Как открыть редактор локальной групповой политики

Содержание

Разрешить (запретить) пользователю перезагрузку Windows с помощью политики

Права на перезагрузку или выключение Windows можно настроить с помощью политики “Завершение работы системы” (Shut down the system) в секции GPO: Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Локальные политики -> Назначение прав пользователя (Computer Configuration -> Policies -> Windows Settings -> Security Settings -> User Rights Assignment).


Обратите, что по-умолчанию права на выключение/перезагрузку Windows различаются в десктопных версиях Windows 10 и в редакциях Windows Server.

Откройте редактор локальной политики gpedit.msc и перейдите в указанную выше секцию. Как вы видите, в Windows 10 права на перезагрузку (выключение) компьютера есть у членов локальных групп: Администраторы, Пользователи и Операторы архива.

В то время как в Windows Server 2012 R2 выключить или перезагрузить сервер могут только Администраторы или Backup Operators. Это правильно и логично, т.к. у пользователей в подавляющем большинстве случаев не должно быть прав на выключение сервера (даже случайное). Представьте себе RDS сервер, который периодически выключается из-за того, что пользователи случайно нажимают на кнопку выключения в стартовом меню…

Но из всякого правила бывают исключения. Соответственно, если вы хотите разрешить определенному пользователю (без права администратора) перезагружать ваш Windows Server, достаточно добавить его учетную запись в эту политику.

Вы также можете предоставить обычным пользователям права на запуск и остановку служб.

Или наоборот, вы хотите запретить пользователям десктопной редакции Windows 10 перезагружать компьютер, который выполняет некую серверную функцию. В этом случае вам достаточно удалить группу Users из локальной политики “Завершение работы системы”.

Аналогичным образом вы можете запретить (или разрешить) выключение или перезагрузку компьютеров для всех компьютеров в определённом OU домена Active Directory с помощью доменной политики. С помощью редактора доменных GPO (gpmc.msc) создайте новую политику Prevent_Shutdown, настройте параметр политики “Shut down the system” в соответствии с вашими требованиями и назначьте политику на OU с компьютерами или серверами.

Method #2: Install GPEdit.msc in Windows 10 Home using PowerShell script

  1. Download the GPEdit Enabler script from the link below

      GPEdit Enabler for Windows 10 Home Edition (379 bytes, 138,495 hits)

    This is a simple PowerShell script that will install the disabled Group Policy feature in the Windows 10 Home edition.
  2. Right-click the downloaded gpedit-enabler.bat file and select Run as Administrator.
  3. This will start the installation process. It may take some time depending upon your system performance. When the process is complete, press any key to close the command prompt window.
  4. Although a restart is not required, if the policies are not working, you should restart the computer once.

How to open the group policy editor after installing

After you install the group policy editor, you should be access local group policies and edit group policies already implemented on your computer.

Open the Run dialog by pressing Windows key + R. Type gpedit.msc and press the Enter key or OK button. This should open gpedit in Windows 10 Home.

Some people complain that although this method enabled the group policy editor, most of the settings don’t work in the Home edition. If both the methods fail in your case, you should probably try out the third method discussed below.

Сбросить групповую политику по умолчанию

Параметры групповой политики могут различаться в зависимости от нескольких конфигураций, таких как Персонализация, Параметры брандмауэра, Принтеры, Политики безопасности, и т. Д. Мы рассмотрим несколько методов, с помощью которых можно сбросить соответствующие политики до состояния по умолчанию. ,

1] Сброс настроек GPO с помощью редактора локальной групповой политики

Теперь это очень простой. Выполните следующие шаги для сброса измененных настроек объекта групповой политики.

1. Нажмите Windows Key + R на клавиатуре, чтобы запустить приглашение «Выполнить». Введите gpedit.msc и нажмите Enter, чтобы открыть редактор локальной групповой политики.

