Как восстановить поврежденную групповую политику в Windows 10

Очень частые ситуации, что системный администратор создал новую групповую политику, применил ее на нужный ему объект, но эффекта это не дало и нужно понять почему она не применилась и вот тут начинающие системные администраторы попадают в просак, не понимая, где и что нужно искать. Ниже мы с вами разберем алгоритм действий, который поможет вам найти причину и восстановить работу применения групповой политики на нужный объект.

Отличие версий Windows Pro и Windows Home

Базовые компоненты Pro и Home версий совершенно идентичны, разница заключается лишь в бизнес-компонентах. Они позволяют настроить связь между компьютерами внутри одной корпоративной сети и беспрепятственно работать целым офисом. В домашних же условиях эта особенность бесполезна и у нас нет нужды связывать два устройства.

Что отличает Windows 10 Pro от Windows 10 Home:

  • Поддержка подключения дополнительных устройств и возможность управления ими.
  • Доступ к шифрованию передаваемых данных в единой корпоративной сети.
  • Расширенный список сетевых стандартов.
  • Доступ к общим офисным документам и принтерам.
  • Работа с облаком.
  • Управление групповыми политиками.
  • Возможность недорогого обновления до Windows 10 Enterprise.

Большинство описанных выше функций не пригодятся обычному пользователю. Они предназначены для ведения бизнеса и работы с документами. Однако, особое внимание следует уделить такой особенности как управление групповыми политиками.

Данная функция открывает широкие возможности по настройке компьютера для каждого юзера и при этом не вынуждает идти на высокие риски.

Почему служба «Клиент групповой политики» блокирует вход в систему

«Групповая политика» — это утилита управления учетными записями Виндовс, определяющая условия использования пользовательского аккаунта в определённой группе. Такая группа может быть стандартной или ограниченной, группой администраторов или гостей, любой другой группой, созданной ответственным лицом. Групповая политика активируется при входе пользователя в систему, и напрямую зависит от группы, к которой он принадлежит.

При запуске системы пользователь может однажды встретиться с сообщением о препятствовании групповыми политиками входа в систему. В некоторых случаях ещё можно войти в систему как администратор, в других случая доступ к системе оказывается заблокирован.

Инструмент отвечающий за вход в систему («Winlogon») связан со службой групповых политик «GPSVC» (аббревиатура от «Group Policy Service»). После запуска системы сервис групповой политики реализует себя в отдельном процессе SVCHOST. При возникновении каких-либо проблем в работе данного процесса пользователь видит ошибку «Клиент групповой политики препятствует входу в систему…».

Причины дисфункции таковы:

  • Наличие некорректных данных в системном реестре (в том числе из-за его повреждения);
  • Некорректная установка системных обновлений;
  • Установка и деятельность программ, способных нарушить целостность системного реестра (в том числе вирусных);
  • Неправильное отключение PC;
  • Вход в систему под не административным (гостевым) аккаунтом в ситуации, когда ряд приложений или драйверов были ранее установлены в системе с административными привилегиями.

Ещё препятствовать входу может Служба профилей пользователей.

Ниже разберём, как решить возникшую проблему Служба «Клиент групповой политики» препятствует входу в систему.

Что делать, если компьютер пишет «служба клиент групповой политики… »

К сожалению, однозначно диагностировать причину возникновения данной проблемы практически невозможно, поэтому целесообразно сразу приступить к поиску подходящего метода ее устранения, используя всем известный "метод перебора".

Вариант 1

Если проблема касается какой-то конкретной учётной записи и минует все остальные (т.е. с другим логином и паролем юзер может спокойно пользоваться системой), то следует предпринять следующие действия:

  • Для начала не лишним будет проверить систему на наличие ошибок: сделать это можно командой «sfc/scannow».
  • Далее нажмите комбинацию клавиш «WIN+R» и введите и выполните команду «regedit».
  • В открывшемся окне редактора реестра перейдите по пути «HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList».
  • В папке «ProfileList» будут находиться все актуальные учётные записи: найдите проблему, просматривая каждую папку и обращая внимание на файл «ProfileImagePath», значение которого содержит наименование проблемной учётной записи и путь её нахождения. Проверьте, соответствует ли указанный там путь действительному.
  • У папки, где хранятся данные о "проблемной" учётной записи, имя будет «» (примерное содержание).
  • Соответственно, переименуйте данную папку (удалив расширение «.bak»), и перезагрузите компьютер для вступления в силу всех изменений.
Читайте также:  Как установить kms сервер для активации windows 7

Если данный метод не решил проблему со входом в систему Windows, переходим к следующему варианту.

Вариант 2

Второй способ заключается в создании новой учётной записи и в переносе из неё определённого файла в проблемную учётную запись. Для этого потребуется:

Возможна ситуация, когда после выбора данных параметров не произойдёт ровным счётом ничего — это может указывать на наличие вирусной активности в системе, что и могло, в конечном итоге, привести к возникновению рассматриваемой проблемы.

