Как отменить все настройки в локальной групповой политики windows 10

Редактор локальной групповой политики. оснастка gpedit.msc

Групповая политика — это набор правил, применение которых может облегчить управление пользователями и компьютерами.

Параметры групповой политики применяются для управления конфигурацией операционной системы, а также для отключения опций и элементов управления пользовательского интерфейса для параметров, управляемых групповой политикой. Большинство параметров групповой политики хранятся в разделах реестра, связанных с групповыми политиками.

Существуют два типа групповых политик: локальные групповые политики и групповые политики службы каталогов Active Directory. Локальная групповая политика используется для управления параметрами локальной машины, а групповая политика службы каталогов Active Directory — для управления параметрами компьютеров сайтов, доменов и организационных единиц.

Локальные групповые политики применяются ко всем пользователям и администраторам, входящим в систему на компьютере. Управление локальной групповой политикой осуществляется посредством объекта групповой политики (ОГП — GPO, Group Policy Object). Объект локальной групповой политики хранится на каждом компьютере в скрытой папке %SystemRoot%\System32\GroupPolicy.

Дополнительные пользовательские и групповые объекты локальной групповой политики хранятся в папке %SystemRoot%\System32\GroupPolicyUsers.

Локальные политики (локальный GPO) можно редактировать с помощью оснастки gpedit.msc — редактора локальной групповой политики. Чтобы запустить редактор политики нажмите сочетание клавиш

R, в открывшемся окне Выполнить введите команду gpedit.msc и нажмите клавишу Enter ↵.

В открывшемся окне Редактор локальной групповой политики Вы можете редактировать конфигурацию компьютера и конфигурацию пользователя. В первом разделе (конфигурация компьютера) находятся общесистемные настройки, а во втором — пользовательские настройки.

Рассмотрим небольшой пример использования редактора политик. Допустим мы хотим отключить Диспетчер задач для пользователя. Когда пользователь нажимает Ctrl Alt Del, выводится меню, позволяющее запустить окно Диспетчера задач.

Зачем нужно запрещать Диспетчер задач? Пользователь может закрыть процесс, что приведет к потере данных (особенно когда человек не понимает, что делает). А потом будет надоедать с просьбой восстановить эти данные, что, далеко не всегда возможно. Поэтому проще запретить возможность завершать процессы, чем разбираться с потерями данных и их восстановлением.

Для отключения Диспетчера задач запустите редактор политик и выберите Конфигурация пользователя ► Административные шаблоны ► Система ► Варианты действий после нажатия CTRL ALT DEL. На правой панели вы увидите варианты действий после нажатия Ctrl Alt Del. Дважды щелкните на политике Удалить диспетчер задач.

По умолчанию политика не задана. Для отключения Диспетчера задач выберите значение Включить и нажмите кнопку OK.

После этого запуск Диспетчера задач будет невозможен.

Вы также не сможете запустить Диспетчер задач нажимая сочетание клавиш Ctrl Shift Esc, а также путем ввода команды taskmgr в окне Выполнить, в этом случае вы получите сообщение о том что Диспетчер задач отключен администратором.

При желании отключить Диспетчер задач можно и через реестр. По сути, политики — это надстройки реестра. Чем различается настройка системы через политики и через реестр? Да ничем, по большому счету. Политики созданы для более удобного редактирования реестра. Так, при отключении Диспетчера задач через редактор политик будет создан раздел реестра HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System, а в него добавлен параметр DisableTaskMgr типа DWORD со значением 1.

Для включения Диспетчера задач нужно в разделе реестраHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System для параметра DisableTaskMgr установить значение или использовать редактор политик для установки значения Отключить.

Чтобы отключить Диспетчер задач не для конкретного пользователя, а в масштабах всей системы, нужно создать DWORD-параметр DisableTaskMgr со значением 1 в разделе реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System.

Как исправить отказ в доступе

Давайте перечислим способы, позволяющие избавиться от ошибки «Групповая политика препятствует входу в систему».

Отредактируйте системный реестр

Выполните следующее:

Нажмите Win+R, введите там regedit, нажмите Энтер. Перейдите по пути:

В панели справа поищите параметр «GPSvcGroup». Если его там нет, кликните правой клавишей мышки на пустом месте правого поля, кликните на «Создать» — «Мультистроковой параметр» и дайте ему имя (переименуйте) на GPSvcGroup.

