Основы работы с редактором локальной групповой политики в ОС Windows 10

Групповые политики — это параметры, управляющие функционированием системы. Групповая политика упрощает администрирование, предоставляя администраторам централизованный контроль над привилегиями, правами и возможностями пользователей и компьютеров.

Изменять групповые политики можно с помощью Редактора локальной групповой политики.

В редакциях операционной системы Windows 7 Starter, Home Basic и Home Premium редактор локальной групповой политики недоступен. Также он недоступен в редакциях Home Windows 8 и 10.

Групповые политики в Windows 10 позволяют управлять различными штатными средствами системы:

1. Политики для настройки встроенного брандмауэра Windows;
2. Политики для управления электропитанием;
3. Политики для настройки панели управления, панели задач и др.
4. Политики для настройки антивирусной защиты;
5. Политики для управления подключаемых устройств;
6. Политики для настройки штатных средств шифрования
7. Политики для настройки штатного браузера;
8. Политики для настройки беспроводных сетей и многое многое другое.

Для настройки параметров в операционной системе MS Windows 10 используется оснастка Редактор локальной групповой политики. Данная оснастка служит для просмотра и редактирования объектов групповой политики (Group Policy Object, GPO), в которых хранятся параметры локальных политик для компьютера и пользователей.

Оснастку Редактор объектов групповой политики можно запустить, например, введя в окне Выполнить, либо в поисковой строке gpedit.msc.

Рис.1 Окно Выполнить

Оснастка Локальная политика безопасности входит в состав оснастки Редактор

Для удобства можно добавить ярлык оснастки на рабочий стол. Для этого необходимо открыть C:\Windows\System32, выбрать правой клавишей мыши gpedit и отправить ярлык на рабочий стол.

Рис.2 Создание ярлыка для оснастки Редактор локальной групповой политики

Чтобы работать с объектами локальной групповой политики, необходимо войти в систему с учетной записью администратора.

Структура редактора групповой политики

Оснастка Редактор локальной групповой политики позволяет изменять политики, распространяющиеся как на компьютеры, так и на пользователей.

В панели пространства имен оснастки Редактор локальной групповой политики представлено два узла: Конфигурация компьютера и Конфигурация пользователя.

Узел Конфигурация компьютера содержит параметры политик, определяющих работу компьютера. Эти политики регулируют функционирование операционной системы, определяют права пользователей в системе, работу системных служб и средств безопасности и т. д.

Узел Конфигурация пользователя содержит параметры политик, определяющих работу пользователей.

Рис.3 Редактор локальной групповой политики

Изменение в групповых политиках по умолчанию в операционной системе Windows применяются через полтора часа (90 мин.). За данную настройку опять же отвечает отдельная политика. Частота обновления определяется политикой Интервал обновления групповой политики для компьютеров, которая расположена в узле Конфигурация компьютера > Административные шаблоны > Система > Групповая политика. Интервал указывается в минутах и определяет, как часто компьютер будет предпринимать попытку обновления политик. Рационально уменьшать интервал обновления групповой политики при частом применении изменений.

Рис.4 Настройка частоты обновления политик

Рис.5 Настройка частоты обновления политик

Если необходимо чтобы изменения групповых политик вступили в силу немедленно, можно принудительно применить измененные параметры, которые были внесены в редакторе локальной групповой политики несколькими способами:

• осуществить перезагрузку операционной системы
• использовать утилиту gpupdate.exe для принудительного обновления групповой политики. Для этого необходимо либо в окне Выполнить, либо в командной строке ввести gpupdate /force и нажать ОК.

Рис.6 Обновление политик в командной строке

С использованием параметра /target можно указать, будет ли это обновление параметров применяться только для пользователя или только для компьютера. Если не указано, обновляются параметры обеих политик.

Например, для выполнения обновления политик для пользователя, необходимо ввести gpupdate /target:user.

Рис.7 Обновление политик для пользователя в командной строке

Пример последовательности действий при редактировании определенной политики

Чтобы на примере рассмотреть настройку политик, в данной статье будет описан механизм скрытия всех апплетов Панели управления, кроме определенных. При администрировании рабочей станции иногда бывает целесообразно скрыть для неопытного пользователя большую часть апплетов Панели управления, оставив только необходимые. Для этого:

• Войти в систему под учетной записью администратора.
• Запустить Редактор локальной групповой политики
  • Открыть окно Выполнить,
  • Ввести gpedit.msc,
  • Нажать Enter.
• Последовательно развернуть элементы Конфигурация пользователя > Административные шаблоны > Панель управления в окне Редактора локальной групповой политики.

