Редактор локальной групповой политики (gpedit.msc) - это удобная и действительно мощная утилита, посредством которой можно детально настроить Windows. В версиях «Домашняя базовая» и «Домашняя расширенная» она, к сожалению, отсутствует. Но Microsoft не удалила этот инструмент, а только «спрятала» его в папках windows\winsxs и windows\SysWOW64.

С помощью нашего решения процесс станет гораздо проще и надежнее. Вы запускаете бесплатную программу для установки и ждете завершения ее работы. Впрочем, необходимо признать, что и у нашего удобного метода есть небольшой недостаток: Windows отображает команды в меню редактора на русском языке, а сами настройки, равно как и их описания, перечислены на английском. Если для вас это не проблема, ничто больше не помешает вам насладиться работой с многоцелевым инструментом для настройки.

Как это сделать:

1. Скачиваем редактор

Откройте страницу drudger.deviantart.com/art/Add-GPEDIT-msc-215792914 . Нажмите на небольшую кнопку «Download», чтобы скачать файл ZIP. Внимание! Большие кнопки - это рекламные ссылки .

2. Распаковываем и устанавливаем

Откройте вашу папку с загрузками и распакуйте скачанный вами архив ZIP. Теперь двойным кликом запустите находящийся в нем файл Setup.exe и подождите, пока работа завершится. Затем закройте программу для установки нажатием кнопки «Finish».

3. Копируем 64-разрядные файлы

Если вы работаете в 64-разрядной версии Windows, то откройте в Проводнике папку Windows\SysWOW64. Скопируйте оттуда каталоги GroupPolicy и GroupPolicyUsers, а также файл gpedit.msc в папку Windows\System32.

4. Запускаем редактор

Нажмите комбинацию клавиш «Win+R» и введите «gpedit.msc». В окне сообщения контроля учетных записей нажмите на пункт «Да». После этого должен открыться редактор локальной групповой политики.

5. Редактируем командный файл

Если после запуска редактора вы получили сообщение «Консоль управления (ММС) не может создать оснастку », повторите действия этапа 2, но в этот раз не нажимайте «Finish». Вместо этого откройте папку Windows\Temp\gpedit и правой кнопкой мыши щелкните по файлу x86.bat (32-битная Windows) либо по x64.bat (64-битная Windows). В контекстном меню выберите пункт «Изменить».

6. Исправляем ошибку оснастки

В верхней трети программного кода вы увидите шесть записей, содержащих элемент «%username%:f». Дополните его кавычками по следующему образцу: ««%username%»:f» и сохраните файл. Теперь правой кнопкой мыши щелкните по сохраненному командному файлу и выберите «Запуск от имени администратора». Если сейчас запустить редактор локальной групповой политики, как описано на этапе 4, ошибка оснастки должна исчезнуть.

7. Работаем с групповой политикой

Всего в редакторе групповой политики вам предлагается около 3000 настроек, которые действительно легко применить. Пример: если вы хотите, чтобы ваш антивирус автоматически проверял каждое вложение, выберите в редакторе «User Configuration | Administrative Templates | Windows Components | Attachment Manager». В правой половине окна вы увидите несколько записей. Дважды щелкните по «Notify antivirus programs when opening attachments». В появившемся окне выберите «Enabled» и затем нажмите на «ОК».

8. Скрываем устаревшие настройки

Если редактор локальной групповой политики кажется вам слишком запутанным, скройте все настройки, которые точно не касаются вашей системы. Для этого пройдите в меню к «Вид | Filtering» и поставьте флажок перед опцией «Filter by Requirements Information». В любом случае снимите флажки перед всеми записями, относящимися к Windows 2000. Настройки для XP работают и в Windows 7, поэтому не трогайте их. После выбора нажмите на «ОК». Вы сразу же увидите только нужные опции.

Фото: компании-производители

Я загорелся такой идеей обеспечения безопасности и решил попробовать сделать у себя так же.