• Если он там есть (или вы его создали), кликните ПКМ на данном параметре, выберите «Изменить», скопируйте значение GPSvc в поле «Значения» и нажмите на «Ок»;

  Введите указанное значение

• Вновь нажмите ПКМ на пустое место справа, выберите «Создать» – «Раздел», и дайте ему название GPSvcGroup.
• Кликните на новосозданной папке GPSvcGroup, затем кликните ПКМ на пустом месте справа, выберите создать «Параметр DWORD» и назовите его AuthenticationCapabilities.
• Нажмите ПКМ на AuthenticationCapabilities, выберите «Изменить», активируйте «Десятичная», введите 12320 и нажмите на «Ок».
• Создайте другой параметр DWORD с именем CoInitializeSecurityParam и установите ему значение 1.

  Создайте перечисленные параметры

• Перезагрузите ваш ПК и попытайтесь выполнить вход в оригинальный аккаунт.

Перезапустите службу групповых политик

• Нажмите на Win+R, введите там services.msc. Найдите в перечне служб «Клиент групповой политики», дважды кликаем на ней, устанавливаем тип запуска на «Автоматически», сохраняем изменения;
• Запускаем командную строку, там набираем:

И нажимаем ввод. После завершения процедуры перезагружаем ПК, это может помочь устранить ошибку «Клиент групповой политики препятствует входу в систему».

Введите данную команду

Проверьте систему на наличие зловредов

Во многих случаях причинами рассматриваемой проблемы являются вирусные зловреды, изменяющие системные настройки под свои нужны. Используйте ДокторВеб Кюрейт, Trojan Remover, AdwCleaner и другие онлайн аналоги для борьбы со зловредами — 7 лучших антивирусов.

Восстановите параметры безопасности

Для реализации данной операции нам понадобится загрузочная флешка с нашей версией ОС. Загрузитесь с её помощью, выбираем внизу «Восстановление», запускаем командную строку, и там вводим:

secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb /verbose

Перезагрузите ваш ПК, это поможет исправить проблему отказано в доступе.

Удалите файл NTUSER.DAT

Перейдите в директорию C:\Users, там найдите папку с названием вашего аккаунта, войдите в неё, и удалите там файл NTUSER.DAT, отвечающий за хранение настроек пользовательского профиля. Если ваш аккаунт повреждён, вы можете попробовать удалить данный файл, перезагрузить ваш ПК, и попытаться войти в систему.

Удалите указанную папку

Выполните системное восстановление

Переход к ранее стабильной точке работы вашего ПК (откат системы) является хорошей альтернативой для восстановления её работоспособности. При запуске системы быстро жмите на F8 и выберите «Загрузка последней удачной конфигурации». Это может помочь решить проблему отказано в доступе клиенту групповых политик.

Если же доступ к системе вовсе не возможен, попробуйте загрузиться с флешки с имеющейся на ней образом Виндовс 10, и после выбора языка кликнуть слева внизу на «Восстановление системы». В дополнительных параметрах необходимо будет вновь выбрать опцию «Восстановление системы», что позволит системе выполнить откат до прежней стабильной точки восстановления.

Появление рассматриваемого в статье сообщения обычно сигнализирует о наличии проблем со службой групповых политик «GPSVC», актуализированной в процессе SVCHOST. Выполните перечисленные выше советы, что позволит решить ошибку «Служба «Клиент групповой политики» препятствует входу в систему» на вашем ПК.

Не удается найти gpedit.msc

Очень часто при настройке Windows используется редактор групповых политик (gpedit.msc). Но в состав некоторых редакций Windows 7 (Home Premium, Home Basic и Starter) редактор групповых политик не входит и при попытке его запуска появляется сообщение: Не удается найти “gpedit.msc”. Проверьте, правильно ли указано имя и повторите попытку.

Редактор gpedit.msc установлен по умолчанию в версиях Windows 7 Ultimate, Professional и Enterprise. Но чтобы иметь возможность использовать этот компонент не обязательно переходить на эти версии Windows.