2. Перейдите по следующему пути в левой части окна редактора групповой политики:

3. Теперь в правом боковом окне отсортируйте параметры политики по столбцу «Состояние», чтобы все те политики, которые в настоящее время включены/отключены , были доступны сверху.

4. Далее, измените их состояние с Включено/Отключено на Не настроено и примените настройки.

5. Повторите то же самое для приведенного ниже пути.

6. Это восстановит все параметры групповой политики в состояние по умолчанию. Однако, если вы столкнулись с некоторыми серьезными проблемами, такими как потеря прав администратора или отстранение от входа в систему, вы можете попробовать следующий метод.

2] Восстановить локальные политики безопасности по умолчанию

Политики безопасности вашей учетной записи администратора в Windows поддерживаются в другой консоли управления — secpol.msc (локальная политика безопасности) . Эта оснастка параметра безопасности расширяет оснастку «Групповая политика» и помогает определять политики безопасности для компьютеров в вашем домене.

Теперь, при определенных обстоятельствах, вы можете получить некоторые испорченные настройки безопасности, которые вы можете установить правильно, если вы сохранили административные привилегии на вашем компьютере.

Выполните следующие шаги для сброса политик безопасности на вашем компьютере:

1. Нажмите Windows Key + X на клавиатуре, чтобы открыть меню Быстрая ссылка . Выберите Командная строка (Администратор) , чтобы открыть окно командной строки с повышенными правами.

2. Введите указанную ниже команду в окне приглашения и нажмите Enter:

 secedit/configure/cfg% windir% \ inf \ defltbase.inf/db defltbase.sdb/verbose 

3. После завершения задачи перезагрузите компьютер, чтобы изменения вступили в силу, и снова начните с политик безопасности.

4. Если некоторые компоненты по-прежнему выглядят странно, вы можете перейти к следующему методу для полной перезагрузки объектов групповой политики.

3] Сброс объектов групповой политики с помощью командной строки

Этот конкретный метод включает удаление папки параметров групповой политики с диска, на котором установлена ​​Windows. Выполните следующие шаги, чтобы сделать это, используя окно командной строки с повышенными правами.

1. Откройте окно командной строки с повышенными правами, как описано в способе 2.

2. Введите эти команды в CMD и выполните их одну за другой.

 RD/S/Q "% WinDir% \ System32 \ GroupPolicyUsers" 
 RD/S/Q "% WinDir% \ System32 \ GroupPolicy" 
 gpupdate/force 

3. По завершении перезагрузите компьютер.

Убедитесь, что вы создали точку восстановления системы, прежде чем вносить какие-либо изменения в реестр или параметры политики.

Связанное чтение . Как восстановить поврежденную групповую политику в Windows 10.

Трудности и проблемы с установкой

Проблемы могут ожидать владельцев Home версии Windows 10, так как консоль корректно работает только на более дорогих и сложных Proffesional и Enterprise. На экране возникает окно «Не удается найти «gpedit.msc». Проверьте, правильно ли указано имя и повторите попытку.» Само собой, данная ошибка будет выдаваться и при повторном запуске, так что для корректной работы придётся сделать следующее:

1) Откройте командную строку, включив себе права администратора и введите команды для осуществления запуска:

FOR %F IN ("%SystemRoot%\servicing\Packages\Microsoft-Windows-GroupPolicy-ClientTools-Package~*.mum") DO (
DISM /Online /NoRestart /Add-Package:"%F"
)
FOR %F IN ("%SystemRoot%\servicing\Packages\Microsoft-Windows-GroupPolicy-ClientExtensions-Package~*.mum") DO (
DISM /Online /NoRestart /Add-Package:"%F"
)

2) Запустите консоль ещё раз, теперь она должна функционировать полноценно со всем функционалом, представленном в других версиях операционной системы.

