Salah satu alat utama untuk menyetel pengguna dan pengaturan sistem Windows adalah kebijakan grup - GPO (Objek Kebijakan Grup). Komputer itu sendiri dan penggunanya dapat dipengaruhi oleh kebijakan grup domain (jika komputer berada dalam domain Active Directory) dan lokal (kebijakan ini dikonfigurasi secara lokal dan hanya berlaku untuk komputer ini). Kebijakan grup adalah cara terbaik untuk mengkonfigurasi sistem, dapat meningkatkan fungsionalitas, keamanan, dan keselamatannya. Namun, untuk administrator sistem pemula yang memutuskan untuk bereksperimen dengan keamanan komputer mereka, salah mengatur beberapa pengaturan kebijakan grup lokal (atau domain) dapat menyebabkan berbagai masalah: dari masalah kecil, seperti ketidakmampuan untuk menghubungkan printer atau USB flash drive, ke larangan lengkap pada instalasi atau peluncuran aplikasi apa pun (melalui kebijakan SPR atau AppLocker), atau bahkan larangan masuk lokal atau jarak jauh.
Dalam kasus seperti itu, ketika administrator tidak dapat masuk ke sistem secara lokal, atau tidak tahu persis mana dari pengaturan kebijakan yang diterapkan yang menyebabkan masalah, Anda harus beralih ke skenario darurat mengatur ulang kebijakan grup ke pengaturan default (secara default). Dalam kondisi "bersih" komputer, tidak ada pengaturan kebijakan grup yang ditetapkan.
Pada artikel ini, kami akan menunjukkan beberapa metode untuk mengatur ulang pengaturan kebijakan lokal dan grup domain ke nilai default. Manual ini bersifat universal dan dapat digunakan untuk mereset pengaturan GPO pada semua versi Windows yang didukung: dari Windows 7 hingga Windows 10, serta untuk semua versi Windows Server 2008 / R2, 2012 / R2 dan 2016.
Konten:
- Setel ulang kebijakan lokal menggunakan konsol gpedit.msc
- Reset paksa pengaturan GPO lokal dari baris perintah
- Atur Ulang Kebijakan Keamanan Lokal Windows
- Setel ulang kebijakan lokal saat Windows tidak dapat masuk
- Atur ulang pengaturan GPO domain yang diterapkan
Setel ulang kebijakan lokal menggunakan konsol gpedit.msc
Metode ini melibatkan penggunaan konsol grafis dari editor kebijakan grup lokal. gpedit.msc untuk menonaktifkan semua kebijakan yang dikonfigurasi. Editor grafis GPO lokal hanya tersedia dalam edisi Pro, Enterprise, dan Education..
Kiat. Di edisi rumah Windows, konsol Editor Kebijakan Grup Lokal tidak ada, tetapi Anda masih bisa menjalankannya. Menggunakan tautan di bawah ini Anda dapat mengunduh dan menginstal konsol gpedit.msc untuk Windows 7 dan Windows 10:- Editor Kebijakan Grup untuk Windows 7 Home
- Konsol Gpedit.msc untuk Windows 10 Home Edition
Luncurkan snap-in gpedit.msc dan buka bagian Semua pengaturan kebijakan komputer lokal (Kebijakan Komputer Lokal -> Konfigurasi Komputer -> Template Administratif / Kebijakan Komputer Lokal -> Konfigurasi Komputer -> Template Administratif) Bagian ini berisi daftar semua kebijakan yang dapat dikonfigurasi dalam template administratif. Urutkan kebijakan berdasarkan kolom Negara (Status) dan temukan semua kebijakan aktif (dalam status Dinonaktifkan / Mati atau Diaktifkan / Termasuk) Nonaktifkan tindakan semua atau hanya kebijakan tertentu, menempatkannya dalam keadaan Tidak dikonfigurasi (Tidak diatur).
Tindakan yang sama harus dilakukan di bagian kebijakan pengguna (Pengguna Konfigurasi/ Konfigurasi Pengguna) Dengan demikian, Anda dapat menonaktifkan efek dari semua pengaturan template GPO administratif..