  • Здесь же, в Безопасном режиме, откройте «Панель управления» — «Учётные записи пользователей» — «Управление другой учётной записью».
  • Кликните по кнопке «Создание новой учётной записи», укажите имя и обязательно наделите новую учётную запись правами администратора.

В завершение нажмите «ОК» и перезагрузите компьютер.

Далее на этапе выбора учётной записи обратите внимание на только что созданную учётку и дождитесь завершения настройки рабочего стола, после чего потребуется:

Вариант 3

Данный способ по смыслу и конечному результату схож с вышепредложенным, но подразумевает выполнение некоторых альтернативных шагов.

Итак, вариант №3 можно применить даже в том случае, если пользователю не удаётся зайти в Безопасный режим.

Для его осуществления может потребоваться загрузочный носитель с образом операционной системы (если не удастся использовать встроенные средства восстановления системы).

  • Включите компьютер, нажмите и удерживайте клавишу «F8» до появления окна «Дополнительные варианты загрузки».
  • В открывшемся списке возможных сценариев выберите раздел «Устранение неполадок компьютера».
  • В первых шагах системой будет предложено выбрать язык и раскладку клавиатуры, а также ввести логин и пароль учётной записи администратора.
  • После ввода и подтверждения данных появится окно «Параметры восстановления системы», в котором необходимо выбрать последнюю строку «Командная строка».
  • Перед вами откроется консоль, в которой выполните две команды: «net user UserName /add» и «net localgroup администраторы UserName /add» (в зависимости от ОС может потребоваться ввести вторую команду полностью на английском, то есть «net localgroup administrators username /add»).

Далее необходимо повторить действия по копированию файла «», подробно описанные в предыдущем методе устранения неисправности.

Вариант 4

Заключительный способ — хороший альтернативный вариант в тех ситуациях, когда проблемная учётная запись является административной.

Первые шаги выполняются аналогично: требуется запустить командную строку, лучше если сделать это через средства восстановления системы.

После запуска командной строки и открытия консоли необходимо выполнить команду «secedit /configure /cfg %windir%\inf\ /db /verbose», предназначение которой в сбросе локальной политики безопасности Windows.

Восстановление поврежденной групповой политики в Windows 10

Мы начнем с основного предложения, а затем продвинемся дальше. Вам нужно будет запустить его на компьютере с правами администратора.

1] Выполнить восстановление системы

Выполните восстановление системы и посмотрите, поможет ли это вам.

2] Запустите DISM Tool

Когда вы запускаете инструмент DISM (Управление развертыванием образов и обслуживанием), он восстанавливает образ системы Windows и хранилище компонентов Windows в Windows 10. Это обеспечит восстановление папок и файлов, если они отсутствуют или повреждены. Все системные несоответствия и повреждения должны быть исправлены.

Если это не помогает, возможно, вам нужно запустить DISM с хорошим источником, который может быть на внешнем диске, используя следующие команды:

Замените C: \ RepairSource \ Windows на местоположение вашего источника восстановления

Восстановление поврежденной групповой политики в Windows 10

Чтобы восстановить автономный образ, используя подключенный образ в качестве источника восстановления, используйте:

Dism/Image: C: \ offline/Cleanup-Image/RestoreHealth/Source: c: \ test \ mount \ windows

Посмотрите, решило ли это проблему.

3] Удалить и восстановить отсутствующий файл

Все параметры групповой политики хранятся в файле Если этот файл отсутствует, любые изменения, отправленные клиенту, вообще не будут отражены. Хорошей новостью является то, что вы можете воссоздать его. Просто чтобы убедиться, что файл удален, даже если он существует.

Перейдите в C: \ Windows \ System32 \ GroupPolicy \ Machine \ .

Проверьте, есть ли у него файл Удалите его навсегда, используя Shift + Delete.

Чтобы восстановить его, откройте PowerShell с правами администратора. (Win + Х + А)

Выполните следующую команду:

gpupdate/force

Это повторно создаст групповую политику и заново создаст файл групповой политики.

4] Сброс групповой политики по умолчанию

Существует несколько способов сброса групповой политики по умолчанию. Это позволит убедиться, что если возникнут какие-либо проблемы из-за текущих настроек, они будут решены. Вы можете использовать gpupdate или secedit, чтобы сделать это.

Читайте также:  Как открыть командную строку в Windows 10

5] Восстановить файл

Восстановление поврежденной групповой политики в Windows 10

Все параметры безопасности групповой политики хранятся в файле . Если какие-либо изменения, внесенные в безопасность, не отражаются, то вместо удаления файла групповой политики нам нужно удалить и заново создать файл

Перейдите в папку C: \ WINDOWS \ security \ Database .