Рис.8 Редактирование параметра политики Отображать только указанные объекты панели управления

• Дважды щелкнуть ЛКМ по параметру политики Отображать только указанные объекты панели управления.
• Выбрать значение Включено.

Рис.9 Редактирование параметра политики Отображать только указанные объекты панели управления

• Нажать кнопку Показать, чтобы вызвать диалоговое окно Вывод содержания.
• Ввести имя апплета или апплетов, которые необходимо показывать в Панели управления, и нажать Enter.

Рис.10 Список разрешенных элементов панели управления

• Нажать OK.
• Закрыть редактор локальной групповой политики
• Проверить результат

Для некоторых политик, чтобы изменения вступили в силу сразу, необходимо в окне Выполнить ввести gpupdate /force.

Рис.11 Список элементов панели управления до изменения параметра локальной групповой политики

Рис.12 Список элементов панели управления после изменения параметра локальной групповой политики

Изменения, которые вносятся через редактор локальной групповой политики, будут применены для всех учетных записей, зарегистрированных в системе, включая учетную запись администратора, который инициировал изменения.

Чтобы настраивать политики для конкретных пользователей, в операционной системе Windows применяется многоуровневая локальная групповая политика:

• стандартная локальная групповая политика, позволяющая изменять системные и пользовательские настройки, которые будут применены для всех пользователей операционной системы;
• групповая политика для администраторов и не администраторов. Эта групповая политика содержит только конфигурационные параметры пользователя и применяется в зависимости от того, является ли используемая учетная запись пользователя членом локальной группы Администраторы или нет;
• групповая политика для конкретного пользователя. Эта групповая политика содержит только конфигурационные параметры конкретного пользователя

Последовательность действий при добавлении объектов групповой политики через консоль управления (Microsoft Management Console, MMC)

Добавление объекта групповой политики первого уровня

• В окне Выполнить ввести MMC и нажать Enter
• Открыть меню Файл и выбрать опцию Добавить или удалить оснастку

Рис.13 Добавление оснастки через консоль управления

• Найти и выделить Редактор объектов групповой политики и нажать кнопку Добавить

Рис.14 Диалоговое окно Добавление и удаление оснасток

• В открывшемся мастере групповой политики в поле Объект групповой политики оставить по умолчанию Локальный компьютер (первый уровень, стандартная локальная политика) и нажать кнопку Готово.

Рис.15 Диалоговое окно выбора объекта групповой политики

Добавление объекта групповой политики второго уровня

• В окне Добавление и удаление оснасток добавить новую оснастку Редактор объектов групповой политики.
• В мастере групповой политики в поле Объект групповой политики нажать кнопку Обзор.
• На вкладке Пользователи выбрать Администраторы и нажать кнопку ОК и Готово

Рис.16 Настройка объекта групповой политики второго уровня

Добавление объекта групповой политики третьего уровня

• В окне Добавление и удаление оснасток добавить новую оснастку Редактор объектов групповой политики.
• В мастере групповой политики в поле Объект групповой политики нажать кнопку Обзор.
• На вкладке Пользователи выбрать нужную учетную запись.
• Нажать ОК, чтобы закрыть диалоговое окно Добавление и удаление оснасток.

Рис.17 Консоль управления

• Для удобства, используя команды в главном меню Файл >Сохранить как, сохранить файл консоли управления на рабочем столе для последующего редактирования политик.

Теперь, используя данную консоль, можно настраивать политики для определенных пользователей.

Галашина Надежда Евгеньевна, старший преподаватель факультета методов и техники управления НИУ ИТМО Санкт-Петербурга. Специально для портала Comss.ru

Нашли опечатку? Нажмите Ctrl+Enter

При попытке войти в свою учётную запись в ОС Виндовс пользователь может внезапно столкнуться с сообщением «Клиент групповой политики препятствует входу в систему» и надписью «Отказано в доступе». Обычно это происходит после очередного обновления системы, установки или удаления какого-либо софта, или из-за деятельности зловредов, нарушающих целостность системного реестра. Ниже разберём причины данной дисфункции, а также расскажем, как её исправить.

Скриншот об ошибке препятствия службы при входе в систему

Почему служба «Клиент групповой политики» блокирует вход в систему

«Групповая политика» — это утилита управления учетными записями Виндовс, определяющая условия использования пользовательского аккаунта в определённой группе. Такая группа может быть стандартной или ограниченной, группой администраторов или гостей, любой другой группой, созданной ответственным лицом. Групповая политика активируется при входе пользователя в систему, и напрямую зависит от группы, к которой он принадлежит.

