может помочь в случая, внешне не связанных с групповой политикой. Это и утеря прав администратора, невозможность залогиниться в какую-то из учётных записей (если несколько) и т.п.

Групповая политика – функция (техвозможность, характеристика – называйте как хотите) в составе Виндовозного Активного каталога Microsoft, позволяющая администратору изменять настройки и функционал машин, прикреплённых к сети. И если эти изменения на клиентских машинах не прокатывают, на компьютерах, вероятно, с некоторыми файлами проблемы, или сами файлы просто отсутствуют.

Эта статья не о случае, когда редактора групповой политики на компьютере вообще нет. Ситуация характерна для пользователей Домашних версий Windows (они же Home Edition). Если вы собираетесь установить РГП в такую Windows, вам в статью Как установить редактор групповой политики в Домашнюю Windows?

С чего начать?

К работе с конкретными файлами есть смысл приступать, если средства внутренних ремонтных инструментов уже испробованы. Так что всегда начинаем именно из консоли команд, запущенной от имени администратора с командами:

sfc /scannow

и для владельцев Windows 10

Dism /Online /Cleanup-Image /CheckHealth 
Dism /Online /Cleanup-Image /ScanHealth 
Dism /Online /Cleanup-Image /RestoreHealth

Для тех, у кого на руках проверенная временем флешка или внешний диск с установочными файлами Windows подходящей сборки и версии, команда DISM может принять вид:

DISM.exe /Online /Cleanup-Image /RestoreHealth /Source:буква-внешнего-диска:\Windows

Для смонтированного образа подходит команда:

Dism /Image:C:\offline /Cleanup-Image /RestoreHealth /Source:буква-диска:\test\mount\windows

Сброс настроек до по умолчанию.

Первое, с чего стоит начать, если редактор групповой политики работает, это сбросить все настройки до дефолтных. Совершенно необязательно, что изменения были сделаны вами. Вы можете предоставить системе самой решить какое действие и с какими функцией/службой/файлом предпринять в следующем сеансе. Запускаем редактор из строки Выполнить

gpedit.msc

и последовательно в разделах

Конфигурация компьютера – Административные шаблоны – Все параметры

и

Конфигурация пользователя – Административные шаблоны – Все параметры

сортируем справа параметры по Состоянию. Ваша задача найти все, что Включены и Отключены, переведя их в состояние Не задана:

сортировка по состоянию задач

сортировка по состоянию

Далее. Локальные политики безопасности в отношении вашей учётной записи располагаются в другой консоли, вызываемой командой

secpol.msc

Если есть подозрения, что проблемы с системой возникли из-за намешанных в кучу настроек безопасности, настройки политики можно сбросить до дефолтных из командной строки cmd, запущенной от имени администратора:

secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb /verbose

файл безопасности secedit.sdb

сброс настроек файла secpol.msc

Перезагружаем компьютер с новыми настройками. Если какие-то из отдельных компонентов продолжают себя “неправильно вести”, можно сбросить настройки объектов полностью. Это достигается удалением содержимых двух папок в недрах Windows, установленной на конкретном компьютере. Перед выполнением команд все окна остальных приложений (в том числе проводника Windows) нужно закрыть. По умолчанию команды выглядят так (последняя – принудительное и немедленное обновление политики дабы не ждать установленных по умолчанию 90 мин.):

RD /S /Q "%WinDir%\System32\GroupPolicyUsers"
RD /S /Q "%WinDir%\System32\GroupPolicy"
gpupdate /force

Групповая политика не работает из-за конкретных файлов.

Их, конечно, немало. Но сразу стоит упомянуть самые важные. Отталкиваемся от того, что как только мы проводим хоть какие-то изменения с помощью редактора групповой политики, в недрах Windows появляется файл registry.pol. И мимо него не проходит ни одно изменение в РГП в последующем. И его отсутствие говорит о том, что никакие изменения в сторону клиентской машины производиться не будут. Так что для тех пользователей, которые решили, что именно предпринятые настройки развалили систему окончательно, могут просто его удалить. Содержимое файла registry.pol, находящееся по адресу

C:\Windows\System32\GroupPolicy\Machine\

средствами системы недоступно. Однако, если есть желание, на проводимые когда-то вами настройки из редактора групповой политики вы можете взглянуть с помощью маленькой программки Registry.Pol Viewer Utility. По кнопке Download вы скачаете архив, в котором в том числе находится и установщик .exe, который поставит программу на вашу Windows. После установки выходим в проводнике Windows на искомый файл и откроем его, указав на установленное приложение:

как прочитать файл registry.pol

Редактирование файла недоступно, доступ к нему происходит по принципу “только чтение”. В окне программы укажите путь к файлу на собственной или клиентской машине кнопками Browse.

чтение файла registry pol

В общем, разберётесь. А пока, если редактор групповой политики не работает, вы файл registry.pol можете переименовать или просто удалить. По удалению запускаем консоль команд от админа и вводим команду на немедленное и принудительное обновление политик:

gpupdate /force

Файл воссоздастся. И в продолжение темы подобную же операцию вы можете провести и с файлом secedit.sdb, отвечающим за настройки безопасности. Если, как и в предыдущем случае, РГП не отзывается на наши действия именно в части этих настроек, стоит начать с обновления именно этого файла. Он находится по адресу

C:\WINDOWS\security\Database

Переименовываем или удаляем. И снова “обновляемся” командой

gpupdate /force

Групповая политика не работает в конкретных настройках.

Если групповая политика не работает в части отдельных настроек, зон ответственности или папок, то можно попробовать перерегистрировать отдельные файлы. По умолчанию все относимые к групповой политике dll-rb лежат в системной папке %systemroot%\system32. Так что все они (по требованию) подлежат перерегистрации через шаблонную команду

regsvr32 какая-то_dll

Так что последовательно переоформим групповые политики в части Административных шаблонов и скриптов, перенаправлений папок, IP безопасности, программных запретов, установки удалённых служб и установки программ. Как всегда из консоли команд от имени администратора:

regsvr32 gptext.dll
regsvr32 fde.dll
regsvr32 ieaksie.dll
regsvr32 ipsecsnp.dll
regsvr32 certmgr.dll
regsvr32 rigpsnap.dll
regsvr32 wsecedit.dll
regsvr32 appmgr.dll

После выполнения команд перезагрузитесь. Должно помочь.

Всем успехов.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Максимальный размер загружаемого файла: 50 МБ. Вы можете загрузить: изображение, видео. Ссылки на YouTube, Facebook, Twitter и другие сервисы, вставленные в текст комментария, будут автоматически встроены. Перетащите файлы сюда