Registry pol чем редактировать
Как сбросить все параметры локальных групповых политик к настройкам по умолчанию
В данной статье показаны различные способы, с помощью которых можно сбросить все параметры локальных групповых политик к настройкам по умолчанию.
Редактор локальных групповых политик является одним из основных инструментов для тонкой настройки параметров пользователей и операционной системы. С помощью групповых политик можно повысить безопасность системы, а также настроить конфигурацию интерфейса и элементов управления для пользователей.
В некоторых случаях, при неудачной настройке параметров, могут возникнуть различные проблемы, например такие как запрет на установку или запуск приложений, невозможность подключить принтер или флешку, или даже запрет на вход в систему.
В подобных ситуациях возникает необходимость сброса состояния групповых политик к настройкам по умолчанию, когда ни один из параметров групповых политик не задан.
Как сбросить локальные групповые политики с помощью оснастки gpedit.msc
Сбросить все параметры локальных политик можно в оснастке gpedit.msc, то есть в редакторе локальных групповых политик. Для этого нажмите сочетание клавиш 
+ R и в открывшемся окне Выполнить введите gpedit.msc и нажмите клавишу Enter ↵.
В окне редактора локальных групповых политик последовательно разверните следующие элементы списка:
Конфигурация компьютера ➯ Административные шаблоны ➯ Все Параметры
Раздел Все Параметры содержит список всех политик, доступных к конфигурированию в административных шаблонах. Отсортируйте политики в столбце Состояние таким образом, чтобы активные политики имеющие статус Включено и Отключено оказались вверху списка.
Такие же действия выполните для политик в разделе Конфигурация пользователя и перезагрузите компьютер.
Таким образом вы отключите действие всех административных групповых политик.
Как сбросить локальные групповые политики в командной строке
Сброс параметров локальных групповых политик также можно выполнить с помощью командной строки. Данный способ включает в себя удаление папок с параметрами групповых политик с диска, на котором установлена операционная система.
Архитектура административных шаблонов групповых политик основана на специальных файлах Registry.pol. Данные файлы хранят параметры реестра, которые соответствуют тем или иным настройкам сконфигурированных групповых политик. Пользовательские и компьютерные политики хранятся в разных файлах Registry.pol
Настройки компьютера (раздел Конфигурация компьютера) хранятся в
Пользовательские политики (раздел Конфигурация пользователя) хранятся в
%SystemRoot%\\System32\\ GroupPolicy\\User\\registry.pol
Запустите консоль командной строки от имени администратора и последовательно выполните команды:
Как сбросить локальные политики безопасности (secpol.msc)
Локальные политики безопасности (local security policies) настраиваются с помощью отдельной консоли управления secpol.msc. Если проблемы с компьютером вызваны в результате применения локальных политик безопасности, а у пользователя остался доступ к системе и административные права, то попробуйте сбросить параметры безопасности системы к значениям по умолчанию.
Для этого в командной строке запущенной с правами администратора выполните команду:
secedit /configure /cfg %windir%\\inf\\defltbase.inf /db defltbase.sdb /verbose
После выполнения команды, чтобы изменения вступили в силу перезагрузите компьютер.
Как сбросить локальные групповые политики если нет возможности войти в систему
В случае если локальный вход в систему невозможен или не удается запустить командную строку, то сбросить параметры локальных групповых политик можно загрузившись с установочного носителя.
Загрузитесь с установочного носителя с дистрибутивом операционной системы и запустите командную строку нажав сочетание клавиш Shift + F10
Затем выведем список дисков в системе выполнив команду:
В данном примере буква, присвоенная системному диску (раздел на котором установлена операционная система) является буква – D :\\, что не соответствует букве в системе – C:\\, когда она загружена в обычном режиме. В некоторых случаях она может соответствовать. В данном случае определение буквы диска производилось по его объему. Поэтому следующие команды необходимо выполнять в контексте вашего системного диска (например, C:\\ D:\\ или E:\\).
Теперь завершите работу с утилитой diskpart, выполнив команду:
Осталось последовательно выполните следующие команды:
RD /S /Q D:\\Windows\\System32\\GroupPolicyUsers
Перезагрузите компьютер, войдите в систему и убедитесь что параметры локальных групповых политик сброшены к настройкам по умолчанию.
Как восстановить поврежденную групповую политику в Windows 10
Групповая политика – это функция Microsoft Windows Active Directory, которая позволяет администратору вносить изменения в функции на компьютерах с Windows, которые находятся в сети. Если изменения, которые вы пытаетесь выдвинуть, не зарегистрированы на клиентском компьютере, возможно, проблема в файле registry.pol на клиенте или в папке Group Policy отсутствует.
