รีเซ็ตการตั้งค่า Local Group Policy ใน Windows

หนึ่งในเครื่องมือหลักในการกำหนดค่าผู้ใช้และการตั้งค่าระบบใน Windows คือ Group Policy Objects (GPO) . ท้องถิ่น (การตั้งค่าเหล่านี้ได้รับการกำหนดค่าเฉพาะในคอมพิวเตอร์) และโดเมน GPO (หากคอมพิวเตอร์เข้าร่วมโดเมน Active Directory) สามารถใช้กับคอมพิวเตอร์และผู้ใช้ได้ อย่างไรก็ตาม การกำหนดค่าที่ไม่ถูกต้องของการตั้งค่า GPO บางอย่างอาจนำไปสู่ปัญหาต่างๆ การตั้งค่านโยบายกลุ่มสามารถบล็อกการเชื่อมต่ออุปกรณ์ USB เครื่องพิมพ์ที่ใช้ร่วมกันและโฟลเดอร์ จำกัดการเข้าถึงเครือข่ายโดยกฎไฟร์วอลล์ Windows Defender บล็อกแอปและเครื่องมือจากการติดตั้งหรือใช้งาน (ผ่านนโยบาย SPR หรือ AppLocker) จำกัดการเข้าสู่ระบบในเครื่องหรือระยะไกล คอมพิวเตอร์.

ถ้าคุณไม่สามารถเข้าสู่ระบบคอมพิวเตอร์ภายในเครื่อง หรือไม่ทราบแน่ชัดว่าการตั้งค่า GPO ใดที่ใช้ทำให้เกิดปัญหา คุณต้องใช้สคริปต์เพื่อรีเซ็ตการตั้งค่านโยบายกลุ่มเป็นค่าเริ่มต้น ในสถานะ "สะอาด" ไม่มีการกำหนดค่าการตั้งค่านโยบายกลุ่ม

จะรีเซ็ตการตั้งค่า Local Group Policy Editor (Gpedit.msc) ให้เป็นค่าเริ่มต้นได้อย่างไร

วิธีนี้เกี่ยวข้องกับการใช้ GUI ของคอนโซลตัวแก้ไขนโยบายกลุ่มในเครื่อง (gpedit.msc ) เพื่อปิดใช้งานการตั้งค่านโยบายที่กำหนดค่าไว้ทั้งหมด ตัวแก้ไขกราฟิก GPO ในพื้นที่มีให้ใช้งานในรุ่น Pro, Enterprise และ Education Windows 10 เท่านั้น

เรียกใช้ gpedit.msc MMC snap-in และไปที่ การตั้งค่าทั้งหมด ส่วน (นโยบายคอมพิวเตอร์ในพื้นที่ -> การกำหนดค่าคอมพิวเตอร์ –> เทมเพลตการดูแลระบบ ). ส่วนนี้ประกอบด้วยรายการของการตั้งค่าทั้งหมดที่พร้อมใช้งานสำหรับการกำหนดค่าในเทมเพลต GPO ของผู้ดูแลระบบภายใน จัดเรียงนโยบายตามคอลัมน์สถานะและค้นหานโยบายที่กำหนดค่าทั้งหมด (ปิดใช้งาน หรือ เปิดใช้งาน สถานะ). ปิดการใช้งานทั้งหมดหรือบางส่วนโดยเปลี่ยนเป็น ไม่ได้กำหนดค่า รัฐ

ทำตามขั้นตอนเดียวกันใน การกำหนดค่าผู้ใช้ ส่วน. ดังนั้น คุณสามารถปิดใช้งานการตั้งค่าทั้งหมดของการตั้งค่าทั้งหมดในเทมเพลต Administrative GPO ได้

วิธีการข้างต้นสำหรับการรีเซ็ตนโยบายกลุ่มใน Windows นั้นเหมาะสำหรับกรณีที่ง่ายที่สุด การกำหนดค่า GPO ที่ไม่ถูกต้องอาจทำให้เกิดปัญหาร้ายแรงขึ้นได้ ตัวอย่างเช่น ไม่สามารถเรียกใช้ gpedit.msc snap-in หรือแม้แต่โปรแกรมหรือแอพใดๆ การสูญเสียสิทธิ์ของผู้ดูแลระบบ หรือการจำกัดการเข้าสู่ระบบในเครื่อง ในกรณีเช่นนี้ คุณต้องรีเซ็ตการตั้งค่า GPO ที่บันทึกไว้ในไฟล์ในเครื่องบนคอมพิวเตอร์ของคุณ

ไฟล์นโยบายกลุ่ม Registry.pol

สถาปัตยกรรม Windows Group Policy ใช้ Registry.polพิเศษ ไฟล์. ไฟล์เหล่านี้เก็บการตั้งค่ารีจิสทรีที่สอดคล้องกับการตั้งค่า GPO ที่กำหนดค่าไว้ นโยบายผู้ใช้และคอมพิวเตอร์ถูกจัดเก็บไว้ในไฟล์ Registry.pol ที่แตกต่างกัน

