Создание политик безопасности в Windows Server 2008

Я не буду рассказывать, что такое групповые политики, и остановлюсь лишь на основных моментах, которые стоит иметь в виду при работе с ними.

Сброс доменных групповых политик

Администраторам ЛВС предприятия, особенно когда компьютеры входят в корпоративную доменную сеть, приходится сталкиваться с ситуацией, когда ПК некоторое время стоял без работы, отключенным от сети. Соответственно и пользователь работавший за этим компьютером уже работает за другой ПЭВМ или же уволен по разным причинам. Пылившийся в серверной компьютер находит своего нового владельца и его необходимо настроить, но групповые политики все еще действуют, поскольку они не исчезают после отключения от СПД. Проверить, какие политики действуют на ПК можно следующей командой, выполненной из командной строки:

gpresult /h c:\

В результате в корне диска “С” будет создан файл в котором удобно просмотреть все действующие политики. Поскольку требуется привести комп в состояние близкое к первоначальному без переустановки операционной системы Windows, нужно воспользоваться полномочиями более высокими чем у рядового пользователя.

К примеру, очень неудобно вводить каждый раз пароль администратора для запуска той или иной программы (например деинсталлятора) или переименования ПК, а таких операций необходимо будет сделать много. Для начала необходимо удостовериться в наличии доступа к учетной записи администратора ОС. Если пароль не известен, то придется воспользоваться какой-либо утилитой сброса пароля. Такая например входит в состав всем известного HirensBootCD.. Будем считать, что пароль вы сбросили. Сброс пароля администратора может потребоваться и в том случае, если действующая доменная политика накладывает ограничения на структуру пароля и нет возможности поставить пустой, но если пароль администратора известен, то выполнение команды приведенной ниже избавит Вас от необходимости сброса сторонними программами. Прежде чем перейти к командам избавления от действий доменных групповых политик, следует сказать как они попадают в систему и почему действуют при отключении от сети. Параметры групповых политик хранятся в специальном файле ““. Он расположен, как правило, в каталоге “C:\Windows\system32\GroupPolicy”. Политики действующие на компьютер в целом, вне зависимости от учетной записи пользователя, размещаются в подкаталоге “Machine”, а политики учетной записи в подкаталоге “User”. Редактировать файл “” вручную не стоит, для этого есть специальная оснастка, но она скорее всего будет недоступна по правилам той же GroupPolicy. Как правило, политики задаются из домена при входе в систему, перезаписью файлов “Machine\” и “User\”, которые операционная система импортирует в соответсвующий раздел реестра. Эти ветки реестра могут быть недоступны для редактирования, даже если ваша учетная запись является локальным администратором на ПК. Решение проблемы:

1 способ. Нужно удалить файлы в каталоге GroupPolicy. Для этого запустите командную строку от учетной записи администратора и выполните следующую последовательность команд.

rd /s /q "%windir%\system32\GroupPolicyUsers" rd /s /q "%windir%\system32\GroupPolicy" gpupdate /force

Последняя команда обновляет настройки политик (в данном случае будет выполнен сброс на состояние “по умолчанию”). Первая строка может не выполнится, если в вашей ОС нет такого каталога.

2 способ. На мой взгляд более универсальный. Опять же необходимо запустить CMD от имени админитратора и выполнить одну из приведенных ниже команд. Для Win 7 и выше:

Читайте также:  Google chrome обновления отключены администратором

secedit /configure /cfg %windir%\inf\ /db /verbose

Для Win XP:

secedit /configure /cfg %windir%\repair\ /db /verbose

Теперь необходимо выполнить перезагрузку ПК. Все. Доменные политики прекратили свое действие. Следует учесть, что если учетная запись администартора которую вы использовали была создана из домена, то и политики еще существования были не локальными, а доменными, и следовательна она станет отключенной и Вы ей не сможете воспользоваться, поэтому рекомендую создать дополнительную админскую учетку до использования командной строки с целью избавления от политик.

Можно конечно приведенные команды сложить в один пакетный файл, но это, надеюсь, Вы сможете сделать и без моей помощи.

PS: Не забудьте поделиться статьей кнопкой соцсети справа от записи.

Категория: Админу,Групповые политики Теги: CMD, gpresult, GroupPolicy, Hirens, Machine, Registry, User, windows, групповая, отменить, ПК, политика, сброс Комментарии (1)

Что такое локальная групповая политика?

По определению, групповая политика — это функция Windows, которая предлагает вам централизованный способ управления и настройки операционной системы Windows, программ и пользовательских настроек с компьютеров, подключенных к одному домену. Групповые политики наиболее полезны, если вы являетесь сетевым администратором и вам необходимо применять определенные правила или параметры на компьютерах или пользователях, находящихся в сети, которой вы управляете.