Восстановление поврежденной групповой политики в Windows 10
Мы начнем с основного предложения, а затем продвинемся дальше. Вам нужно будет запустить его на компьютере с правами администратора.
1] Выполнить восстановление системы
Выполните восстановление системы и посмотрите, поможет ли это вам.
2] Запустите DISM Tool
Когда вы запускаете инструмент DISM (Управление развертыванием образов и обслуживанием), он восстанавливает образ системы Windows и хранилище компонентов Windows в Windows 10. Это обеспечит восстановление папок и файлов, если они отсутствуют или повреждены. Все системные несоответствия и повреждения должны быть исправлены.
Если это не помогает, возможно, вам нужно запустить DISM с хорошим источником, который может быть на внешнем диске, используя следующие команды:
Замените C: \ RepairSource \ Windows на местоположение вашего источника восстановления
Чтобы восстановить автономный образ, используя подключенный образ в качестве источника восстановления, используйте:
Посмотрите, решило ли это проблему.
3] Удалить и восстановить отсутствующий файл registry.pol
Все параметры групповой политики хранятся в файле registry.pol. Если этот файл отсутствует, любые изменения, отправленные клиенту, вообще не будут отражены. Хорошей новостью является то, что вы можете воссоздать его. Просто чтобы убедиться, что файл удален, даже если он существует.
Проверьте, есть ли у него файл registry.pol. Удалите его навсегда, используя Shift + Delete.
Чтобы восстановить его, откройте PowerShell с правами администратора. (Win + Х + А)
Выполните следующую команду:
Это повторно создаст групповую политику и заново создаст файл групповой политики.
4] Сброс групповой политики по умолчанию
Существует несколько способов сброса групповой политики по умолчанию. Это позволит убедиться, что если возникнут какие-либо проблемы из-за текущих настроек, они будут решены. Вы можете использовать gpupdate или secedit, чтобы сделать это.
5] Восстановить файл secedit.sdb
Перезагрузите компьютер, и он автоматически заново создаст файл.
Все эти советы должны помочь вам исправить потенциально поврежденную групповую политику на компьютере Windows.
Этот пост покажет вам, как сбросить Windows 10, если вы когда-либо чувствуете необходимость.
Registry pol чем редактировать
Добрый фей
Обсуждение первой части здесь
Вступление.
В предыдущей статье мы познакомились с основами работы с групповыми политиками. Теперь я постараюсь немного углубить тему и описать структуру объекта групповых политик (Group Policy Object, GPO). Сразу приношу извинения за форматирование текста, старался как мог 
Структура объекта групповой политики(Group Policy Object, GPO).
Контейнер групповой политики.
Объекты GPO, основанные на Active Directory фактически состоят из двух частей.
Первая – это контейнер групповой политики(Group Policy Container, GPC). Обратиться к нему можно, например, из инструмента AD Users & Computers, выбрав System\Policies. Если Вы не видите у себя пункта System, выберите Advanced Features(Дополнительные функции) в меню View(Вид). Каждый GPC отображается в виде GUID (глобального уникального идентификатора).
Чтобы определить имя GPC объекта используйте утилиту ADSIedit.msc. Найдите объект GPC в Active Directory и рассмотрите атрибут displayName
GPC содержит информацию о версии, список компонентов и информацию о состоянии.
Так же контейнер политики содержит следующие свойства:
Version information – информация о версии. Используется для того, чтобы сравнить версии контейнера и шаблона GPO, чтобы убедиться, что они синхронизированы.
Status information – статус. Показывает включен (enabled) или отключен (disabled) объект.
Список клиентских расширений, для которых есть сконфигурированные параметры в этом GPO.
File System path – UNC путь к папке SYSVOL (gPCFileSysPath. Этот атрибут содержит строку в которой содержится полный путь к шаблону групповой политики. Между каждым контейнером групповой политики и шаблоном существует отношение 1 : 1, т.е. нельзя сделать так, чтобы на один шаблон ссылалось несколько контейнеров.)
Functionality version – версия оснастки, с помощью которой создан GPO.
Так же контейнер содержит информацию, используемую «Конфигурацией программ» (Software Installation), включающую все данные о программе, интерфейсах и API, требуемых для назначения (assign) или публикации (publish) приложений.
Шаблон групповой политики
Вторая часть объекта групповой политики, это шаблон групповой политики (Group Policy Template, GPT). GPT хранится в папке SYSVOL\sysvol\domainname\Policies\
В директории SYSVOL\sysvol\domainname\Policies\
Примечание: В gpt.ini для локального объекта групповой политики содержится намного больше информации:
[General]
gPCUserExtensionNames //Здесь указан список GUID который описывает какие клиентские расширения (Client
Side Extensions) имеют данные в разделе «Конфигурация пользователя» (User Configuration) GPO.
