Một trong những công cụ chính để định cấu hình cài đặt người dùng và hệ thống trong Windows là Đối tượng chính sách nhóm (GPO) . Cục bộ (các cài đặt này được định cấu hình cục bộ trên máy tính) và GPO miền (nếu máy tính được kết nối với miền Active Directory) có thể được áp dụng cho máy tính và người dùng của nó. Tuy nhiên, cấu hình không chính xác của một số cài đặt GPO có thể dẫn đến nhiều vấn đề khác nhau. Cài đặt Chính sách Nhóm có thể chặn kết nối thiết bị USB, máy in và thư mục dùng chung, hạn chế quyền truy cập mạng theo quy tắc Tường lửa của Bộ bảo vệ Windows, chặn các ứng dụng và công cụ cài đặt hoặc chạy (thông qua chính sách SPR hoặc AppLocker), hạn chế đăng nhập cục bộ hoặc từ xa đối với máy tính.
Nếu bạn không thể đăng nhập cục bộ vào máy tính hoặc không biết chính xác cài đặt GPO nào được áp dụng gây ra sự cố, bạn phải sử dụng tập lệnh để đặt lại cài đặt Chính sách nhóm về mặc định của chúng. Ở trạng thái “sạch”, không có cài đặt Chính sách Nhóm nào được định cấu hình.
Trong bài viết này, chúng tôi chỉ ra một số phương pháp để đặt lại cài đặt của Chính sách nhóm cục bộ và miền về giá trị mặc định. Hướng dẫn này có thể được sử dụng để đặt lại cài đặt GPO trên tất cả các phiên bản Windows được hỗ trợ:từ Windows 7 đến Windows 10, cũng như tất cả các phiên bản của Windows Server (2008 / R2, 2012 / R2, 2016 và 2019).
Cách Đặt lại Cài đặt Local Group Policy Editor (Gpedit.msc) về Mặc định?
Phương pháp này liên quan đến việc sử dụng GUI của bảng điều khiển Trình chỉnh sửa chính sách nhóm cục bộ ( gpedit.msc ) để tắt tất cả các cài đặt chính sách đã định cấu hình. Trình chỉnh sửa đồ họa GPO cục bộ chỉ có sẵn trong các phiên bản Windows 10 Pro, Enterprise và Education.
Mẹo. Trong các phiên bản Home của Windows, bảng điều khiển Local Group Policy Editor (gpedit.msc) bị thiếu.
Chạy gpedit.msc MMC snap-in và đi tới Tất cả cài đặt phần ( Chính sách máy tính cục bộ -> Cấu hình máy tính -> Mẫu quản trị ). Phần này chứa danh sách tất cả các cài đặt có sẵn để cấu hình trong các mẫu GPO quản trị cục bộ. Sắp xếp các chính sách theo cột Trạng thái và tìm tất cả các chính sách đã định cấu hình ( Đã tắt hoặc Đã bật tình trạng). Tắt tất cả hoặc một số trong số chúng bằng cách chuyển chúng thành Không được định cấu hình trạng thái .
Thực hiện các bước tương tự trong Cấu hình người dùng tiết diện. Do đó, bạn có thể tắt tất cả các cài đặt của tất cả các cài đặt trong mẫu GPO quản trị.
Mẹo . Có thể lấy danh sách tất cả các cài đặt chính sách miền và cục bộ được áp dụng trong một biểu mẫu báo cáo HTML thuận tiện bằng công cụ GPResult tích hợp sẵn:gpresult /h c:\PS\GPRreport.html
Phương pháp trên để đặt lại Chính sách Nhóm trong Windows phù hợp với những trường hợp đơn giản nhất. Cấu hình GPO không chính xác có thể dẫn đến các vấn đề nghiêm trọng hơn. Ví dụ:không thể chạy gpedit.msc snap-in hoặc thậm chí bất kỳ chương trình hoặc ứng dụng nào, mất đặc quyền quản trị viên hoặc hạn chế đăng nhập cục bộ. Trong những trường hợp như vậy, bạn phải đặt lại cài đặt GPO đã lưu trong các tệp cục bộ trên máy tính của mình.