Поскольку у меня стоит Windows 7 Professional, первой идеей оказалось использование AppLocker"a, однако быстро выяснилось, что работать в моей редакции винды он не хочет, и требует Ultimate или Enterprise. В силу лицензионности моей винды и пустоты моего кошелька, вариант с AppLocker"ом отпал.

Следующей попыткой стала настройка групповых политик ограниченного использования программ. Поскольку AppLocker является «прокачанной» версией данного механизма, логично попробовать именно политики, тем более они бесплатны для пользователей Windows:)

Заходим в настройки:
gpedit.msc -> Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Политики ограниченного использования программ

В случае, если правил нет, система предложит сгенерировать автоматические правила, разрешающие запуск программ из папки Windows и Program Files. Так же добавим запрещающее правило для пути * (любой путь). В результате мы хотим получить возможность запуска программ только из защищенных системных папок. И что же?
Да, это мы и получим, но вот только маленькая незадача - не работают ярлыки и http ссылки. На ссылки еще можно забить, а без ярлыков жить плоховато.
Если разрешить запуск файлов по маске *.lnk - мы получим возможность создать ярлык для любого исполняемого файла, и по ярлыку запустить его, даже если он лежит не в системной папке. Паршиво.
Запрос в гугл приводит к таким решениям: или разрешить запуск ярлыков из пользовательской папки, либо пользовать сторонние бары с ярлычками. Иначе никак. Лично мне такой вариант не нравится.

В итоге мы сталкиваемся с ситуацией, что *.lnk является с точки зрения винды не ссылкой на исполняемый файл, а исполняемым файлом. Бредово, но что ж поделать… Хотелось бы, чтобы винда проверяла не местонахождение ярлычка, а местонахождение файла, на который он ссылается.

И тут я нечаянно натолкнулся на настройки списка расширений, являщихся исполняемыми с точки зрения винды (gpedit.msc -> Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Назначенные типы файлов). Удаляем оттуда LNK и заодно HTTP и релогинимся. Получаем полностью рабочие ярлычки и проверку на местонахождение исполняемого файла.
Было сомнение, можно ли будет передавать через ярлыки параметры - можно, так что все ок.

В результате мы получили реализацию идеи, описанной в статье «Windows-компьютер без антивирусов» без каких либо неудобств для пользователя.

Также для любителей стрелять себе в ногу, можно создать папку в Program Files и кинуть ярлык для нее на рабочий стол, назвав, например «Песочницей». Это позволит запускать оттуда программы без отключения политик, пользуясь защищенным хранилищем (защита через UAC).

Надеюсь описанный метод окажется для кого-то полезным и новым. По крайней мере я о таком ни от кого не слышал и нигде не видел.

Политика безопасности представляет собой набор параметров для регулирования безопасности ПК, путем их применения к конкретному объекту или к группе объектов одного класса. Большинство пользователей редко производят изменения данных настроек, но бывают ситуации, когда это нужно сделать. Давайте разберемся, как выполнить данные действия на компьютерах с Виндовс 7.

Прежде всего, нужно отметить, что по умолчанию политика безопасности настроена оптимально для выполнения повседневных задач рядового юзера. Производить манипуляции в ней нужно только в случае возникновения необходимости решить конкретный вопрос, требующий корректировки данных параметров.

Изучаемые нами настройки безопасности регулируются с помощью GPO. В Виндовс 7 сделать это можно, используя инструменты либо «Редактор локальных групповых политик» . Обязательным условием является вход в профиль системы с полномочиями администратора. Далее мы рассмотрим оба этих варианта действий.

Способ 1: Применение инструмента «Локальная политика безопасности»

Прежде всего, изучим, как решить поставленную задачу с помощью инструмента «Локальная политика безопасности» .

1. Чтобы запустить указанную оснастку, щелкните «Пуск» и перейдите в «Панель управления» .



2. Далее откройте раздел «Система и безопасности» .



3. Щелкните «Администрирование» .



4. Из предложенного набора системных инструментов выберите вариант «Локальная политика безопасности» .

   

   Также оснастку можно запустить и через окно «Выполнить» . Для этого наберите Win+R и введите следующую команду:

   Затем щелкните «OK» .



