Обновление членства в группах AD без перезагрузки/перелогина

Применение DLP, AD, JS, PHP, SQL, Delphi, AJAX, VPN

Сброс доменных групповых политик

Администраторам ЛВС предприятия, особенно когда компьютеры входят в корпоративную доменную сеть, приходится сталкиваться с ситуацией, когда ПК некоторое время стоял без работы, отключенным от сети. Соответственно и пользователь работавший за этим компьютером уже работает за другой ПЭВМ или же уволен по разным причинам. Пылившийся в серверной компьютер находит своего нового владельца и его необходимо настроить, но групповые политики все еще действуют, поскольку они не исчезают после отключения от СПД. Проверить, какие политики действуют на ПК можно следующей командой, выполненной из командной строки:

gpresult /h c:\

В результате в корне диска “С” будет создан файл в котором удобно просмотреть все действующие политики. Поскольку требуется привести комп в состояние близкое к первоначальному без переустановки операционной системы Windows, нужно воспользоваться полномочиями более высокими чем у рядового пользователя.

К примеру, очень неудобно вводить каждый раз пароль администратора для запуска той или иной программы (например деинсталлятора) или переименования ПК, а таких операций необходимо будет сделать много. Для начала необходимо удостовериться в наличии доступа к учетной записи администратора ОС. Если пароль не известен, то придется воспользоваться какой-либо утилитой сброса пароля. Такая например входит в состав всем известного HirensBootCD.. Будем считать, что пароль вы сбросили. Сброс пароля администратора может потребоваться и в том случае, если действующая доменная политика накладывает ограничения на структуру пароля и нет возможности поставить пустой, но если пароль администратора известен, то выполнение команды приведенной ниже избавит Вас от необходимости сброса сторонними программами. Прежде чем перейти к командам избавления от действий доменных групповых политик, следует сказать как они попадают в систему и почему действуют при отключении от сети. Параметры групповых политик хранятся в специальном файле ““. Он расположен, как правило, в каталоге “C:\Windows\system32\GroupPolicy”. Политики действующие на компьютер в целом, вне зависимости от учетной записи пользователя, размещаются в подкаталоге “Machine”, а политики учетной записи в подкаталоге “User”. Редактировать файл “” вручную не стоит, для этого есть специальная оснастка, но она скорее всего будет недоступна по правилам той же GroupPolicy. Как правило, политики задаются из домена при входе в систему, перезаписью файлов “Machine\” и “User\”, которые операционная система импортирует в соответсвующий раздел реестра. Эти ветки реестра могут быть недоступны для редактирования, даже если ваша учетная запись является локальным администратором на ПК. Решение проблемы:

Читайте также:  Как исправить ошибку 0x80070002 в Windows 7 и Windows 10?

1 способ. Нужно удалить файлы в каталоге GroupPolicy. Для этого запустите командную строку от учетной записи администратора и выполните следующую последовательность команд.

rd /s /q "%windir%\system32\GroupPolicyUsers" rd /s /q "%windir%\system32\GroupPolicy" gpupdate /force

Последняя команда обновляет настройки политик (в данном случае будет выполнен сброс на состояние “по умолчанию”). Первая строка может не выполнится, если в вашей ОС нет такого каталога.

2 способ. На мой взгляд более универсальный. Опять же необходимо запустить CMD от имени админитратора и выполнить одну из приведенных ниже команд. Для Win 7 и выше:

secedit /configure /cfg %windir%\inf\ /db /verbose

Для Win XP:

secedit /configure /cfg %windir%\repair\ /db /verbose

Теперь необходимо выполнить перезагрузку ПК. Все. Доменные политики прекратили свое действие. Следует учесть, что если учетная запись администартора которую вы использовали была создана из домена, то и политики еще существования были не локальными, а доменными, и следовательна она станет отключенной и Вы ей не сможете воспользоваться, поэтому рекомендую создать дополнительную админскую учетку до использования командной строки с целью избавления от политик.

Можно конечно приведенные команды сложить в один пакетный файл, но это, надеюсь, Вы сможете сделать и без моей помощи.

PS: Не забудьте поделиться статьей кнопкой соцсети справа от записи.

Категория: Админу,Групповые политики Теги: CMD, gpresult, GroupPolicy, Hirens, Machine, Registry, User, windows, групповая, отменить, ПК, политика, сброс Комментарии (1)

Включение функции перенаправления папок в GPO

Произведем настройку на примере каталога AppData. В редакторе политики конфигурация пользователя — настройки windows — перенаправляемые папки выбираем папку AppData и заходим в её свойства.

На вкладке конечная папка нам дается на выбор два варианта настройки:

  1. Перенаправлять папки всех пользователей в одно расположение — это простой режим, как понятно из названия, все каталоги пользователей будут размещаться в одной сетевой шаре
  2. Указать различные расположения для разных групп пользователей — это сложный режим. Он позволяет задать несколько сетевых шар в одной политике. Этот режим использовать не рекомендуется.
Читайте также:  MTU в роутере — что это? Увеличиваем скорость Интернета

Выберем простой режим и зададим значение  Создать папку для каждого пользователя на корневом пути. Для файлового сервера лучше создать CNAME-запись на DNS-сервере, например, , корневой путь в таком случае будет выглядеть \\\redirection.