У пользователей более старых версий Windows «непрофессионального» уровня также может возникать ошибка «MMC не может создать оснастку». Алгоритм решения проблемы будет следующим:

  1. Снова пройдя процесс установки не заканчивать её, остановившись на завершающем окне
  2. Открыть папку C:\Windows\Temp\gpedit\
  3. Найти файл x86.bat или x64.bat (в зависимости от разрядности операционной системы) и нажать «Изменить» по клику правой кнопки мыши.
  4. Везде, где видите %username%:f возьмите %username% в кавычки с обеих сторон
  5. Запустите этот файл с внесёнными изменениями от имени администратора
  6. Теперь завершите установку нажатием на Finish в установщике

Отличие версий Windows 10 Pro и Windows 10 Home

Базовые компоненты Pro и Home версий совершенно идентичны, разница заключается лишь в бизнес-компонентах. Они позволяют настроить связь между компьютерами внутри одной корпоративной сети и беспрепятственно работать целым офисом. В домашних же условиях эта особенность бесполезна и у нас нет нужды связывать два устройства.

Что отличает Windows 10 Pro от Windows 10 Home:

  • Поддержка подключения дополнительных устройств и возможность управления ими.
  • Доступ к шифрованию передаваемых данных в единой корпоративной сети.
  • Расширенный список сетевых стандартов.
  • Доступ к общим офисным документам и принтерам.
  • Работа с облаком.
  • Управление групповыми политиками.
  • Возможность недорогого обновления до Windows 10 Enterprise.

Большинство описанных выше функций не пригодятся обычному пользователю. Они предназначены для ведения бизнеса и работы с документами

Однако, особое внимание следует уделить такой особенности как управление групповыми политиками

Данная функция открывает широкие возможности по настройке компьютера для каждого юзера и при этом не вынуждает идти на высокие риски.

Область действия и порядок применения групповых политик (LSDOU)

Чтобы запомнить особенности порядка применения групповых политик в домене, нужно запомнить аббревиатуру LSDOU. Это аббревиатура позволяет запомнить порядок применения GPO:

  1. Локальные политики компьютера (Local), настроенные через gpedit.msc (при некорректной настройке их можно сбросить);
  2. Групповые политики уровня сайта (Site);
  3. Групповые политики уровня домена (Domain);
  4. Групповые политики уровня организационного подразделения (Organizational Unit).

Последние политики имеют наивысший приоритет. Т.е. если вы включили некий параметр Windows на уровне политики домена, но на целевом OU данный параметр отключается другой политикой – это означает, что нужный параметр в результате будет отключен на клиенте (выиграет ближайшая политика к объекту в иерархии AD).

При использовании параметра Forced у GPO выигрывает та, политика находится выше в иерархии домена (например, при включении Forced у политики Default Domain Policy, она выигрывает у всех других GPO).

Кроме того, администратор может изменить порядок обработки политик (Link Order) в консоли GPMC. Для этого нужно выбрать OU и перейти на вкладку Linked Group Policy Objects. В списке содержаться список GPO, которые применяются к данной OU с указанием приоритета. Политики обрабатываются в обратном порядке (снизу-вверх). Это означает что политика с Link Order 1 выполнится последней. Вы можете изменить приоритет GPO с помощью стрелок в левом столбце, передвинув ее выше или ниже в списке.

Как открыть редактор локальной групповой политики (Консоль управления)

  1. С помощью поиска Win+Q находим консоль управления, для этого вводим в поисковую строку MMC.
  2. В консоли управления открываем меню Файл и выбираем пункт Добавить или удалить оснастку (для быстрого открытия этого пункта можно использовать комбинацию клавиш Ctrl+M в консоли управления).
  3. Дальше выделяем пункт Редактор объектов групповой политики и нажимаем Добавить > Готово > ОК.

Плюсом данного способа есть возможность сохранить файлы консоли управления хоть на рабочем столе и при необходимости иметь возможность быстро запускать консоль.