5. Указанные выше действия приведут к запуску графического интерфейса искомого инструмента. В подавляющем большинстве случаев возникает необходимость откорректировать параметры в папке «Локальные политики» . Тогда нужно щелкнуть по элементу с этим наименованием.



6. В данном каталоге располагается три папки.

   В директории определяются полномочия отдельных пользователей или групп юзеров. Например, можно указать, запрет или разрешение для отдельных лиц или категорий пользователей на выполнение конкретных задач; определить, кому разрешен локальный доступ к ПК, а кому только по сети и т.д.

   В каталоге «Политика аудита» указываются события, предназначенные для записи в журнале безопасности.

   В папке «Параметры безопасности» указываются разнообразные административные настройки, которые определяют поведение ОС при входе в неё как локально, так и через сеть, а также взаимодействие с различными устройствами. Без особой необходимости данные параметры изменять не стоит, так как большинство соответствующих задач можно решить через стандартную настройку учетных записей, родительский контроль и разрешения NTFS.

   

7. Для дальнейших действий по решаемой нами задаче щелкните по наименованию одного из указанных выше каталогов.



8. Откроется перечень политик выбранного каталога. Кликните по той из них, которую желаете изменить.



9. После этого откроется окошко редактирования политики. Его вид и действия, которые необходимо произвести, существенно отличаются от того, к какой именно категории она принадлежит. Например, для объектов из папки «Назначение прав пользователя» в открывшемся окне необходимо добавить или удалить имя конкретного пользователя либо группы юзеров. Добавление производится путем нажатия кнопки «Добавить пользователя или группу…» .

   

   Если же необходимо произвести удаление элемента из выбранной политики, то выделите его и нажмите «Удалить» .



10. После завершения манипуляций в окне редактирования политики для сохранения внесенных корректировок не забудьте нажать кнопки «Применить» и «OK» , а иначе изменения не вступят в силу.

Мы описали изменение настроек безопасности на примере действий в папке «Локальные политики» , но по такой же аналогии можно производить действия и в других каталогах оснастки, например в директории «Политики учетных записей» .

Способ 2: Использование инструмента «Редактор локальной групповой политики»

Настроить локальную политику можно также при помощи оснастки «Редактор локальной групповой политики» . Правда, данный вариант доступен не во всех редакциях Windows 7, а только в Ultimate, Professional и Enterprise.

1. В отличие от предыдущей оснастки, данный инструмент нельзя запустить через «Панель управления» . Его можно активировать только путем введения команды в окно «Выполнить» или в «Командную строку» . Наберите Win+R и введите в поле такое выражение:

   Затем щелкните «OK» .

   

Одним из основных инструментов тонкой настройки параметров пользователя и системы Windows являются групповые политики — GPO (Group Policy Object) . На сам компьютер и его пользователей могут действовать доменные групповые политики (если компьютер состоит в домене Active Directory) и локальные (эти политики настраиваются локально и применяются только на данном компьютере). Групповые политики являются отличным средством настройки системы, способным повысить ее функционал, защищенность и безопасность. Однако у начинающих системных администраторов, решивших поэкспериментировать с безопасностью своего компьютера, некорректная настройка некоторых параметров локальной (или доменной) групповой политики может привести к различным проблемам: от мелких проблем, заключающихся, например, в невозможности подключить принтер или USB флешку, до полного запрета на установку или запуск любых приложений (через политики SPR или AppLocker),или даже запрета на локальный или удаленный вход в систему.

В таких случаях, когда администратор не может локально войти в систему, или не знает точно какая из примененных им настроек политик вызывает проблему, приходится прибегать к аварийному сценарию сброса настроек групповых политик на стандартные настройки (по-умолчанию). В «чистом» состоянии компьютера ни один из параметров групповых политик не задан.