Group Policy Files Registry.pol
Kiến trúc Chính sách Nhóm Windows dựa trên Registry.pol đặc biệt các tập tin. Các tệp này lưu trữ cài đặt đăng ký tương ứng với cài đặt GPO đã định cấu hình. Chính sách Người dùng và Máy tính được lưu trữ trong các tệp Registry.pol khác nhau.
- Cài đặt máy tính ( phần Cấu hình Máy tính ) được lưu trữ trong
%SystemRoot%\System32\GroupPolicy\Machine\registry.pol - Cài đặt người dùng ( phần Cấu hình người dùng ) được lưu trữ trong
%SystemRoot%\System32\GroupPolicy\User\registry.pol
Trong quá trình khởi động, Windows nhập nội dung của \ Machine \ Registry.pol vào tổ đăng ký hệ thống HKEY_LOCAL_MACHINE (HKLM). Nội dung của tệp \ User \ Registry.pol được nhập vào HKEY_CURRENT_USER (HKCU) hive khi người dùng đăng nhập.
Khi bạn mở Local GPO Editor Console, nó sẽ tải nội dung của các tệp registry.pol và hiển thị chúng theo cách đồ họa thân thiện với người dùng. Khi bạn đóng trình soạn thảo GPO, những thay đổi bạn thực hiện sẽ được lưu vào tệp Registry.pol. Khi bạn cập nhật cài đặt Chính sách Nhóm trên máy tính của mình (sử dụng gpupdate /force lệnh hoặc theo lịch trình), các cài đặt mới được áp dụng cho sổ đăng ký.
Để loại bỏ tất cả các cài đặt hiện tại cho GPO cục bộ, bạn phải xóa các tệp Registry.pol trong các thư mục GroupPolicy và GroupPolicyUsers.
Đặt lại tất cả Cài đặt Chính sách Nhóm Cục bộ cùng một lúc trên Windows 10 / Windows Server 2016
Để buộc đặt lại tất cả các cài đặt Chính sách Nhóm cục bộ hiện tại, bạn phải xóa các tệp Registry.pol. Có thể xóa hoàn toàn các thư mục với các tệp cấu hình chính sách. Bạn có thể làm điều đó với các lệnh sau, chạy chúng trong dấu nhắc lệnh nâng cao:
RD /S /Q "%WinDir%\System32\GroupPolicyUsers"
RD /S /Q "%WinDir%\System32\GroupPolicy"
RD.exe lệnh đã bị xóa, vì vậy RMDIR.exe lệnh phải được sử dụng để loại bỏ các thư mục. Sau đó, bạn cần đặt lại cài đặt GPO cũ trong sổ đăng ký bằng cách áp dụng GPO sạch:
gpupdate /force
Các lệnh này sẽ đặt lại tất cả cài đặt Chính sách Nhóm cục bộ trong phần Cấu hình Máy tính và Cấu hình Người dùng.
Mở gpedit.msc và đảm bảo rằng tất cả các chính sách đều nằm trong mục Không được định cấu hình tình trạng. Sau khi chạy bảng điều khiển gpedit.msc, GroupPolicyUsers đã bị xóa và GroupPolicy các thư mục sẽ được tạo tự động với các tệp Registry.pol trống.
Vào lần tiếp theo bạn thực hiện các thay đổi đối với Chính sách Nhóm, Windows sẽ tạo các tệp Registry.pol mới với cài đặt mới.
Đặt lại Cài đặt Chính sách Bảo mật Cục bộ về Mặc định trong Windows
Chính sách bảo mật địa phương được định cấu hình trong một bảng điều khiển mmc riêng biệt - secpol.msc . Nếu sự cố với máy tính là do "siết chặt các vít" trong cài đặt bảo mật cục bộ và nếu bạn vẫn có quyền truy cập cục bộ vào Windows và quyền của quản trị viên, tốt hơn nên đặt lại cài đặt chính sách bảo mật về giá trị mặc định. Để làm điều đó, hãy mở cmd.exe với tư cách là quản trị viên và chạy lệnh sau:
- Trong Windows 10, Windows 8.1 / 8 và Windows 7:
secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb /verbose - Trong Windows XP:
secedit /configure /cfg %windir%\repair\secsetup.inf /db secsetup.sdb /verbose
Khởi động lại máy tính.