Kiat. Daftar semua pengaturan kebijakan domain dan lokal yang diterapkan dalam laporan html yang nyaman dapat diperoleh dengan menggunakan utilitas GPResult bawaan dengan perintah:gpresult / h c: \ distr \ gpreport2.html
Metode pengaturan ulang kebijakan grup di Windows cocok untuk kasus yang paling "sederhana". Pengaturan yang salah untuk kebijakan grup dapat menyebabkan masalah yang lebih serius, misalnya: ketidakmampuan untuk memulai snap-in gpedit.msc atau semua program secara umum, hilangnya hak administrator sistem pengguna, atau larangan masuk lokal ke sistem. Kami mempertimbangkan kasus ini secara lebih rinci..
Reset paksa pengaturan GPO lokal dari baris perintah
Bagian ini menjelaskan cara memaksa mengatur ulang semua pengaturan Kebijakan Grup saat ini di Windows. Namun, pertama-tama kami akan menjelaskan beberapa prinsip untuk bekerja dengan GPO di Windows.
Arsitektur Kebijakan Grup berdasarkan pada file khusus Daftar.pol. File-file ini menyimpan pengaturan registri yang sesuai dengan pengaturan tertentu dari kebijakan grup yang dikonfigurasi. Kebijakan pengguna dan komputer disimpan dalam file yang berbeda. Daftar.pol.
- Pengaturan konfigurasi komputer (bagian Konfigurasi komputer) disimpan dalam% SystemRoot% \ System32 \ GroupPolicy \ Machine \ registry.pol
- Kebijakan Pengguna (bagian Konfigurasi pengguna) -% SystemRoot% \ System32 \ GroupPolicy \ User \ registry.pol
Ketika komputer melakukan boot, sistem akan mengimpor konten file \ Machine \ Registry.pol ke cabang registri HKEY_LOCAL_MACHINE (HKLM). Isi file \ User \ Registry.pol diimpor ke cabang HKEY_CURRENT_USER (HKCU) ketika pengguna log on.
Konsol editor kebijakan grup lokal, ketika dibuka, memuat konten file-file ini dan menyediakannya dalam bentuk grafis yang nyaman bagi pengguna. Ketika Anda menutup editor GPO, perubahan yang Anda buat ditulis ke file Registry.pol. Setelah memperbarui kebijakan grup (menggunakan perintah gpupdate / force atau sesuai jadwal), pengaturan baru masuk ke dalam registri.
Kiat. Untuk membuat perubahan pada file, Anda harus menggunakan hanya Editor Kebijakan Grup GPO. Tidak disarankan untuk mengedit file Registry.pol secara manual atau menggunakan versi yang lebih lama dari Editor Kebijakan Grup!Untuk menghapus semua pengaturan saat ini kebijakan grup lokal, Anda perlu menghapus file Registry.pol di direktori GroupPolicy. Anda dapat melakukan ini dengan perintah berikut ini berjalan di baris perintah dengan hak administrator:
RD / S / Q "% WinDir% \ System32 \ GroupPolicyUsers" RD / S / Q "% WinDir% \ System32 \ GroupPolicy"
Setelah itu, Anda perlu memperbarui pengaturan kebijakan di registri:
gpupdate / force
Perintah ini akan mengatur ulang semua pengaturan kebijakan grup lokal di bagian Konfigurasi Komputer dan Konfigurasi Pengguna..
Buka konsol editor gpedit.msc dan verifikasi bahwa semua kebijakan dalam status Tidak dikonfigurasi. Setelah memulai konsol gpedit.msc, folder yang dihapus akan dibuat secara otomatis dengan pengaturan default.