Локальная групповая политика — это вариант групповой политики, который также позволяет управлять отдельными компьютерами, в отличие от всех компьютеров, зарегистрированных в домене. Хорошим примером является ваш домашний компьютер с Windows 10, Windows 8.1 или Windows . Это означает, что этот инструмент может быть полезен как для домашних пользователей, так и для сетевых администраторов. Проще говоря, вы должны думать о локальной групповой политике как о наборе правил, управляющих работой Windows на вашем компьютере или устройстве.

Добавление локальных пользователей

Оснастка примечательна простотой и быстротой создания новых локальных пользователей. Так, в Win8.1 и Win10 новые пользователи создаются только в современных системных параметрах, где этот процесс сопровождается волокитой с отказом от способа входа нового пользователя в систему с подключением к аккаунту Microsoft, если мы хотим создать для него локальную «учётку». Новый пользователь сам может решить, хочет ли он подключать аккаунт Microsoft или нет, и если хочет, то он сам может это сделать в системных настройках, даже если у него будут только права стандартного пользователя. В оснастке же всё делается на раз-два: на пустом месте в разделе «Пользователи» жмём контекстное меню, выбираем «Новый пользователь».

Добавление локальных пользователей

Вписываем имя пользователя. Далее можем установить для него пароль, а можем ничего не устанавливать, активная по умолчанию опция требования смены пароля при первом заходе этого пользователя даст ему возможность самому установить себе пароль. Мы также можем убрать галочку этой опции, тогда новая «учётка» будет незапаролена, и пользователь в любой момент позднее, если посчитает нужным, установит себе пароль в системных настройках.

Добавление локальных пользователей

Вот, собственно, и все телодвижения, если нам надо создать локального пользователя со стандартными правами. Если же учётную запись пользователю надо создать с правами администратора, тогда делаем на этом пользователе двойной клик. Откроется окошко свойств пользователя, в нём переходим на вкладку членства в группах. Удаляем группу «Пользователи».

Добавление локальных пользователей

Жмём «Добавить». В появившемся окошке выбора групп нажимаем «Дополнительно».

Добавление локальных пользователей

Далее – «Поиск». И кликаем «Администраторы».

Добавление локальных пользователей

Жмём «Ок».

Добавление локальных пользователей

Всё: у пользователя есть администраторские права. Теперь просто нажимаем «Применить».

Добавление локальных пользователей

Сбросить групповую политику по умолчанию

Параметры групповой политики могут различаться в зависимости от нескольких конфигураций, таких как Персонализация, Параметры брандмауэра, Принтеры, Политики безопасности, и т. Д. Мы рассмотрим несколько методов, с помощью которых можно сбросить соответствующие политики до состояния по умолчанию. ,

Читайте также:  0xc004f017 при активации kms office 2020

1] Сброс настроек GPO с помощью редактора локальной групповой политики

Теперь это очень простой. Выполните следующие шаги для сброса измененных настроек объекта групповой политики.

1. Нажмите Windows Key + R на клавиатуре, чтобы запустить приглашение «Выполнить». Введите и нажмите Enter, чтобы открыть редактор локальной групповой политики.

2. Перейдите по следующему пути в левой части окна редактора групповой политики:

Сбросить групповую политику по умолчанию

Политика локального компьютера> Конфигурация компьютера> Административные шаблоны> Все параметры

3. Теперь в правом боковом окне отсортируйте параметры политики по столбцу «Состояние», чтобы все те политики, которые в настоящее время включены/отключены , были доступны сверху.

4. Далее, измените их состояние с Включено/Отключено на Не настроено и примените настройки.

5. Повторите то же самое для приведенного ниже пути.

Политика локального компьютера> Конфигурация пользователя> Административные шаблоны> Все настройки

6. Это восстановит все параметры групповой политики в состояние по умолчанию. Однако, если вы столкнулись с некоторыми серьезными проблемами, такими как потеря прав администратора или отстранение от входа в систему, вы можете попробовать следующий метод.

2] Восстановить локальные политики безопасности по умолчанию

Политики безопасности вашей учетной записи администратора в Windows поддерживаются в другой консоли управления – (локальная политика безопасности) . Эта оснастка параметра безопасности расширяет оснастку «Групповая политика» и помогает определять политики безопасности для компьютеров в вашем домене.

Теперь, при определенных обстоятельствах, вы можете получить некоторые испорченные настройки безопасности, которые вы можете установить правильно, если вы сохранили административные привилегии на вашем компьютере.

Выполните следующие шаги для сброса политик безопасности на вашем компьютере:

Сбросить групповую политику по умолчанию

1. Нажмите Windows Key + X на клавиатуре, чтобы открыть меню Быстрая ссылка . Выберите Командная строка (Администратор) , чтобы открыть окно командной строки с повышенными правами.

2. Введите указанную ниже команду в окне приглашения и нажмите Enter:

secedit/configure/cfg% windir% \ inf \

3. После завершения задачи перезагрузите компьютер, чтобы изменения вступили в силу, и снова начните с политик безопасности.

4. Если некоторые компоненты по-прежнему выглядят странно, вы можете перейти к следующему методу для полной перезагрузки объектов групповой политики.