Nếu bạn vẫn gặp sự cố với chính sách bảo mật, hãy thử đổi tên thủ công tệp điểm kiểm tra của cơ sở dữ liệu chính sách bảo mật cục bộ% windir% \ security \ database \ edb.chk.
ren %windir%\security\database\edb.chk edb_old.chk
Chạy lệnh:
gpupdate /force
Khởi động lại Windows bằng lệnh tắt:
Shutdown –f –r –t 0
Đặt lại Cài đặt GPO cục bộ mà không cần đăng nhập
Nếu không thể khởi động / đăng nhập Windows, dịch vụ GPSVC không chạy, bạn không có đặc quyền quản trị viên cục bộ hoặc bạn không thể mở dấu nhắc lệnh (ví dụ:các ứng dụng bị chặn bởi chính sách Applocker / SRP), chỉ cần khởi động máy tính từ bất kỳ đĩa cài đặt Windows, ổ đĩa flash USB hoặc LiveCD nào và đặt lại GPO cục bộ bên ngoài hình ảnh Windows đã cài đặt.
- Khởi động máy tính của bạn từ bất kỳ phương tiện cài đặt Windows nào và mở dấu nhắc lệnh (
Shift+F10); - Chạy lệnh:
diskpart - Sau đó, hiển thị danh sách các ổ trên máy tính:
list volume
Trong trường hợp này, ký tự ổ đĩa được gán cho ổ đĩa hệ thống tương ứng với ổ đĩa hệ thống C:\ . Tuy nhiên, đôi khi nó có thể không khớp. Vì vậy, các lệnh dưới đây phải được thực thi trong ngữ cảnh ổ đĩa hệ thống của bạn (e. G., D:\ hoặc C:\); - Đóng diskpart:
exit - Chạy lần lượt các lệnh sau:
RD /S /Q C:\Windows\System32\GroupPolicy
RD /S /Q C:\Windows\System32\GroupPolicyUsers - Khởi động lại máy tính ở chế độ bình thường và đảm bảo rằng cài đặt Chính sách nhóm cục bộ được đặt lại về trạng thái mặc định.
Làm cách nào để Xóa và Xóa cài đặt GPO được áp dụng trên miền?
Vài lời về Chính sách Nhóm miền. Nếu một máy tính được kết nối với miền Active Directory, một số cài đặt của máy tính đó được đặt bởi GPO dựa trên miền
Tệp registry.pol của tất cả các Chính sách Nhóm miền được áp dụng được lưu trữ trong thư mục % windir% \ System32 \ GroupPolicy \ DataStore \ 0 \ SysVol \ contoso.com \ Policies . Mỗi chính sách được lưu trữ trong một thư mục riêng biệt với GUID chính sách miền. Sau khi máy tính của bạn rời khỏi miền AD, các tệp registry.pol của Chính sách nhóm miền trên máy tính sẽ bị xóa và sẽ không được tải vào sổ đăng ký khi khởi động. Tuy nhiên, đôi khi, mặc dù đã xóa máy tính khỏi miền, cài đặt GPO vẫn có thể được áp dụng cho máy tính.
Các khóa đăng ký sau tương ứng với các tệp registry.pol này:
- HKLM \ Software \ Policies \ Microsoft
- HKCU \ Software \ Policies \ Microsoft
- HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Group Policy Objects
- HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies
Lịch sử phiên bản của GPO miền áp dụng đã được sử dụng trên máy khách nằm trong các khóa đăng ký sau:
- HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Group Policy \ History \
- HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Group Policy \ History \
Bộ nhớ cache cục bộ của GPO miền áp dụng được lưu trữ trong C:\ ProgramData \ Microsoft \ Group Policy \ History . Xóa các tệp trong thư mục này bằng lệnh ::
DEL /S /F /Q “%PROGRAMDATA%\Microsoft\Group Policy\History\*.*”
Nếu bạn buộc phải xóa cài đặt GPO miền, bạn cần xóa %windir%\System32\GroupPolicy\DataStore\0\SysVol\contoso.com\Policies và xóa các khóa đăng ký đã chỉ định (chúng tôi khuyên bạn nên sao lưu các tệp và mục đăng ký đã xóa !!!).
gpupdate /force /boot