GPCMachineExtensionNames //Список GUID описывает какие клиентские расширения (Client
Side Extensions) имеют данные в разделе «Конфигурация компьютера» (Computer configuration) GPO.
Options.. //Установки объекта, отключены или нет части «Конфигурация пользователя» или «Конфигурация компьютера».
GPCFunctionalityVersion // Номер версии редактора политик, с помощью которого создан объект.
Вот как выглядит этот файл (пример):
При каждой загрузке и входе в систему, а также каждые 90+\-30 минут (интервал обновления по умолчанию), ОС проверяет номер версии в файле Gpt.ini и сравнивает его с номером версии последнего примененного к ней GPO, и если они отличаются – GPO применяется снова. (GPO может быть применен и при не отличающихся версиях, в случае, если задана соответствующая политика).
В директории Adm содержатся копии текущих административных шаблонов, добавленных в этот GPO.
В подкаталогах MACHINE и USER могут содержаться следующие папки (состав и содержание этих папок зависит от конкретных параметров, определенных в данном объекте политик):
Код:
| [FolderStatus] Application Data=11 Desktop=11 My Documents=11 My Pictures=2 Start Menu=0 Programs=2 Startup=2 [Application Data] s-1-1-0=\\server\share\%username%\Application data [Desktop] s-1-1-0=\\server\share\%username%\Desktop [My Documents] s-1-1-0=\\server\share\%username%\My Documents [My Pictures] [Start Menu] s-1-1-0=\\server\share\%username%\Start Menu [Programs] [Startup] |
В разделе [FolderStatus] описываются условия перенаправления. В разделе [ApplicationData] – пути, в формате SID=путь.
Microsoft. Эта папка содержит настройки для Security Configuration Editor, IE Admin и RIS. Подкаталоги с соответствующими файлами настройки создаются, когда вы определяете параметры в соответствующих разделах объекта групповой политики. Например, для для Security Editor создаются вложенные папки \Windows NT\Secedit в которые помещается файл GtpTmpl.inf. Этот файл по сути содержит правила доменой безопасности (в том случае, если данный объект привязан к объекту домена. Если данный объект связан с сайтом (Site) или подразделением (Organizational Unit), данные настройки будут действовать на локальных пользователей компьютеров, находящихся в области действия GPO!). Вот так выглядит его содержимое (например):
Код:
| [Unicode] Unicode=yes [System Access] MinimumPasswordAge = 0 MaximumPasswordAge = 42 MinimumPasswordLength = 0 PasswordComplexity = 0 PasswordHistorySize = 5 LockoutBadCount = 0 RequireLogonToChangePassword = 0 ForceLogoffWhenHourExpire = 0 ClearTextPassword = 0 [Kerberos Policy] MaxTicketAge = 10 MaxRenewAge = 7 MaxServiceAge = 600 MaxClockSkew = 5 TicketValidateClient = 1 [Version] signature=»$CHICAGO$» Revision=1 |
Scripts. В этом каталоге находятся 2 подкаталога. Shutdown и Startup, если это machine\scripts, и Logon и Logoff, если это user\scripts. Как все уже догадались, здесь содержатся сценарии, выполняемые во время процесса, соответствующего названию подпапки. Также в папках Scripts находятся файлы scripts.ini, которые содержат ссылки на файлы сценариев и передаваемые параметры и/или условия запуска.
Также в папках Machine и User могут находиться другие каталоги, если установлены программы, имеющие возможность конфигурирования с помощью групповых политик. Как правило эти каталоги называются по имени производителя программы.
Registry.pol состоит из заголовка и параметров реестра.
Заголовок содержит текущую версию и сигнатуру, оба являются значениями DWORD:
Код:
| REGFILE_SIGNATURE 0x67655250 REGISTRY_FILE_VERSION 00000001 (повышается каждый раз, когда вы вносите изменения) |
Ключи реестра начинаются с символа “[“ и заканчиваются символом “]”. Выглядит это так:
Registry pol чем редактировать
Могут быть ситуации, когда value, type, size или data (или все сразу) отсутствуют или равны 0. В этом случае просто создается пустая ветка реестра, без самих ключей.
Обе части объекта реплицируются на все контроллеры домена в домене. GPC – как часть репликации AD. А GPT с помощью службы репликации файлов (FRS). Так как две части объекта групповой политики реплицируются разными механизмами, существуют ситуации, когда одна часть уже реплицирована, а другая еще нет (из-за несовпадения расписаний репликации).