В этой статье мы покажем несколько методов сброса настроек параметров локальных и доменных групповых политик к значениям по умолчанию. Эта инструкция является универсальной и может быть использована для сброса настроек GPO на всех поддерживаемых версиях Windows: начиная с Windows 7 и заканчивая Windows 10, а также для всех версий Windows Server 2008/R2, 2012/R2 и 2016.

Сброс локальных политик с помощью консоли gpedit.msc

Этот способ предполагает использование графической консоли редактора локальной групповой политики gpedit .msc для отключения всех настроенных политик. Графический редактор локальной GPO доступен только в Pro, Enterprise и Education редакциях.

Совет . В домашних (Home) редакциях Windows консоль Local Group Policy Editor отсутствует, однако запустить ее все-таки можно. По ссылкам ниже вы сможете скачать и установить консоль gpedit.msc для Windows 7 и Windows 10:

Запустите оснастку gpedit.msc и перейдите в раздел All Settings локальных политик компьютера (Local Computer Policy -> Computer Configuration - > Administrative templates / Политика «Локальный компьютер» -> Конфигурация компьютера -> Административные шаблоны ). Данные раздел содержит список всех политик, доступных к настройке в административных шаблонах. Отсортируйте политики по столбцу State (Состояние) и найдите все активные политики (находятся в состоянии Disabled / Отключено или Enabled / Включено ). Отключите действие всех или только определенных политик, переведя их в состояние Not configured (Не задана).

Такие же действия нужно провести и в разделе пользовательских политик (User Configuration / Конфигурация пользователя ). Таким образом можно отключить действие всех настроек административных шаблонов GPO.

Совет . Список всех примененных настроек локальных и доменных политик в удобном html отчете можно получить с помощью встроенной утилиты командой:
gpresult /h c:\distr\gpreport2.html

Указанный выше способ сброса групповых политик в Windows подойдет для самых «простых» случаев. Некорректные настройки групповых политик могут привести к более серьезным проблемам, например: невозможности запуска оснастки gpedit.msc или вообще всех программ, потери пользователем прав администратора системы, или запрета на локальный вход в систему. Рассмотрим эти случаи подробнее.

Принудительный сброс настроек локальных GPO из командной строки

В этом разделе описан способ принудительного сброса всех текущих настроек групповых политик в Windows. Однако сначала опишем некоторые принципы работы административных шаблонов групповых политик в Windows.

Архитектура работы групповых политик основана на специальных файлах Registry .pol . Данные файлы хранят параметры реестра, которые соответствуют тем или иным параметрам настроенных групповых политик. Пользовательские и компьютерные политики хранятся в разных файлах Registry .pol .

• Настройки конфигурации компьютера (раздел Computer Configuration ) хранятся в %SystemRoot%\System32\ GroupPolicy\Machine\registry.pol
• Пользовательские политики (раздел User Configuration ) — %SystemRoot%\System32\ GroupPolicy\User\registry.pol

При загрузке компьютера система импортирует содержимое файла \Machine\Registry.pol в ветку системного реестра HKEY_LOCAL_MACHINE (HKLM). Содержимое файла \User\Registry.pol импортируется в ветку HKEY_CURRENT_USER (HKCU) при входе пользователя в систему.

Консоль редактора локальных групповых политик при открытии загружает содержимое данных файлов и предоставляет их в удобном пользователю графическом виде. При закрытии редактора GPO внесенные изменения записываются в файлы Registry.pol. После обновления групповых политик (командой gpupdate /force или по-расписанию), новые настройки попадают в реестр.

Совет . Для внесения изменения в файлы стоит использовать только редактор групповых политик GPO. Не рекомендуется редактировать файлы Registry.pol вручную или с помощью старых версий редактора групповой политики!

Чтобы удалить все текущие настройки локальных групповых политик, нужно удалить файлы Registry.pol в каталоге GroupPolicy. Сделать это можно следующими командами, запущенными в командной строке с правами администратора:

RD /S /Q "%WinDir%\System32\GroupPolicyUsers" RD /S /Q "%WinDir%\System32\GroupPolicy"

После этого нужно обновить настройки политик в реестре:

Gpupdate /force

Данные команды сбросят все настройки локальных групповых политик в секциях Computer Configuration и User Configuration.