Выводы

Редактор локальной групповой политики часто используют пользователи для настройки операционной системы. Изменив групповую политику можно настраивать компьютер. Именно поэтому даже у нас на сайте можно найти множество статей где используется редактор групповой политики.

В этой статье мы рассмотрели лучшие способы как открыть редактор локальной групповой политики в Windows 10 Профессиональная. Сами же отдаем предпочтение способу открытия редактора с использованием окна выполнить.

Где находится gpedit msc в Windows 10?

Сначала попробуем найти этот файл. Нажимаем значок «Пуск» в левом нижнем углу и в строке поиска набираем имя файла.

Как видно на скриншоте, результат выдает общие фразы, но не саму программу gpedit msc. Это значит, что нам не  удается найти gpedit msc в windows 10. Однако, в 64-битной версии все не так просто. В папке system32 лежат 32-битные приложения, а поиск пытается найти  именно там.

Давайте поищем в другой папке. Она называется SysWOW64.

Откройте ее и в правом верхнем углу наберите в строке поиска имя файла. Если опять не смогли найти, значит у вас точно нет gpedit msc .


Вот поэтому gpedit msc не запускается в windows 10 – его там просто нет. Не стоит отчаиваться. Если вам всенепременно хочется установить редактор и попробовать настроить политики для ваших пользователей –  способ есть.

Делегирование GPO

На вкладке политики Delegation указаны разрешения, настроенные для данной групповой политики. Здесь можно увидеть каким группам даны права на изменения настроек GPO, а также на разрешение или запрет применения политики. Вы можете предоставить права на управление GPO из этой консоли или с помощью мастера делегирования в ADUC. Кроме того, наличие строки доступа для Enterprise Domain Controllers определяет возможность репликации данной политики между контроллерами домена Active Directory (это нужно иметь в виду при наличии проблем с репликацией политики между DC)

Обратите внимание, что права на вкладке Delegation соответствуют NTFS правам, назначенным на каталог политики в папке SYSVOL

Установка административных (ADMX) шаблонов административных политик для Chrome

Чтобы вы могли управлять параметрами Chrome через групповые политики, вы должны скачать и установить специальный набор административных шаблонов GPO для Google Chrome.

  1. Скачайте и распакуйте архив с ADM/ADMX шаблонами групповых политик для Google Chrome( http://dl.google.com/dl/edgedl/chrome/policy/policy_templates.zip — размер архива около 7 Мб);
  2. В архиве находятся 3 каталога:
    • chromeos (административные шаблоны для Chromium);
    • common (содержит html файлы с полным описанием всех настраиваемых параметров политик Chrome – см. файл chrome_policy_list.html);
    • каталог windows — содержит шаблоны политик Chrome в двух форматах: ADM и ADMX (admx это более новый формат административных политики, поддерживается начиная с Windows Vista / Windows Server 2008 и выше).В этом же каталоге есть файл chrome.reg, в нем содержится пример настроек реестра, которые задаются для Chrome из GPO). Вы можете использовать примеры из этого reg файла для прямого импорта настроек Chrome );
  3. Скопируйте файлы административных шаблонов Chrome в каталог (в этом каталоге хранятся локальные административные шаблоны GPO). Чтобы настройки групповых политик Chrome были локализованы (русифицированы) нужно скопировать советующий файл шаблона. Для русского языка в случае использования ADMX формата шаблона, нужно скопировать сам файл шаблона \policy_templates\windows\admx\admx и файлы локализации \policy_templates\windows\admx\ru\chrome.adml; Примечание. Если вы планируете использовать политик Chrome в домене Active Directory, нужно скопировать ADMX и ADML файлы в каталог определенной GPO (не лучший вариант) или в каталог PolicyDefinitions, расположенный в паке SYSVOL на котроллере домена (в случае использовании централизованного хранилища GPO).
  4. Предположим вы планируете использовать ADMX-формат шаблона GPO и централизованное доменное хранилище политик. Скопируйте файл chrome.admx и каталоги локализации в папку на контроллере домена;
  5. Откройте консоль управления доменными групповыми политиками (gpmc.msc) и перейдите в режим редактирования любой существующей политики (или создайте новую). Убедитесь, что и в пользовательском и системном разделах Policies -> Administrative Templates появилась новая секция Google, в которой содержаться два подраздела Google Chrome и Google Chrome – Default Settings (users can override); Совет. Если вы не используете централизованное хранилище GPO, шаблон групповых политик для Google Chrome можно добавить в редактор политики вручную, для этого щелкните ПКМ по разделу Administrative Templates и выберите пункт Add/Remove Templates. В открывшемся окне укажите путь файлу chrome.adm . Путь желательно указывать в UNC формате, например так:

