Групповая политика не работает.

Групповая политика не работает.

07.04.2021 0 Автор GodKnowses

Если вы обнаружили, что групповая политика не работает не работает, как то:

  • вносимые изменения не обнаруживаются ни на хозяйской ни на клиентской машинах, и система на них никак не реагирует;
  • из редактора групповой политики исчезли некоторые настройки и целые разделы;
  • изменения, применимые ранее, нарушили комфорт в работе (а что и где изменено вы уже и не помните)

информация из статьи вам пригодится. Фактически я бы хотел представить свой краткий обзор-справку, из которой можно будет познакомиться с групповой политикой чуть ближе, нежели меняя время от времени отдельные в ней и около её настройки, не понимая строгий смысл происходящего. Кроме того,  нижеследующая инструкция может помочь в случая, внешне не связанных с групповой политикой. Это и утеря прав администратора, невозможность залогиниться в какую-то из учётных записей (если несколько) и т.п.

Групповая политика – функция (техвозможность, характеристика – называйте как хотите) в составе Виндовозного Активного каталога Microsoft, позволяющая администратору изменять настройки и функционал машин, прикреплённых к сети. И если эти изменения на клиентских машинах не прокатывают, на компьютерах, вероятно, с некоторыми файлами проблемы, или сами файлы просто отсутствуют.

Эта статья не о случае, когда редактора групповой политики на компьютере вообще нет. Ситуация характерна для пользователей Домашних версий Windows (они же Home Edition). Если вы собираетесь установить РГП в такую Windows, вам в статью Как установить редактор групповой политики в Домашнюю Windows?

С чего начать?

К работе с конкретными файлами есть смысл приступать, если средства внутренних ремонтных инструментов уже испробованы. Так что всегда начинаем именно из консоли команд, запущенной от имени администратора с командами:

sfc /scannow

и для владельцев Windows 10

Dism /Online /Cleanup-Image /CheckHealth 
Dism /Online /Cleanup-Image /ScanHealth 
Dism /Online /Cleanup-Image /RestoreHealth

Для тех, у кого на руках проверенная временем флешка или внешний диск с установочными файлами Windows подходящей сборки и версии, команда DISM может принять вид:

DISM.exe /Online /Cleanup-Image /RestoreHealth /Source:буква-внешнего-диска:\Windows

Для смонтированного образа подходит команда:

Dism /Image:C:\offline /Cleanup-Image /RestoreHealth /Source:буква-диска:\test\mount\windows

Сброс настроек до по умолчанию.

Первое, с чего стоит начать, если редактор групповой политики работает, это сбросить все настройки до дефолтных. Совершенно необязательно, что изменения были сделаны вами. Вы можете предоставить системе самой решить какое действие и с какими функцией/службой/файлом предпринять в следующем сеансе. Запускаем редактор из строки Выполнить

gpedit.msc

и последовательно в разделах

Конфигурация компьютера – Административные шаблоны – Все параметры

и

Конфигурация пользователя – Административные шаблоны – Все параметры

сортируем справа параметры по Состоянию. Ваша задача найти все, что Включены и Отключены, переведя их в состояние Не задана:

сортировка по состоянию задач

сортировка по состоянию

Далее. Локальные политики безопасности в отношении вашей учётной записи располагаются в другой консоли, вызываемой командой

secpol.msc

Если есть подозрения, что проблемы с системой возникли из-за намешанных в кучу настроек безопасности, настройки политики можно сбросить до дефолтных из командной строки cmd, запущенной от имени администратора:

secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb /verbose

файл безопасности secedit.sdb

сброс настроек файла secpol.msc

Перезагружаем компьютер с новыми настройками. Если какие-то из отдельных компонентов продолжают себя “неправильно вести”, можно сбросить настройки объектов полностью. Это достигается удалением содержимых двух папок в недрах Windows, установленной на конкретном компьютере. Перед выполнением команд все окна остальных приложений (в том числе проводника Windows) нужно закрыть. По умолчанию команды выглядят так (последняя – принудительное и немедленное обновление политики дабы не ждать установленных по умолчанию 90 мин.):

RD /S /Q "%WinDir%\System32\GroupPolicyUsers"
RD /S /Q "%WinDir%\System32\GroupPolicy"
gpupdate /force

Групповая политика не работает из-за конкретных файлов.

Их, конечно, немало. Но сразу стоит упомянуть самые важные. Отталкиваемся от того, что как только мы проводим хоть какие-то изменения с помощью редактора групповой политики, в недрах Windows появляется файл registry.pol. И мимо него не проходит ни одно изменение в РГП в последующем. И его отсутствие говорит о том, что никакие изменения в сторону клиентской машины производиться не будут. Так что для тех пользователей, которые решили, что именно предпринятые настройки развалили систему окончательно, могут просто его удалить. Содержимое файла registry.pol, находящееся по адресу

C:\Windows\System32\GroupPolicy\Machine\

средствами системы недоступно. Однако, если есть желание, на проводимые когда-то вами настройки из редактора групповой политики вы можете взглянуть с помощью маленькой программки Registry.Pol Viewer Utility. По кнопке Download вы скачаете архив, в котором в том числе находится и установщик .exe, который поставит программу на вашу Windows. После установки выходим в проводнике Windows на искомый файл и откроем его, указав на установленное приложение:

как прочитать файл registry.pol

Редактирование файла недоступно, доступ к нему происходит по принципу “только чтение”. В окне программы укажите путь к файлу на собственной или клиентской машине кнопками Browse.

чтение файла registry pol

В общем, разберётесь. А пока, если редактор групповой политики не работает, вы файл registry.pol можете переименовать или просто удалить. По удалению запускаем консоль команд от админа и вводим команду на немедленное и принудительное обновление политик:

gpupdate /force

Файл воссоздастся. И в продолжение темы подобную же операцию вы можете провести и с файлом secedit.sdb, отвечающим за настройки безопасности. Если, как и в предыдущем случае, РГП не отзывается на наши действия именно в части этих настроек, стоит начать с обновления именно этого файла. Он находится по адресу

C:\WINDOWS\security\Database

Переименовываем или удаляем. И снова “обновляемся” командой

gpupdate /force

Групповая политика не работает в конкретных настройках.

Если групповая политика не работает в части отдельных настроек, зон ответственности или папок, то можно попробовать перерегистрировать отдельные файлы. По умолчанию все относимые к групповой политике dll-rb лежат в системной папке %systemroot%\system32. Так что все они (по требованию) подлежат перерегистрации через шаблонную команду

regsvr32 какая-то_dll

Так что последовательно переоформим групповые политики в части Административных шаблонов и скриптов, перенаправлений папок, IP безопасности, программных запретов, установки удалённых служб и установки программ. Как всегда из консоли команд от имени администратора:

regsvr32 gptext.dll
regsvr32 fde.dll
regsvr32 ieaksie.dll
regsvr32 ipsecsnp.dll
regsvr32 certmgr.dll
regsvr32 rigpsnap.dll
regsvr32 wsecedit.dll
regsvr32 appmgr.dll

После выполнения команд перезагрузитесь. Должно помочь.

Всем успехов.