• การตั้งค่าคอมพิวเตอร์ (ส่วนการกำหนดค่าคอมพิวเตอร์ ) ถูกเก็บไว้ใน %SystemRoot%\System32\GroupPolicy\Machine\registry.pol
• การตั้งค่าผู้ใช้ (ส่วนการกำหนดค่าผู้ใช้ ) ถูกเก็บไว้ใน %SystemRoot%\System32\GroupPolicy\User\registry.pol

ในระหว่างการเริ่มต้น Windows จะนำเข้าเนื้อหาของ \Machine\Registry.pol ไปยังกลุ่มรีจิสทรีของระบบ HKEY_LOCAL_MACHINE (HKLM). เนื้อหาของไฟล์ \User\Registry.pol ถูกนำเข้าไปยัง HKEY_CURRENT_USER (HKCU) รังผึ้งเมื่อผู้ใช้เข้าสู่ระบบ

เมื่อคุณเปิด Local GPO Editor Console จะโหลดเนื้อหาของไฟล์ registry.pol และแสดงในรูปแบบกราฟิกที่ใช้งานง่าย เมื่อคุณปิดตัวแก้ไข GPO การเปลี่ยนแปลงที่คุณทำจะถูกบันทึกไว้ในไฟล์ Registry.pol เมื่อคุณอัปเดตการตั้งค่านโยบายกลุ่มบนคอมพิวเตอร์ของคุณ (โดยใช้ gpupdate /force คำสั่งหรือตามกำหนดเวลา) การตั้งค่าใหม่ที่ใช้กับรีจิสทรี

หากต้องการลบการตั้งค่าปัจจุบันทั้งหมดสำหรับ GPO ในเครื่อง คุณต้องลบไฟล์ Registry.pol ในโฟลเดอร์ GroupPolicy และ GroupPolicyUsers

การรีเซ็ตการตั้งค่านโยบายกลุ่มภายในทั้งหมดพร้อมกันใน Windows 10/Windows Server 2016

ในการบังคับรีเซ็ตการตั้งค่า Group Policy ปัจจุบันทั้งหมด คุณต้องลบไฟล์ Registry.pol เป็นไปได้ที่จะลบไดเร็กทอรีทั้งหมดด้วยไฟล์การกำหนดค่านโยบาย คุณสามารถทำได้โดยใช้คำสั่งต่อไปนี้ เรียกใช้ในพรอมต์คำสั่งที่ยกระดับ:

RD /S /Q "%WinDir%\System32\GroupPolicyUsers"
RD /S /Q "%WinDir%\System32\GroupPolicy"

หลังจากนั้น คุณต้องรีเซ็ตการตั้งค่า GPO เก่าในรีจิสทรีโดยใช้ GPO ใหม่ทั้งหมด:

gpupdate /force

คำสั่งเหล่านี้จะรีเซ็ตการตั้งค่า Group Policy ในเครื่องทั้งหมดในส่วนการกำหนดค่าคอมพิวเตอร์และการกำหนดค่าผู้ใช้

เปิด gpedit.msc และตรวจสอบให้แน่ใจว่านโยบายทั้งหมดอยู่ใน ไม่ได้กำหนดค่า สถานะ. หลังจากเรียกใช้คอนโซล gpedit.msc แล้ว ให้ลบ GroupPolicyUsers และ GroupPolicy โฟลเดอร์จะถูกสร้างขึ้นโดยอัตโนมัติด้วยไฟล์ Registry.pol ที่ว่างเปล่า

ครั้งถัดไปที่คุณทำการเปลี่ยนแปลงนโยบายกลุ่ม Windows จะสร้างไฟล์ Registry.pol ใหม่ด้วยการตั้งค่าใหม่

รีเซ็ตการตั้งค่านโยบายความปลอดภัยท้องถิ่นเป็นค่าเริ่มต้นใน Windows

นโยบายความปลอดภัยในพื้นที่ ได้รับการกำหนดค่าในคอนโซล mmc แยกต่างหาก – secpol.msc . หากปัญหากับคอมพิวเตอร์เกิดจากการ "ขันสกรูให้แน่น" ในการตั้งค่าความปลอดภัยในเครื่อง และหากคุณยังมีสิทธิ์เข้าถึง Windows และสิทธิ์ผู้ดูแลระบบในเครื่อง จะเป็นการดีกว่าที่จะรีเซ็ตการตั้งค่านโยบายความปลอดภัยเป็นค่าเริ่มต้น โดยเปิด cmd.exe ในฐานะผู้ดูแลระบบและเรียกใช้คำสั่งต่อไปนี้:

• ใน Windows 10, Windows 8.1/8 และ Windows 7: secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb /verbose
• ใน Windows XP: secedit /configure /cfg %windir%\repair\secsetup.inf /db secsetup.sdb /verbose