Найдите файл . Затем переименуйте его или переместите в другую папку.

Перезагрузите компьютер, и он автоматически заново создаст файл.

Все эти советы должны помочь вам исправить потенциально поврежденную групповую политику на компьютере Windows.

Этот пост покажет вам, как сбросить Windows 10, если вы когда-либо чувствуете необходимость.

Управление групповыми политиками Active Directory (AD GPO)

В статье описана краткая информация о групповых политиках Active Directory и пример работы с ними на виртуальном сервере с операционной системой Windows Server.

Что такое групповые политики и зачем они нужны?

Групповая политика — это инструмент, доступный для администраторов, работающих с архитектурой Active Directory. Он позволяет централизованно управлять настройками на клиентских компьютерах и серверах, подключенных к домену, а также обеспечивает простой способ распространения программного обеспечения.

Групповые политики позволяют настраивать параметры для определенного набора пользователей или компьютеров внутри домена Active Directory. Также позволяют указать политики в одном месте для группы и применить к целевому набору пользователей.

Например, можно обеспечить применение стандартного набора настроек и конфигураций для групп пользователей или компьютеров в домене или по запросу.

Во всех компаниях как правило есть различные отделы, например отдел системных администраторов, разработчиков, дизайнеров, каждому из отдела необходим свой стандартный набор программного обеспечения, их рабочие компьютеры должны быть сконфигурированы под специальные задачи и нужды.

С помощью групповых политик можно создать наборы настроек для конкретных групп пользователей в домене. С помощью Active Directory GPO можно установить и управлять отдельными унифицированными наборами настроек, конкретно для дизайнеров или разработчиков.

Конфигурации для компьютеров или пользователей проще и эффективнее, т.к. расположены в одном месте и не требуют повтора на каждом компьютере.

Компоненты GPO

Существует два компонента групповых политик — серверный компонент и клиентский, т.е. данная структура относится к архитектуре “клиент-сервер”.

Серверный компонент — оснастка Microsoft Management Console (MMC), которая используется для указания настроек групповой политики.

MMC может быть использована для создания политик для контроля и управления административными шаблонами и настройками безопасности (скрипты, установка ПО и прочее).

Каждый из них называется расширением и в свою очередь каждый из них имеет дочернее расширение, которое разрешает добавление новых компонентов или обновление существующих без возможности затронуть или подвергнуть риску всю политику.

Клиентский компонент интерпретирует и применяет настройки групповой политики для компьютеров пользователей или целевым пользователям. Клиентские расширения — это компоненты, которые запущены на пользовательской системе и несут ответственность за интерпретацию обработки и применения в объекты групповой политики.

Для администрирования GPO используют Group Policy Management Console (GPMC) и Group Policy Management Editor.

Управление групповыми политиками Active Directory (AD GPO)

Сценарии использования Active Directory GPO:

  • Централизованная настройка пакета программ Microsoft Office.
  • Централизованная настройка управлением питанием компьютеров.
  • Настройка веб-браузеров и принтеров.
  • Установка и обновление ПО.
  • Применение определенных правил в зависимости от местоположения пользователя.
  • Централизованные настройки безопасности.
  • Перенаправление каталогов в пределах домена.
  • Настройка прав доступа к приложениям и системным программам.

Оснастка Управление групповыми политиками

После установки роли Active Directory Domain Service (AD DS) на контроллер домена на сервере появится оснастка Group Policy Management. Для того, чтобы ее открыть нажмите комбинацию клавиш Win+R и в открывшемся окне введите:

Нажмите OK.

Если оснастку не удается открыть, то возможно по определенным причинам она не установлена. Установить ее можно через стандартное меню Add roles and features в диспетчере сервера, выбрав компонент Group Policy Management.

Оснастка выглядит следующим образом:

Создание объектов групповой политики

Для создания объекта групповой политики перейдите во вкладку Forest ->Domains -> ->Group Policy Objects. С помощью правой кнопки мыши откройте меню и выберете New.

В открывшемся окне в поле Name введите удобное для вас имя групповой политики.

После этого вы увидите созданный объект в списке.

Теперь необходимо настроить созданный объект под конкретные задачи. в качестве примера удалим ссылку Games из меню Start. Для это с помощью правой кнопки мыши откройте меню объекта и выберете пункт Edit.

В редакторе групповых политик перейдите по иерархии User Configuration ->Policies ->Administrative Templates ->Start Menu and Taskbar. Найдите опцию Remove Games link from Start Menu и в контекстном меню выберете пункт Edit.

Читайте также:  Как отключить хост процесс windows rundll32

В открывшемся окне отметьте Enable

Отключение функции блокировки в Symantec Endpoint Protection

Это решение предназначено для тех пользователей, у которых установлен антивирус Symantec Endpoint Protection. Этот пакет безопасности включает функцию блокировки запуска всех приложений на съемных дисках. Попробуйте ее отключить.