Чтобы включить gpedit.msc в Windows 7 Home Premium, Home Basic и Starterнужно выполнить следующие действия:

Внимание! Утилита для включения gpedit.msc в Windows 7 Home Premium, Home Basic и Starter  официально не поддерживается компанией Microsoft. Поэтому автор статьи не несет ответственность за возможные нарушения в работе операционной системы после ее использования

1. Перейдите на станицу закачки установщика редактора групповой политики, нажмите ссылку Download и сохраните на компьютер архив с инсталлятором.

2. Распакуйте скачанный ZIP файл с помощью 7-ZIP или WinRAR. В результате вы должны получить установочный файл setup.exe.

3. Запустите setup.exe.

4. Следуйте инструкциям инсталлятора. По окончании установки нажмите кнопку Finish.

5. Только для пользователей64-разрядной (x64) Windows 7!

Откройте папку “C: Windows SysWOW64” и скопируйте папки и файл, приведенные ниже в списке, в папку “C: Windows System32”

6. Перезагрузите компьютер и попробуйте запустить редактор групповой политики (gpedit.msc).

Если при запуске gpedit.msc появляется ошибка “Консоль управления (MMC) не может создать оснастку”, тогда нужно выполнить действия, приведенные ниже. В основном эта ошибка возникает если имя пользователя Windows состоит из двух и более слов.

1. Снова запустите setup.exe, пройдите все этапы установки и остановитесь на последнем шаге, на котором нужно нажать кнопку Finish.

2. Откройте папку “C:WindowsTempgpedit”

3. В зависимости от того, какая версия Windows у вас установлена 32-разрядная (x86) или 64-разрядная (x64), вам нужно открыть для редактирования соответствующий пакетный файл. Нажмите правой кнопкой мыши на нужном файле и выберите пункт Изменить.

4. Найдите в открытом файле 6 строк, содержащих следующий фрагмент:

5. Замените этот фрагмент во всех 6 строках на

Например:

до изменения:

после изменения:

6. Сохраните файл и запустите его от имени администратора (правая кнопка мыши — > Запуск от имени администратора)

7. Закройте окно установки нажатием кнопки Finish.

Теперь вы можете запустить gpedit.msc.

Если после выполнения всех вышеперечисленных действий у вас все-равно появляется ошибка “Консоль управления (MMC) не может создать оснастку”, тогда попробуйте еще один вариант:

1. Создайте нового временного пользователя с правами администратора с именем, состоящим из одного слова.

2. Войдите в систему под этим пользователем.

3. Запустите файл setup.exe и следуйте инструкциям инсталлятора.

4. Перезагрузите компьютер.

5. Войдите в систему под пользователем, с которым вы работали раньше.

6. Удалите учетную запись временного пользователя.

Вновь установленный редактор групповой политики имеет английский интерфейс, но в нем при желании можно легко разобраться.

Как редактировать политики Windows с помощью редактора локальной групповой политики

Чтобы вы могли легко понять процесс, связанный с редактированием политик, мы будем использовать пример. Допустим, вы хотите установить конкретные обои по умолчанию для вашего рабочего стола, которые будут установлены для всех существующих или новых пользователей на вашем компьютере с Windows.

Чтобы перейти к настройкам рабочего стола, вам нужно будет просмотреть категорию «Конфигурация пользователя» на левой панели. Затем перейдите к административным шаблонам, разверните Рабочий стол и выберите параметры внутреннего рабочего стола. На правой панели вы увидите все параметры, которые вы можете настроить для выбранного в настоящий момент административного шаблона

Обратите внимание, что для каждого доступного параметра у вас есть два столбца с правой стороны:

• В столбце «Состояние» указано, какие параметры не настроены, а какие включены или отключены.
• В столбце «Комментарии» отображаются комментарии, сделанные вами или другим администратором для этого параметра.