При запуске системы пользователь может однажды встретиться с сообщением о препятствовании групповыми политиками входа в систему. В некоторых случаях ещё можно войти в систему как администратор, в других случая доступ к системе оказывается заблокирован.

Инструмент отвечающий за вход в систему («Winlogon») связан со службой групповых политик «GPSVC» (аббревиатура от «Group Policy Service»). После запуска системы сервис групповой политики реализует себя в отдельном процессе SVCHOST. При возникновении каких-либо проблем в работе данного процесса пользователь видит ошибку «Клиент групповой политики препятствует входу в систему…».

Причины дисфункции таковы:

• Наличие некорректных данных в системном реестре (в том числе из-за его повреждения);
• Некорректная установка системных обновлений;
• Установка и деятельность программ, способных нарушить целостность системного реестра (в том числе вирусных);
• Неправильное отключение PC;
• Вход в систему под не административным (гостевым) аккаунтом в ситуации, когда ряд приложений или драйверов были ранее установлены в системе с административными привилегиями.

Ещё препятствовать входу может Служба профилей пользователей.

Ниже разберём, как решить возникшую проблему Служба «Клиент групповой политики» препятствует входу в систему.

Как исправить отказ в доступе

Давайте перечислим способы, позволяющие избавиться от ошибки «Групповая политика препятствует входу в систему».

Отредактируйте системный реестр

Выполните следующее:

• Нажмите Win+R, введите там regedit, нажмите Энтер. Перейдите по пути:

В панели справа поищите параметр «GPSvcGroup». Если его там нет, кликните правой клавишей мышки на пустом месте правого поля, кликните на «Создать» — «Мультистроковой параметр» и дайте ему имя (переименуйте) на GPSvcGroup.

• Если он там есть (или вы его создали), кликните ПКМ на данном параметре, выберите «Изменить», скопируйте значение GPSvc в поле «Значения» и нажмите на «Ок»;

  Введите указанное значение

• Вновь нажмите ПКМ на пустое место справа, выберите «Создать» – «Раздел», и дайте ему название GPSvcGroup.
• Кликните на новосозданной папке GPSvcGroup, затем кликните ПКМ на пустом месте справа, выберите создать «Параметр DWORD» и назовите его AuthenticationCapabilities.
• Нажмите ПКМ на AuthenticationCapabilities, выберите «Изменить», активируйте «Десятичная», введите 12320 и нажмите на «Ок».
• Создайте другой параметр DWORD с именем CoInitializeSecurityParam и установите ему значение 1.

  Создайте перечисленные параметры

• Перезагрузите ваш ПК и попытайтесь выполнить вход в оригинальный аккаунт.

Перезапустите службу групповых политик

• Нажмите на Win+R, введите там services.msc. Найдите в перечне служб «Клиент групповой политики», дважды кликаем на ней, устанавливаем тип запуска на «Автоматически», сохраняем изменения;
• Запускаем командную строку, там набираем:

И нажимаем ввод. После завершения процедуры перезагружаем ПК, это может помочь устранить ошибку «Клиент групповой политики препятствует входу в систему».

Введите данную команду

Проверьте систему на наличие зловредов

Во многих случаях причинами рассматриваемой проблемы являются вирусные зловреды, изменяющие системные настройки под свои нужны. Используйте ДокторВеб Кюрейт, Trojan Remover, AdwCleaner и другие онлайн аналоги для борьбы со зловредами — 7 лучших антивирусов.

Восстановите параметры безопасности

Для реализации данной операции нам понадобится загрузочная флешка с нашей версией ОС. Загрузитесь с её помощью, выбираем внизу «Восстановление», запускаем командную строку, и там вводим:

secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb /verbose

Перезагрузите ваш ПК, это поможет исправить проблему отказано в доступе.

Удалите файл NTUSER.DAT

Перейдите в директорию C:\Users, там найдите папку с названием вашего аккаунта, войдите в неё, и удалите там файл NTUSER.DAT, отвечающий за хранение настроек пользовательского профиля. Если ваш аккаунт повреждён, вы можете попробовать удалить данный файл, перезагрузить ваш ПК, и попытаться войти в систему.

Удалите указанную папку

Выполните системное восстановление

Переход к ранее стабильной точке работы вашего ПК (откат системы) является хорошей альтернативой для восстановления её работоспособности. При запуске системы быстро жмите на F8 и выберите «Загрузка последней удачной конфигурации». Это может помочь решить проблему отказано в доступе клиенту групповых политик.

Если же доступ к системе вовсе не возможен, попробуйте загрузиться с флешки с имеющейся на ней образом Виндовс 10, и после выбора языка кликнуть слева внизу на «Восстановление системы». В дополнительных параметрах необходимо будет вновь выбрать опцию «Восстановление системы», что позволит системе выполнить откат до прежней стабильной точки восстановления.