3] Сброс объектов групповой политики с помощью командной строки

Этот конкретный метод включает удаление папки параметров групповой политики с диска, на котором установлена ​​Windows. Выполните следующие шаги, чтобы сделать это, используя окно командной строки с повышенными правами.

1. Откройте окно командной строки с повышенными правами, как описано в способе 2.

2. Введите эти команды в CMD и выполните их одну за другой.

RD/S/Q «% WinDir% \ System32 \ GroupPolicyUsers»

Сбросить групповую политику по умолчанию

RD/S/Q «% WinDir% \ System32 \ GroupPolicy»

gpupdate/force

3. По завершении перезагрузите компьютер.

Убедитесь, что вы создали точку восстановления системы, прежде чем вносить какие-либо изменения в реестр или параметры политики.

Связанное чтение . Как восстановить поврежденную групповую политику в Windows 10.

Создание ярлыка для быстрого запуска

Если пользователю понадобится часто обращаться к системной оснастке, он может создать значок в главном меню. Это упростит запуск инструмента, при этом не нужно запоминать соответствующие команды.

Создание ярлыка для быстрого запуска

Для создания ярлыка потребуется:

  • Щелкнуть ПКМ по Рабочему столу.
  • Во всплывшем окне выбрать «Создать», затем «Ярлык».
Создание ярлыка для быстрого запуска
  • Указать путь: C:\Windows\System32\
  • Нажать «Далее».
  • Указать название.
  • Нажать «Готово».
Создание ярлыка для быстрого запуска

На Рабочем столе появится значок, который можно открыть двойным нажатием ЛКМ. Пользователь сразу попадет в меню Редактора.

Читайте также:  6 способов проверить, какие версии .NET Framework установлены

Инструмент владельцы гаджетов нередко используют для настроек операционки. Предпочтительный способ открытия Редактора каждый пользователь выбирает для себя сам. Несмотря на то, что утилита представлена в двух версиях, настройки дают возможность использовать ее и в Домашней версии, если это необходимо автору.

Создание ярлыка для быстрого запуска

Поиск объектов групповой политики

При развертывании групповых политик в организации у вас могут быть созданы десятки (а то и сотни) объектов групповых политик. Если в вашей организации есть только один домен, то обнаружить необходимый объект групповых политик много времени у вас не займет. Но как быть, если в лесу вашей организации развернуто несколько доменов? Для этого вам поможет функционал поиска объектов групповых политик. Для того чтобы найти существующий объект групповой политики, выполните следующие действия:

  1. В дереве консоли оснастки «Управление групповой политикой» щелкните правой кнопкой мыши на вашем лесу (или если вы знаете, в каком домене нужно провести поиск объекта, то можете вызвать контекстное меню для конкретного домена) и из контекстного меню выберите команду «Найти»;

Рис. 9. Поиск объекта групповой политики

  1. В диалоговом окне «Поиск объектов групповой политики» в раскрывающемся списке «Искать объекты групповой политики в домене:» можете выбрать домен, для которого будет производиться поиск или оставить значение, используемое по умолчанию;

Рис. 10. Выбор домена для поиска GPO

  1. В раскрывающемся списке «Элемент поиска», выберите тип объекта, для которого будет выполняться поиск. В этом случае нужно выбрать элемент «Имя объекта групповой политики»;
  2. Раскрывающийся список «Условие» позволяет выбрать условие для поиска. Доступные варианты «Содержит», «Не содержит» и «совпадает». При выборе условия «совпадает» вам нужно ввести точное название политики. В противном случае поиск закончится ошибкой;
  3. В поле «Значение» введите значение, которое будет использовано для фильтрации поиска. Если результаты предыдущего поиска были сохранены, то значение можно будет выбрать из раскрывающегося списка;
  4. Нажмите на кнопку «Добавить» для выбора условия поиска;
  5. По нажатию на кнопку «Найти» будут выведены все результаты, согласно условиям поиска. Результат изображен на следующей иллюстрации:

Рис. 11. Результаты поиска

  1. Для того чтобы сразу перейти к оснастке «Редактор управления групповыми политиками» нажмите на кнопку «Изменить», для сохранения текущих результатов поиска нажмите на кнопку «Сохранить результаты» (результаты будут сохранены в указанной вами папке с расширением *.csv). По нажатию на кнопку «Очистить» результаты поиска будут очищены без сохранения, а для закрытия данного диалога нажмите на кнопку «Закрыть» или на клавишу Esc.

Заключение

Появление ошибки «Администратор вашей сети применил групповую политику, которая не позволяет выполнить установку» в случае установки Хром обычно является багом, вызванным работой ряда программ. Если вы не являетесь гостем в какой-либо служебной сети, рекомендуем второй и третий способ решения проблемы (работа с системным реестром), после чего дисфункция бывает решена. Если ничего не помогло, попробуйте откатить вашу Виндовс на более ранее состояние, это помогает в небольшом количестве случаев.