В левой части этой панели также отображается подробная информация о том, что делает конкретный параметр и как он влияет на Windows. Эта информация отображается в левой части панели всякий раз, когда вы выбираете определенную настройку. Например, если вы выберете Обои для рабочего стола, слева вы увидите, что их можно применять к версиям Windows, начиная с Windows 2000, и вы можете прочитать их Описание , которое говорит вам, что вы можете указать «фон рабочего стола отображается на всех рабочих столах пользователей» . Если вы хотите отредактировать настройку, в нашем случае обои рабочего стола, дважды щелкните/нажмите на эту настройку или щелкните правой кнопкой мыши/нажмите и удерживайте ее, а затем выберите «Изменить» в контекстном меню.

Откроется новое окно с названием выбранного вами параметра. В этом окне вы можете включить или отключить настройку или оставить «Не настроено». Если вы хотите включить настройку, сначала выберите ее как Включено. Затем прочитайте раздел справки и, если есть раздел «Опции», убедитесь, что вы заполняете запрашиваемую информацию

Обратите внимание, что это окно может включать в себя различные параметры, в зависимости от настройки, которую вы выбираете для редактирования. Например, в нашем примере об указании обоев для рабочего стола мы должны указать путь к файлу изображения, который мы хотим установить в качестве обоев, и мы должны выбрать, как мы хотим, чтобы он располагался

Затем мы можем добавить комментарий (если мы хотим — это совершенно необязательно) и, наконец, мы должны нажать кнопку Применить или кнопку ОК , чтобы активировать нашу настройку.

Отключение параметра или изменение его статуса на «Не настроен» предполагает простой выбор одного из этих параметров. Как мы упоминали ранее, разные настройки имеют разные параметры. Например, сценарии, которые вы можете настроить для запуска Windows при запуске или выключении, могут выглядеть совершенно иначе.

Нажмите или коснитесь «Конфигурация компьютера», затем «Параметры и сценарии Windows» («Запуск / выключение»). Выберите «Запуск» или «Выключение» на правой панели и нажмите на ссылку «Свойства» на правой панели. Или дважды щелкните Запуск или Завершение работы.

Нажмите «Добавить…», чтобы добавить новые сценарии в выбранный процесс.

В этом случае вам не нужно ничего включать или отключать. Вместо этого вы можете добавлять или удалять различные сценарии, запускаемые при запуске или завершении работы Windows.

Когда вы закончите, нажмите или нажмите OK .

Перейдите к редактору локальной групповой политики и проверьте, какие настройки он предлагает, потому что их много. Считайте это своей игровой площадкой на время, так как есть много вещей, которые вы можете проверить.

Установка запрета на запуск приложений

• Переходим по следующему пути: «Конфигурация пользователя», затем «Административные шаблоны», выбираем подпапку «Система».
• Справа отобразится перечень возможностей.

• Допустим, мы не хотим запускать определенные приложения из соображений безопасности. Для этого открываем настройки пункта «Не запускать указанные приложения Windows».
• В открывшемся окне выделяем отметку «Включить», а после этого кликаем по кнопке «Показать» (которая откроет перечень запрещенных программ).

• Теперь осталось только прописать имена .exe файлов в данном списке, и сохранить изменения, нажав на «ОК».
• После попытки запуска указанного софта будет появляться следующая ошибка:

Чтобы отключить запрет, нужно просто удалить нужный файл из «черного списка».

Функциональные примеры реализаций

• Отключаем автоматический запуск USB в Windows 10
• Редактирование реестра запрещено администратором системы
• Берем под контроль центр обновлений в Windows 10
• Не работают USB порты из-за вируса — нашли причину
• Как зашифровать диск или флешку с секретными данными с помощью Bitlocker
• Четыре способа как получить роль администратора в Windows 10

Внесение изменений в UAC

Если Вам надоело всплывающее окно, которое появляется каждый раз, когда Вы пытаетесь запустить стороннее приложение, значит необходимо изменить некоторые параметры управления учетными записями. Для этого:

• Переходим к папке «Конфигурация ПК», затем – «Конфигурирование Windows». После этого открываем директорию «Параметры безопасности», переходим в «Локальные политики».
• Справа отобразится перечень настроек. Нас интересует следующая опция: «Запрос согласия для исполняемых файлов не из Windows».
• Чтобы полностью отказаться от появления уведомлений, выбираем из списка вариант «Повышение без запроса».

Это лишь парочка простейших примеров, которые могут помочь в решении некоторых проблем. Я рекомендую более подробно изучить работу данного системного клиента, чтобы научиться управлять большинством возможностей Windows 10.