После того, как вы установили административные шаблоны групповых политик для браузера Google Chrome, вы можете перейти к настройке параметров Chrome на компьютерах пользователей.

Данные административные шаблоны содержат порядка 300+ различных настроек Google Chrome, которыми можно управлять. Вы можете исследовать их самостоятельно и настроить параметры браузера, которые нужны в вашей среде.

Method #1: Enable Group Policy Editor in Windows 10 Home using GPEdit Installer

Since the Group Policy Editor is not included in Windows 10 by default, we will need to download the editor first. You may download it from the below-mentioned download link.

  Download GPEdit.msc Installer (854.7 KiB, 162,033 hits)

Alternative download link

This is a simple setup file which when run will install and configure the Group Policy Editor in your Windows Home system.

Installing gpedit.msc correctly

If you have 32-bit Windows (x86) then the setup should be installed smoothly without any problems and you should be able to access the Group Policy Editor through the Microsoft Management Console by going to Run –> gpedit.msc. But if you have 64-bit Windows (x64) then you will need some extra steps after running the installer. Follow the steps below after running the installer:

  1. Go to C:\Windows\SysWOW64 folder
  2. Copy the following folders and files from C:\Windows\SysWOW64 to C:\Windows\System32“GroupPolicy“, “GroupPolicyUsers” and gpedit.msc.

This will make sure you run the editor from the Run dialog.

Solving common problems with running gpedit.msc

If you are getting an “MMC cannot create a snap-in” error message while starting gpedit.msc, you may follow the steps below for the solution:

  1. Go to C:\Windows\Temp\gpedit\ folder and make sure it exists.
  2. Download the following zip file and unzip it to C:\Windows\Temp\gpedit\. This should replace two files x86.bat and x64.bat.

      gpedit-temp-files-x86x64 (1.3 KiB, 50,949 hits)

  3. Now run x86.bat if you are running 32-bit Operating System and x64.bat if you are running 64-bit Windows 10. Make sure you are running the batch files as Administrator.

After following the above-mentioned steps, you should have a working Group Policy Editor in Windows 10 Home edition. In case of any confusion or problem, you are always encouraged to discuss by commenting below.

Установка редактора групповых политик

Если не удается найти gpedit.msc в Windows 7, 8, 10, можно воспользоваться установкой специального патча . Стоит отметить, что установщик имеет англоязычный интерфейс. Поэтому перед тем, как устанавливать редактор стоит попробовать другие способы, которые помогут устранить ошибку.

Подготовка и установка

Важно, перед установкой патча обязательно создайте точку восстановления системы, во избежание сбоев в работе ОС. Если точка не будет создана, откат к предыдущем параметрам системы выполнить невозможно

Для начала разберемся, как выполнить установку на 32-х разрядной Windows:

Особенности установки в системах х64

В свою очередь, в 64-х разрядной системе процесс установки патча будет несколько иным:

Благодаря проделанным действием утилита должна быть запущена. Если этого не произошло, потребуется проделать ряд следующих операций.