Откройте консоль редактора gpedit.msc и убедитесь, что все политики перешли в состояние Не задано / Not configured. После запуска консоли gpedit.msc удаленные папки будут созданы автоматически с настройками по-умолчанию.

Сброс локальных политик безопасности Windows

Локальные политик безопасности (local security policies) настраиваются с помощью отдельной консоли управления secpol.msc . Если проблемы с компьютером вызваны «закручиванием гаек» в локальных политиках безопасности, и, если у пользователя остался доступ к системе и административные права, сначала стоит попробовать сбросить настройки локальных политик безопасности Windows к значениям по-умолчанию. Для этого в командной строке с правами администратора выполните:

• Для Windows 10, Windows 8.1/8 и Windows 7: secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb /verbose
• Для Windows XP: secedit /configure /cfg %windir%\repair\secsetup.inf /db secsetup.sdb /verbose

После чего компьютер нужно перезагрузить.

В том случае, если проблемы с политиками безопасности сохраняются, попробуйте вручную переименовать файл контрольной точки базы локальных политик безопасности %windir%\security\database\edb.chk

ren %windir%\security\database\edb.chk edb_old.chk

Выполните команду:
gpupdate /force
Перезагрузите Windows с помощью :
Shutdown –f –r –t 0

Сброс локальных политик при невозможности входа в Windows

В том случае, если локальный вход в систему невозможен или не удается запустить командную строку (например, при блокировке ее и других программ с помощью ). Удалить файлы Registry.pol можно, загрузившись с установочного диска Windows или любого LiveCD.

Сброс примененных настроек доменных GPO

Несколько слов о доменных групповых политиках. В том случае, если компьютер включен в домен Active Directory, некоторыми его настройками может управлять администратор домена через доменные GPO.

Файлы registry.pol всех применённых доменных групповых политик хранятся в каталоге %windir%\System32\GroupPolicy\DataStore\0\SysVol\ contoso.com\Policies . Каждая политика хранится в отдельном каталоге с GUID доменной политики.

Этим файлам registry.pol соответствуют следующие ветки реестра:

• HKLM\Software\Policies\Microsoft
• HKCU\Software\Policies\Microsoft
• HKCU\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects
• HKCU\Software\Microsoft\Windows\CurrentVersion\Policies

История примененных версий доменных политик, которые сохранились на клиенте, находится в ветках:

• HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\History\
• HKCU\Software\Microsoft\Windows\CurrentVersion\Group Policy\History\

При исключении компьютера из домена файлы registry.pol доменных политик на компьютере удаляются и соответственно, не загружаются в реестр.

Если нужно принудительно удалить настройки доменных GPO, нужно очистить каталог %windir%\System32\GroupPolicy\DataStore\0\SysVol\contoso.com\Policies и удалить указанные ветки реестра (настоятельно рекомендуется создать резервную копию удаляемых файлов и веток реестра!!!). Затем выполните команду:

gpupdate /force /boot

Совет . Указанная методика позволяет сбросить все настройки локальных групповых политик во всех версиях Windows. Сбрасываются все настройки, внесенные с помощью редактора групповой политики, однако не сбрасываются все изменения, внесенные в реестре напрямую через редактор реестра, REG- файлы или любым другим способом.

Достаточно часто многие пользователи, работающие на компьютерных терминалах без администраторских прав, сталкиваются с проблемой, что какое-то действие отключено администратором или просто запрещено. Для таких запретов и используется редактор групповой политики. Что это такое и как с ним работать, мы сейчас и посмотрим.

групповой политики?

Сам по себе редактор представляет достаточно сложное и мощное средство, позволяющее производить тонкую настройку системы, включать или отключать ее отдельные компоненты, устанавливать разрешения и запреты для пользователей на использование отдельных компонентов Windows, устанавливать или запускать приложения и т. д.

Тут следует учитывать и то, что существует два типа такого инструмента: редактор локальной групповой политики (для данного терминала) и инструментарий для групповых политик службы каталогов (Active Directory используется сайтами, доменами, сетевыми терминалами и т. д.).