C уважением, Виктор

Vmware workstation and device/credential guard are not compatible

Device/Credential Guard is a Hyper-V based Virtual Machine/Virtual Secure Mode that hosts a secure kernel to make Windows 10 much more secure.

…the VSM instance is segregated from the normal operating system functions and is protected by attempts to read information in that mode. The protections are hardware assisted, since the hypervisor is requesting the hardware treat those memory pages differently. This is the same way to two virtual machines on the same host cannot interact with each other; their memory is independent and hardware regulated to ensure each VM can only access it’s own data.

From here, we now have a protected mode where we can run security sensitive operations. At the time of writing, we support three capabilities that can reside here: the Local Security Authority (LSA), and Code Integrity control functions in the form of Kernel Mode Code Integrity (KMCI) and the hypervisor code integrity control itself, which is called Hypervisor Code Integrity (HVCI).

When these capabilities are handled by Trustlets in VSM, the Host OS simply communicates with them through standard channels and capabilities inside of the OS. While this Trustlet-specific communication is allowed, having malicious code or users in the Host OS attempt to read or manipulate the data in VSM will be significantly harder than on a system without this configured, providing the security benefit.

Running LSA in VSM, causes the LSA process itself (LSASS) to remain in the Host OS, and a special, additional instance of LSA (called LSAIso – which stands for LSA Isolated) is created. This is to allow all of the standard calls to LSA to still succeed, offering excellent legacy and backwards compatibility, even for services or capabilities that require direct communication with LSA. In this respect, you can think of the remaining LSA instance in the Host OS as a ‘proxy’ or ‘stub’ instance that simply communicates with the isolated version in prescribed ways.

And Hyper-V and VMware didn’t work the same time until 2020, when VMware used Hyper-V Platform to co-exist with Hyper-V starting with Version 15.5.5.

How does VMware Workstation work before version 15.5.5?

VMware Workstation traditionally has used a Virtual Machine Monitor (VMM) which operates in privileged mode requiring direct access to the CPU as well as access to the CPU’s built in virtualization support (Intel’s VT-x and AMD’s AMD-V). When a Windows host enables Virtualization Based Security (“VBS“) features, Windows adds a hypervisor layer based on Hyper-V between the hardware and Windows. Any attempt to run VMware’s traditional VMM fails because being inside Hyper-V the VMM no longer has access to the hardware’s virtualization support.

Introducing User Level Monitor

To fix this Hyper-V/Host VBS compatibility issue, VMware’s platform team re-architected VMware’s Hypervisor to use Microsoft’s WHP APIs. This means changing our VMM to run at user level instead of in privileged mode, as well modifying it to use the WHP APIs to manage the execution of a guest instead of using the underlying hardware directly.

What does this mean to you?

VMware Workstation/Player can now run when Hyper-V is enabled. You no longer have to choose between running VMware Workstation and Windows features like WSL, Device Guard and Credential Guard. When Hyper-V is enabled, ULM mode will automatically be used so you can run VMware Workstation normally. If you don’t use Hyper-V at all, VMware Workstation is smart enough to detect this and the VMM will be used.

System Requirements

To run Workstation/Player using the Windows Hypervisor APIs, the minimum required Windows 10 version is Windows 10 20H1 build 19041.264. VMware Workstation/Player minimum version is 15.5.5.

To avoid the error, update your Windows 10 to Version 2004/Build 19041 (Mai 2020 Update) and use at least VMware 15.5.5.

Исправление проблемы

Устранить ошибку, связанную с воспроизведением файла gpedit.msc, можно несколькими способами – с помощью дополнительного установщика, встроенных в операционную систему Windows инструментов, полной переустановки ОС или восстановления версии до предыдущего рабочего состояния ПК.

Включение редактора групповой политики с помощью установщика GPEdit

В некоторых вариациях ОС («десятке», «семерке» и «восьмерке») редактор внутренних компонентов отключен или отсутствует в начальном варианте. Чтобы активировать функционал, необходимо скачать установочный пакет документов, распаковать и запустить действие программы.