Появление рассматриваемого в статье сообщения обычно сигнализирует о наличии проблем со службой групповых политик «GPSVC», актуализированной в процессе SVCHOST. Выполните перечисленные выше советы, что позволит решить ошибку «Служба «Клиент групповой политики» препятствует входу в систему» на вашем ПК.

Как установить Редактор локальной групповой политики (gpedit.msc) в Windows 10

Почти все инструкции по установке gpedit.msc в Windows 10 Домашняя и Домашняя для одного языка предлагают использовать сторонний установщик (который будет описан в следующем разделе инструкции). Но в 10-ке можно установить редактор локальной групповой политики и исправить ошибку «не удается найти gpedit.msc» полностью встроенными средствами системы.

Шаги будут следующими

1. Создайте bat-файл со следующим содержимым (см. Как создать bat файл).
2. @echo off dir /b C:\Windows\servicing\Packages\Microsoft-Windows-GroupPolicy-ClientExtensions-Package~3*.mum >find-gpedit.txt dir /b C:\Windows\servicing\Packages\Microsoft-Windows-GroupPolicy-ClientTools-Package~3*.mum >>find-gpedit.txt echo Ustanovka gpedit.msc for /f %%i in (‘findstr /i . find-gpedit.txt 2^>nul’) do dism /online /norestart /add-package:»C:\Windows\servicing\Packages\%%i» echo Gpedit ustanovlen. pause
3. Запустите его от имени администратора.
4. Будет произведена установка необходимых компонентов gpedit.msc из собственного хранилища компонентов Windows 10.
5. По завершении установки вы получите полностью рабочий редактор локальной групповой политики даже на домашней версии Windows 10.

Как видите, способ очень простой и всё необходимое уже имеется в вашей ОС. К сожалению, метод не подойдет для Windows 8, 8.1 и Windows 7. Но и для них существует вариант проделать то же самое (кстати, он будет работать и для Windows 10, если по какой-то причине вышеописанный способ вам не подошел).

Как исправить «Не удается найти gpedit.msc» в Windows 7 и 8

Если gpedit.msc не найден в Windows 7 или 8, то причина, вероятнее всего, также в домашней или начальной редакции системы. Но предыдущий способ решения проблемы не сработает.

Для Windows 7 (8) можно скачать gpedit.msc в виде стороннего приложения, установить его и получить необходимые функции.

1. На сайте https://drudger.deviantart.com/art/Add-GPEDIT-msc-215792914 скачайте ZIP-архив (ссылка на скачивание находится справа на странице).
2. Распакуйте архив и запустите файл setup.exe (учитывая, что файл стороннего разработчика, безопасности я не гарантирую, однако по VirusTotal всё в порядке — одно обнаружение, вероятно, ложное, и отличный рейтинг).
3. Если компоненты .NET Framework 3.5 отсутствуют на вашем компьютере вам также будет предложено скачать и установить их. Однако, после установки .NET Framework, установка gpedit.msc в моем тесте показалась как завершенная, но по факту файлы скопированы не были — после перезапуска setup.exe всё прошло успешно.
4. Если у вас 64-разрядная система, после установки скопируйте папки GroupPolicy, GroupPolicyUsers и файл gpedit.msc из папки Windows\SysWOW64 в Windows\System32.

После этого редактор локальной групповой политики будет работать в вашей версии Windows. Недостаток способа: все пункты в редакторе отображаются на английском языке.

Более того, похоже, в gpedit.msc, установленном таким способом отображаются только параметры Windows 7 (большинство из них те же и в 8-ке, но некоторые, специфичные именно для Windows 8 не видны).

Примечание: этот способ иногда может вызвать ошибку «MMC не может создать оснастку» (MMC could not create the snap-in). Это можно исправить следующим способом:

1. Снова запустите установщик и не закрывайте его на последнем шаге (не нажимайте Finish).
2. Перейдите в папку C:\Windows\Temp\gpedit\
3. Если на вашем компьютера 32-битная Windows 7, кликните правой кнопкой мыши по файлу x86.bat и выберите пункт «Изменить». Для 64-разрядной — то же самое с файлом x64.bat
4. В этом файле, везде измените %username%:f на»%username%»:f(т.е. добавьте кавычки) и сохраните файл.
5. Запустите измененный bat файл от имени администратора.
6. Нажмите Finish в программе установки gpedit для Windows 7.

На этом всё, надеюсь, проблема «Не удается найти gpedit.msc» была исправлена.