Дополнительные действия:

Ошибка ММС при открытии gpedit.msc


Данная ошибка чаще всего возникает у пользователя, когда имя учетной записи содержит несколько символов или пробелов, например, «Admin_PC». При запуске утилиты в окне будет отображаться информация «Консоль управления MMC не может создать оснастку».

Для решения проблемы требуется проделать следующие действия :

Другие возможные проблемы

Помимо перечисленного выше, для корректной работы редактора необходимо установить свежую версию программного компонента «.NET Framework». Если данное программное обеспечение ранее было установлено, необходимо его включить.

Включить «.NET Framework» можно следующим образом:

Примеры использования

Перейдем к использованию редактора локальной групповой политики. Я покажу несколько примеров, которые позволят увидеть, как именно производятся настройки.

Разрешение и запрет запуска программ

Если вы пройдете в раздел Конфигурация пользователя — Административные шаблоны — Система, то там вы обнаружите следующие интересные пункты:

  • Запретить доступ к средствам редактирования реестра
  • Запретить использование командной строки
  • Не запускать указанные приложения Windows
  • Выполнять только указанные приложения Windows

Два последних параметра могут быть полезными даже обычному пользователю, далекому от системного администрирования. Кликните дважды по одному из них.

В появившемся окне установите «Включено» и нажмите по кнопке «Показать» около надписи «Список запрещенных приложений» или «Список разрешенных приложений», в зависимости от того, какой из параметров меняется.

Укажите в строчках имена исполняемых файлов программ, запуск которых нужно разрешить или запретить и примените настройки. Теперь, при запуске программы, которая не разрешена, пользователь будет видеть следующее сообщение об ошибке «Операция отменена из-за ограничений, действующих на этом компьютере».

Изменение параметров контроля учетных записей UAC

В разделе Конфигурация компьютера — Конфигурация Windows — Параметры безопасности — Локальные политики — Параметры безопасности имеется несколько полезных настроек, одну из которых можно и рассмотреть.

Выберите параметр «Контроль учетных записей: поведение запроса на повышение прав для администратора» и дважды кликните по нему. Откроется окно с параметрами этой опции, где по умолчанию стоит «Запрос согласия для исполняемых файлов не из Windows» (Как раз поэтому, всякий раз, при запуске программы, которая хочет изменить что-то на компьютере, у вас запрашивают согласие).

Вы можете вообще убрать подобные запросы, выбрав параметр «Повышение без запроса» (только этого лучше не делать, это опасно) или же, напротив, установить параметр «Запрос учетных данных на безопасном рабочем столе». В этом случае, при запуске программы, которая может внести изменения в системе (а также для установки программ) каждый раз потребуется вводить пароль учетной записи.

Сценарии загрузки, входа в систему и завершения работы

Еще одна вещь, которая может оказать полезной — скрипты загрузки и выключения, которые вы можете заставить выполняться с помощью редактора локальной групповой политики.

Это может пригодиться, например, для запуска раздачи Wi-Fi с ноутбука при включении компьютера (если вы реализовывали ее без сторонних программ, а создав Wi-Fi сеть Ad-Hoc) или выполнения операций резервного копирования при выключении компьютера.

В качестве скриптов можно использовать командные файлы .bat или же файлы сценариев PowerShell.

Сценарии загрузки и выключения находятся в Конфигурация компьютера — Конфигурация Windows — Сценарии.

Сценарии входа в систему и выхода — в аналогичном разделе в папке «Конфигурация пользователя».

Например, мне нужно создать сценарий, выполняемый при загрузке: я дважды кликаю по «Автозагрузка» в сценариях конфигурации компьютера, нажимаю «Добавить» и указываю имя файла .bat, который следует выполнить. Сам файл должен находится в папке C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup (этот путь можно увидеть по нажатию кнопки «Показать файлы»).

В случае, если сценарий требует ввода каких-то данных пользователем, то на время его исполнения дальнейшая загрузка Windows будет приостановлена, до завершения работы скрипта.


С этим читают