Для операционки на 32-бита установка проходит в стандартном режиме, проблем на данном этапе быть не должно. После завершения процедуры функциональное окно будет доступно в стандартном режиме.

Если не работает команда запуска на 64-разрядной операционной системе Виндовс, требуется выполнить следующие действия:

открыть папку SysWOW64 на диске С, раздел Windows;

скопировать документы (папки, файлы, другое) с наименованием Group Policy, Group Policy Users, gpedit.msc в место System

После этого инструмент нужно запустить способом, который предусмотрен для вариации в 32-бита. Функционал запускается, а затем активируется как обычное приложение.

Через PowerShell

Power Shell – это внешняя часть Командной строки, которая необходима для редактирования и администрирования операционки Виндовс. Если не запускается необходимый редактор на ПК, требуется выполнение следующих шагов:

скачать установочный документ GPEdit Enabler;

• вызвать контекстное меню файла (кликнуть правой клавишей по наименованию);
• нажать на пункт запуска процедуры с правами Администратора.

Внимание! Вносить изменения в инструменты встроенного в операционную систему типа можно только через определенный профиль – Администратора. В противном случае обновленные данные не смогут сохраниться и начать действовать

Процедура занимает некоторое время – скорость завершения зависит от мощности используемого персонального компьютера (стационарного, ноутбука). После выполнения нужной операции необходимо перезагрузить ПК в принудительном режиме, чтобы запустить работу внесенных изменений.

Загрузить Policy Plus

Загрузка стороннего приложения позволяет установить программу, по свойствам идентичную стандартному редактору локальной групповой политики операционки Windows. Внешняя оболочка софта схожа с утилитой GPEdit.

Внимание! Основное преимущество программы Policy Plus – наличие встроенного инструмента поискового блока. Функционал похож на классическое приложение операционной системы Windows разработчика Microsoft

Инструкция:

• загрузить установочный документ программы;
• запустить (действий по отдельной установке не потребуется);
• выполнить необходимые настройки.

Для выполнения операции не нужны дополнительные навыки и знания. Интерфейс понятен на интуитивном уровне.

Проверка на вирусы

Активность вредоносных софтов является причиной большинства неполадок персональных устройств, работающих на разных операционках. На ПК необходимо установить антивирусное приложение и запустить его. Проверку осуществляют регулярно, удаляя или устраняя поврежденные документы.

Переустановка и восстановление Windows

Восстановление ОС Виндовс позволит откатить операционку до предыдущего рабочего состояния. Необходимо регулярно создавать дополнительные точки сохранения. Инструмент сохранит данные текущей версии операционной системы, но не пользовательские документы и файлы.

На вариации операционки для домашнего использования отсутствует софт редактора групповой политики. Чтобы исправить неполадку, необходимо загрузить дополнительный установочный документ или использовать режим восстановления (переустановки) Windows. Неисправность можно устранить в домашних условиях, не прибегая к помощи мастера.

Компоненты GPO

Выделяют два компонента групповых политик — клиентский и серверный, т.е. формируется структура “клиент-сервер”.

Серверный компонент представляет оснастка MMC (Microsoft Management Console), предназначенная для настройки групповой политики. MMC можно использовать для создания политик, а также для контроля и управления административными шаблонами, настройками безопасности (установка ПО, скрипты и т.п.). Обобщенное название “возможностей” называется расширением. Каждое расширение может иметь дочернее расширение, которое разрешает добавление новых или удаление старых компонентов, а также их обновление.

Клиентский компонент получает и применяет настройки групповой политики. Клиентские расширения являются компонентами запускаемыми на клиентской ОС, которые отвечают за интерпретацию и обработку объектов групповой политики.

Для администрирования GPO используют оснастки MMC — Group Policy Management Console (GPMC) и Group Policy Management Editor.

Сценарии использования Active Directory GPO:

• Централизованная настройка пакета программ Microsoft Office.
• Централизованная настройка управлением питанием компьютеров.
• Настройка веб-браузеров и принтеров.
• Установка и обновление ПО.
• Применение определенных правил в зависимости от местоположения пользователя.
• Централизованные настройки безопасности.
• Перенаправление каталогов в пределах домена.
• Настройка прав доступа к приложениям и системным программам.