รีสตาร์ทคอมพิวเตอร์

หากคุณยังคงมีปัญหากับนโยบายความปลอดภัย ให้ลองเปลี่ยนชื่อไฟล์จุดตรวจสอบของฐานข้อมูลนโยบายความปลอดภัยท้องถิ่น %windir%\security\database\edb.chk ด้วยตนเอง

ren %windir%\security\database\edb.chk edb_old.chk

เรียกใช้คำสั่ง:
gpupdate /force

รีสตาร์ท Windows โดยใช้คำสั่งปิดเครื่อง:
Shutdown –f –r –t 0

รีเซ็ตการตั้งค่า GPO ในพื้นที่โดยไม่ต้องเข้าสู่ระบบ

หากไม่สามารถบูต/เข้าสู่ระบบ Windows ได้, บริการ GPSVC ไม่ทำงาน, คุณไม่มีสิทธิ์ของผู้ดูแลระบบในพื้นที่ หรือคุณไม่สามารถเปิดพรอมต์คำสั่งได้ (เช่น แอปถูกบล็อกโดยนโยบาย Applocker/SRP) ให้บูตเครื่อง คอมพิวเตอร์จากแผ่นดิสก์การติดตั้ง Windows, แฟลชไดรฟ์ USB หรือ LiveCD และรีเซ็ต GPO ในเครื่องนอกอิมเมจ Windows ที่ติดตั้ง

1. บูตเครื่องคอมพิวเตอร์จากสื่อการติดตั้ง Windows และเปิดพรอมต์คำสั่ง (Shift+F10 );
2. เรียกใช้คำสั่ง:
   diskpart
3. จากนั้นแสดงรายการโวลุ่มบนคอมพิวเตอร์:
   list volume
   ในกรณีนี้ อักษรระบุไดรฟ์ที่กำหนดให้กับไดรฟ์ข้อมูลระบบจะสอดคล้องกับไดรฟ์ระบบ C:\ . อย่างไรก็ตามในบางครั้งอาจไม่ตรงกัน ดังนั้น คำสั่งด้านล่างจะต้องดำเนินการในบริบทของไดรฟ์ระบบของคุณ (เช่น D:\ หรือ C:\);
4. ปิดส่วนดิสก์:
   exit
5. รันคำสั่งต่อไปนี้ทีละคำสั่ง:
   RD /S /Q C:\Windows\System32\GroupPolicy
RD /S /Q C:\Windows\System32\GroupPolicyUsers
6. รีสตาร์ทคอมพิวเตอร์ในโหมดปกติ และตรวจสอบให้แน่ใจว่าการตั้งค่า Group Policy ในเครื่องถูกรีเซ็ตเป็นสถานะเริ่มต้น

จะล้างและลบการตั้งค่า GPO ที่ใช้โดเมนได้อย่างไร

คำสองสามคำเกี่ยวกับนโยบายกลุ่มโดเมน หากคอมพิวเตอร์เข้าร่วมโดเมน Active Directory การตั้งค่าบางอย่างจะถูกกำหนดโดย GPO ตามโดเมน

ไฟล์ registry.pol ของนโยบายกลุ่มของโดเมนที่ใช้ทั้งหมดจะถูกจัดเก็บไว้ในไดเรกทอรี %windir%\System32\GroupPolicy\DataStore\0\SysVol\contoso.com\Policies . แต่ละนโยบายจะถูกเก็บไว้ในโฟลเดอร์แยกต่างหากที่มี GUID ของนโยบายโดเมน หลังจากที่คอมพิวเตอร์ของคุณออกจากโดเมน AD ไฟล์ registry.pol ของนโยบายกลุ่มโดเมนในคอมพิวเตอร์จะถูกลบและจะไม่โหลดไปยังรีจิสทรีเมื่อเริ่มต้น อย่างไรก็ตาม ในบางครั้ง แม้จะลบคอมพิวเตอร์ออกจากโดเมนแล้ว แต่การตั้งค่า GPO ก็ยังสามารถนำไปใช้กับคอมพิวเตอร์ได้

รีจิสตรีคีย์ต่อไปนี้สอดคล้องกับไฟล์ registry.pol เหล่านี้:

• HKLM\Software\Policies\Microsoft
• HKCU\Software\Policies\Microsoft
• อ็อบเจ็กต์นโยบาย HKCU\Software\Microsoft\Windows\CurrentVersion\Group
• HKCU\Software\Microsoft\Windows\CurrentVersion\Policies

ประวัติรุ่นของ GPO ของโดเมนที่ใช้ซึ่งถูกใช้บนไคลเอนต์จะอยู่ในรีจิสทรีคีย์ต่อไปนี้:

• HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\History\
• HKCU\Software\Microsoft\Windows\CurrentVersion\Group Policy\History\

แคชในเครื่องของ GPO ของโดเมนที่ใช้จะถูกเก็บไว้ใน C:\ProgramData\Microsoft\Group Policy\History . ลบไฟล์ในไดเร็กทอรีนี้ด้วยคำสั่ง::

DEL /S /F /Q “%PROGRAMDATA%\Microsoft\Group Policy\History\*.*”

ถ้าคุณต้องการเอาการตั้งค่า GPO ของโดเมนออก คุณต้องล้าง %windir%\System32\GroupPolicy\DataStore\0\SysVol\contoso.com\Policies ไดเร็กทอรีและลบรีจิสตรีคีย์ที่ระบุ (ขอแนะนำอย่างยิ่งให้คุณสำรองไฟล์ที่ถูกลบและรายการรีจิสตรี !!!) .

gpupdate /force /boot