На вкладке параметры есть три условия:

  1. Предоставить права монопольного доступа. Мы уже настроили доступ и данное ограничение не требуется. Если применить это условие, то у группы администраторов не будет доступа к каталогам пользователей.
  2. Перенести содержимое «AppData» в новое расположение. Лучше эту опцию не использовать, или использовать только один раз и потом выключить. Иначе конфликты обеспечены.
  3. Применить политику перенаправления к ОС старее Vista. Если в домене есть старые ОС, то опцию нужно включить.

Также предлагается действие, которое будет произведено, если политика будет удалена. Это уже зависит от ситуации.

Настройки на вкладке параметры лучше произвести заранее, т.к. их дальнейшее редактирование выльется в проблемы.

Пару слов о AppData (перемещаемая): перенаправляется только каталог Roaming, а Local и LocalLow остаются на месте. Может получится так, что некоторое ПО будет очень активно использовать эту папку или определённое ПО вообще не умеет работать с перенаправляемой AppData, например, на данный момент это DropBox. Так или иначе проблемы могут возникнуть. С этой папкой надо проводить эксперименты в вашем окружении и принимать решение, быть или не быть.

Остальные папки настраиваются по аналогии.

Настроим созданный объект

Для настройки нового объекта кликаем по нему правой кнопкой мыши. В контектстном меню выбираем “Изменить”.

Откроется окно редактора управления групповыми политиками. Займемся “полезным” делом — удалим папку со стандартными играми из меню Пуск. Для этого, в меню слева проследуем по пути Конфигурация пользователя Конфигурация пользователя → Политики → Административные шаблоны: получены определения политик (ADMX-файлы) с локального компьютера → Меню “Пуск” и панель задач.

В правой части окна найдем параметр “Удалить ссылку “Игры” из меню “Пуск””. Для удобства поиска можно воспользоваться сортировкой по имени, вверху окна.

Кликаем по этому параметру правой кнопкой мыши, выбираем “Изменить”.

В открывшемся окне изменим состояние на “Включено”. В поле комментария рекомендуем не игнорировать. Для завершения настройки нажимаем “OK”.

Настроим созданный объект

Создание объектов можно считать оконченным.

Читайте также:  Все полезные сочетания клавиш в Windows 10

Как пользоваться командой gpupdate?

Команда gpupdate является заменой команды secedit /refreshpolicy, которая использовалась в операционной системе Windows 2000 для ручного запуска процесса обновления объектов групповой политики.

Хотя все политики обновляются автоматически, использование этой команды позволяет выполнить немедленное обновление объекта групповой политики. Часто это оказывается необходимо после внесения изменений в объект групповой политики.

Таким образом, можно убедиться в правильности изменений в объекте групповой политики. В отличие от команды secedit /refreshpolicy команда gpupdate по умолчанию выполняет обновление параметров политики пользователя и политики компьютера. При использовании утилиты secedit приходилось запускать две отдельные команды.

Команда gpupdate имеет следующий синтаксис:

Параметры команды gpupdate рассматриваются в следующей таблице.

Параметры команды gpupdate

Заставляет команду выполнять обновление только параметров компьютера или только параметров пользователя в объекте групповой политики. По умолчанию обновляются параметры компьютера и пользователя

Игнорирует все оптимизации обработки объектов групповой политики, например, обнаружение медленных связей, и повторно применяет все параметры

Позволяет указать количество секунд, за которое должна завершиться обработка политики. По умолчанию используется значение 600 (10 минут). Значение означает отсутствие ожидания, а значение -1 означает неограниченное ожидание

Завершает сеанс работы пользователя после применения параметров объекта групповой политики. Завершение сеанса работы пользователя требуется для обновления многих параметров политики, например, параметров рабочего стола, поэтому процесс завершения сеанса стоит автоматизировать

Приводит к синхронному применению параметров объекта групповой политики к компьютерам в процессе загрузки и к пользователям в процессе регистрации. Такое поведение по умолчанию принято в операционной системе Windows 2000. Это приводит к применению всех политик в процессе регистрации. В операционных системах Windows XP и Windows Server 2003 политики, принятые по умолчанию, применяются асинхронно. При этом некоторые пользователи будут регистрироваться на основании кэшированных данных и не получат обновленные параметры групповой политики

Предположим, что в параметры политики пользователя были внесены изменения.

Для проверки изменений можно запустить команду gpupdate /target:user /logoff. Эта команда выполняет обновление пользовательской части объекта групповой политики и автоматически завершает сеанс работы пользователя после окончания обновления. Как только пользователь зарегистрируется в системе повторно, он заметит внесенные изменения.

Вы можете задать вопрос по статье специалисту.