Кроме того, обязательно нужно знать, что такие функции предусмотрены в тех же системах Windows 7 или 8 исключительно версий Ultimate, Professional и Enterprise. В домашних версиях типа Home или Starter этот элемент не установлен изначально, так что искать его даже нечего пытаться. Чуть позже мы рассмотрим, как включить редактор групповой политики в домашних сборках Windows. А пока посмотрим на основные функции этого инструмента.

Запуск редактора

Для начала рассмотрим вопрос, как зайти в редактор локальной групповой политики. Самым простым способом считается использование командной строки или меню «Выполнить» (Win + R). Редактор 8 или 7) вызывается командой gpedit.msc.

Теперь посмотрим на основные настройки и разберемся, для чего они предназначены.

Основные параметры и настройки

В левом окне редактора сразу можно увидеть два основных раздела. Первый касается компьютерной системы в целом. Здесь можно редактировать все параметры, которые применяются к системе, независимо от того, какой именно пользователь работает на терминале в данный момент. Во втором разделе находятся настройки, так сказать, привязанные к каждому конкретному юзеру.

В данном случае (естественно, если зайти как администратор) можно устанавливать запреты и разрешения другим пользователям на выполнение тех или иных действий.

Так, например, необходимо отключить, допустим, редактирование реестра, чтобы неопытный юзер не дай бог не полез туда и не удалил важный ключ или запись, которая может повлиять на работоспособность всей «операционки». Для этого используется раздел административных шаблонов пользовательской конфигурации, где и выбирается соответствующий пункт запрета доступа к средствам редактирования реестра. При входе в меню подраздела просто ставится галочка напротив параметра «Включено».

Теперь юзер при вводе команды regedit получит сообщение о том, что редактирование реестра запрещено администратором. Впрочем, это касается любых действий пользователей и действующих ограничений или разрешений.

Интересными выглядят и настройки компьютерной конфигурации. Так, например, совершенно запросто можно изменить, опустим, действие, выполняемое при нажатии сочетания клавиш Ctrl + Alt + Del, или что-то еще. Иными словами, применяя параметры редактора, можно настроить систему, что называется, под себя. Для этого тут имеется достаточно много мощнейших средств.

Установка и включение редактора групповой политики в версиях Windows Home (7, 8)

Теперь несколько слов о том, как можно использовать редактор групповой политики в версиях Windows Home и Starter. Для этого нужно всего лишь скачать из Интернета установочный дистрибутив и инсталлировать данный компонент. Установка проблем не вызывает, поскольку является стандартным процессом. По его завершении потребуется перезагрузка компьютерной системы. Но это еще не все.

Где находится редактор локальной групповой политики

Тут мы подходим к вопросу о местонахождении файла, отвечающего за запуск редактора. В стандартном варианте для систем с архитектурой 32 бита файл запуска располагается в системной папке System32 в корневой директории Windows.

В 64-битных версиях той же «семерки» или «восьмерки» после установки файла при помощи вышеуказанной утилиты его расположение будет изменено на папку SysWOW64 (именно там распложены все файлы команд, вызываемых через меню «Выполнить»).

Так что, если сразу после установки и перезагрузки системы ввести команду вызова редактора, может ничего и не получиться. Система просто выдаст сообщение, что файл gpedit.msc не найден. Ничего страшного. Выход из такой ситуации достаточно прост. Нужно просто искомый файл копировать в папку System32, только и всего.

Заключение

В заключение остается добавить, что редактор групповой политики - инструмент достаточно мощный и серьезный. Поэтому хотя бы без каких-либо начальных знаний изменять параметры, находящиеся там, не рекомендуется, а то еще, чего доброго, вся система «вылетит». Ну а опытный пользователь, используя совестно системный реестр и настройки групповой политики, может доиться очень многого, тем более что сам редактор и реестр взаимосвязаны между собой вплоть до полного дублирования некоторых настроек и параметров.