Atur Ulang Kebijakan Keamanan Lokal Windows
Kebijakan keamanan lokal dikonfigurasi menggunakan konsol manajemen yang terpisah secpol.msc. Jika masalah dengan komputer disebabkan oleh pengencangan sekrup dalam kebijakan keamanan lokal, dan jika pengguna masih memiliki akses ke sistem dan hak administratif, Anda harus terlebih dahulu mencoba mengatur ulang kebijakan keamanan lokal Windows ke nilai standarnya. Untuk melakukan ini, pada baris perintah dengan hak administrator, jalankan:
- Untuk Windows 10, Windows 8.1 / 8, dan Windows 7:
secedit / configure / cfg% windir% \ inf \ defltbase.inf / db defltbase.sdb / verbose
- Untuk Windows XP:
secedit / configure / cfg% windir% \ repair \ secsetup.inf / db secsetup.sdb / verbose
Setelah itu komputer perlu dihidupkan ulang.
Jika masalah dengan kebijakan keamanan tetap ada, coba ubah nama file pos pemeriksaan secara manual dari database kebijakan keamanan lokal% windir% \ security \ database \ edb.chk
ren% windir% \ security \ database \ edb.chk edb_old.chk
Jalankan perintah:gpupdate / force
Mulai ulang Windows menggunakan perintah mematikan:Shutdown -f -r -t 0
Setel ulang kebijakan lokal saat Windows tidak dapat masuk
Dalam hal logon lokal tidak memungkinkan atau baris perintah tidak dapat dimulai (misalnya, ketika itu dan program lain diblokir menggunakan Applocker). Anda dapat menghapus file Registry.pol dengan mem-boot dari disk instalasi Windows atau LiveCD apa pun.
- Boot dari sembarang CD instalasi Windows dan jalankan command prompt (Shift + F10)
- Jalankan perintah:
diskpart
- Lalu kami daftar disk dalam sistem:
daftar volume
Dalam contoh ini, huruf yang ditetapkan untuk drive sistem sesuai dengan huruf di sistem - C: \. Namun, dalam beberapa kasus, ini mungkin tidak sesuai. Oleh karena itu, perintah berikut harus dijalankan dalam konteks drive sistem Anda (misalnya, D: \ atau C: \)
- Selesai bekerja dengan diskpart dengan mengetik:
keluar
- Jalankan perintah berikut secara berurutan:
RD / S / Q C: \ Windows \ System32 \ GroupPolicy
RD / S / Q C: \ Windows \ System32 \ GroupPolicyUsers
- Nyalakan kembali komputer dalam mode normal dan verifikasi bahwa kebijakan grup lokal disetel ulang ke keadaan standarnya.
Atur ulang pengaturan GPO domain yang diterapkan
Beberapa kata tentang kebijakan grup domain. Jika komputer termasuk dalam domain Active Directory, beberapa pengaturannya dapat dikontrol oleh administrator domain melalui domain GPO.
Kiat. Jika Anda benar-benar harus memblokir penerapan kebijakan domain pada komputer tertentu, kami sarankan artikel Nonaktifkan penggunaan domain GPO di Windows 7.File registry.pol dari semua kebijakan grup domain yang diterapkan disimpan dalam direktori % windir% \ System32 \ GroupPolicy \ DataStore \ 0 \ SysVol \ contoso.com \ Kebijakan. Setiap kebijakan disimpan di direktori terpisah dengan GUID kebijakan domain..
Cabang-cabang registri berikut sesuai dengan file registry.pol ini:
- HKLM \ Software \ Kebijakan \ Microsoft
- HKCU \ Software \ Kebijakan \ Microsoft
- HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Objek Kebijakan Grup
- HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Kebijakan
Sejarah versi kebijakan domain terapan yang disimpan di klien ada di cabang:
- HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Kebijakan Grup \ Sejarah \
- HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Kebijakan Grup \ Sejarah \
Ketika komputer dikecualikan dari domain, file registry.pol kebijakan domain pada komputer dihapus dan, karenanya, tidak dimuat ke dalam registri.
Jika Anda perlu memaksakan penghapusan pengaturan GPO domain, Anda perlu membersihkan% windir% \ System32 \ GroupPolicy \ DataStore \ 0 \ SysVol \ contoso.com \ direktori Kebijakan dan menghapus cabang registri yang ditentukan (sangat disarankan untuk mencadangkan file yang dihapus dan cabang registri !!!) . Kemudian jalankan perintah:
gpupdate / force / boot