Откройте антивирус и перейдите на вкладку Управления приложениями и устройствами. Затем выберите Управление , что флажок на опции блокировки запуска программ со съемных носителей не установлен. В противном случае снимите отметку и сохраните изменения.

Отключение функции блокировки в Symantec Endpoint Protection

Закройте антивирус, перезапустите компьютер. Изменения вступят в силу после перезагрузки, после чего проверьте, заблокирован ли запуск программ.

К чему применяется групповая политика (GPO)

Первое, на что я хочу обратить внимание, это ответить, что делает групповая политика. Все мы прекрасно знаем, что операционная система Windows, это набор служб и ключей реестра. Все настройки, которые вы видите и меняете в графическом режиме, по сути меняют ключи реестра. Понимая, это сразу можно сделать вывод:

  • что реестр есть как для объекта компьютер
  • и реестр есть для объекта пользователь

Именно эту две сущности являются конечными объектами в политике GPO. В Active Directory объекты пользователей и компьютеров не лежат просто так, а располагаются в двух видах папок:

  1. Это контейнер – по сути простая папка, важно, что к ней нельзя применять объекты групповой политики.
  2. Второй тип, это организационные подразделения (OU) – это специальные папки для объединения объектов AD по принципам. Именно с OU связываются объекты групповой политики, для применения их к компьютерам и пользователям. Внешне контейнер отличается от организационной утилитой, тем что у OU, есть дополнительная лычка на значке, это показано на скриншоте.

Проверка прав на политику

Объекты групповой политики, так же имеют свой ACL (лист доступа), это означает, что вы можете более тонко настраивать к каким объектам применяется данная политика. В редакторе «Управление групповой политикой» выберите ваш GPO. На вкладке «Область» найдите раздел «Фильтры безопасности«, он отображает к каким объектам применяется политика. Данный фильтр безопасности может включать объекты:

Проверка прав на политику
  • Пользователь
  • Компьютер
  • Группа безопасности

По умолчанию тут прописана группа безопасности «Прошедшие проверку (Authenticated Users)». По умолчанию в данную группу входят все доменные пользователи и доменные компьютеры

Проверка прав на политику

Если у вас тут выставлена другая группа или отдельные записи, то убедитесь, что нужный объект состоит в данном ACL. Хочу отметить, что если даже нужный объект присутствует в списке фильтра безопасности, то это не означает, что политика к нему применяется и тут дело все в том, что в 2014 году Microsoft изменила принцип чтения политики, таким образом, что у вас в делегированном фильтре безопасности обязательно должна присутствовать группа «Компьютеры домена» или «Прошедшие проверку» у которой должны быть прав на чтение политики. Вся соль в том, что когда вы удаляете группу «Прошедшие проверку» из фильтра безопасности, она удаляется и из вкладки делегирование.

Проверка прав на политику

Чтобы параметры групповой политики для пользователя успешно применялись, она требует наличия у каждой учетной записи компьютера разрешения на считывание данных GPO из контроллера домена. Удаление группы «Прошедшие проверку» может предотвратить обработку групповых политик для пользователя. добавьте группу безопасности «Пользователи, прошедшие проверку подлинности» или «Компьютеры домена», у которой есть по крайней мере разрешение только для чтения (-us/kb/316622)

Проверка прав на политику

Поэтому перейдите на вкладку «Делегирование» и проверьте наличие любой из групп «Прошедшие проверку» или «Компьютеры домена» и, что есть права на чтение. Если групп нет, то добавьте любую из них. Для этого нажмите кнопку «Дополнительно», далее добавить и выберите «Прошедшие проверку».

Проверка прав на политику

Удостоверьтесь, что выставлена галка «Чтение».

Проверка прав на политику

Тут же убедитесь, что нет запретов на нужный вам объект, в моем примере, это W10-CL03. Если есть снимите.

Проверка прав на политику

Обратите внимание на группу «КОНТРОЛЛЕРЫ ДОМЕНА ПРЕДПРИЯТИЯ (Enterprise Domain Controllers)» данная группа определяет, будет ли происходить репликация данной политики на другие контроллеры или нет, так что если политика отсутствует в папке SYSVOL на других контроллерах, то проверьте права у данной группы.

Еще одним механизмом фильтрации групповой политики, может выступать WMI фильтры. Если они есть и ваш объект не соответствует его требованиям, то вы не сможете применить политику. Посмотреть, это можно в соответствующем разделе. В моем примере есть WMI фильтр для ноутбуков, который не даст применения политики на стационарные компьютеры. Подробнее, о создании WMI фильтров и механизме проверки WMI фильтров, читайте по ссылкам. Ниже я покажу, как на конечном компьютере увидеть, что он не подошел из-за фильтрации GPO по WMI.