Registry pol чем редактировать
Администраторам ЛВС предприятия, особенно когда компьютеры входят в корпоративную доменную сеть, приходится сталкиваться с ситуацией, когда ПК некоторое время стоял без работы, отключенным от сети. Соответственно и пользователь работавший за этим компьютером уже работает за другой ПЭВМ или же уволен по разным причинам. Пылившийся в серверной компьютер находит своего нового владельца и его необходимо настроить, но групповые политики все еще действуют, поскольку они не исчезают после отключения от СПД. Проверить, какие политики действуют на ПК можно следующей командой, выполненной из командной строки:
В результате в корне диска “С” будет создан файл gpreport.html в котором удобно просмотреть все действующие политики.
Поскольку требуется привести комп в состояние близкое к первоначальному без переустановки операционной системы Windows, нужно воспользоваться полномочиями более высокими чем у рядового пользователя.
К примеру, очень неудобно вводить каждый раз пароль администратора для запуска той или иной программы (например деинсталлятора) или переименования ПК, а таких операций необходимо будет сделать много.
Для начала необходимо удостовериться в наличии доступа к учетной записи администратора ОС.
Если пароль не известен, то придется воспользоваться какой-либо утилитой сброса пароля. Такая например входит в состав всем известного HirensBootCD..
Будем считать, что пароль вы сбросили.
Сброс пароля администратора может потребоваться и в том случае, если действующая доменная политика накладывает ограничения на структуру пароля и нет возможности поставить пустой, но если пароль администратора известен, то выполнение команды приведенной ниже избавит Вас от необходимости сброса сторонними программами.
Прежде чем перейти к командам избавления от действий доменных групповых политик, следует сказать как они попадают в систему и почему действуют при отключении от сети.
Параметры групповых политик хранятся в специальном файле “registry.pol“. Он расположен, как правило, в каталоге “C:\Windows\system32\GroupPolicy”. Политики действующие на компьютер в целом, вне зависимости от учетной записи пользователя, размещаются в подкаталоге “Machine”, а политики учетной записи в подкаталоге “User”.
Редактировать файл “registry.pol” вручную не стоит, для этого есть специальная оснастка, но она скорее всего будет недоступна по правилам той же GroupPolicy.
Как правило, политики задаются из домена при входе в систему, перезаписью файлов “Machine\Registry.pol” и “User\Registry.pol”, которые операционная система импортирует в соответсвующий раздел реестра.
Эти ветки реестра могут быть недоступны для редактирования, даже если ваша учетная запись является локальным администратором на ПК.
Решение проблемы:
1 способ.
Нужно удалить файлы Registry.pol в каталоге GroupPolicy. Для этого запустите командную строку от учетной записи администратора и выполните следующую последовательность команд.
Последняя команда обновляет настройки политик (в данном случае будет выполнен сброс на состояние “по умолчанию”).
Первая строка может не выполнится, если в вашей ОС нет такого каталога.
2 способ.
На мой взгляд более универсальный. Опять же необходимо запустить CMD от имени админитратора и выполнить одну из приведенных ниже команд. Для Win 7 и выше:
Для Win XP:
Теперь необходимо выполнить перезагрузку ПК.
Все. Доменные политики прекратили свое действие.
Следует учесть, что если учетная запись администартора которую вы использовали была создана из домена, то и политики еще существования были не локальными, а доменными, и следовательна она станет отключенной и Вы ей не сможете воспользоваться, поэтому рекомендую создать дополнительную админскую учетку до использования командной строки с целью избавления от политик.
Можно конечно приведенные команды сложить в один пакетный файл, но это, надеюсь, Вы сможете сделать и без моей помощи.
PS: Не забудьте поделиться статьей кнопкой соцсети справа от записи.
Погружение в шаблоны и приручение GPO Windows
В очередной статье из цикла «конспект админа» мне хотелось бы освежить в памяти несколько нюансов использования групповых политик. Заодно поразвлекаемся с созданием своих шаблонов и с автоматизацией работы с этими самыми политиками.
Освежаем память
Я не буду рассказывать, что такое групповые политики, и остановлюсь лишь на основных моментах, которые стоит иметь в виду при работе с ними.
В системах Windows помимо доменных существуют и локальные групповые политики ― управлять ими можно при помощи оснастки gpedit.msc на системах редакции Professional и выше. Часто считается, что без домена можно настраивать локальные групповые политики только для всех пользователей на компьютере. Это не совсем верно ― с выходом Windows Vista появилась возможность использовать множественную локальную групповую политику или MLGPO. Этот механизм позволяет настраивать отдельные политики для разных пользователей.
Добраться до него можно через вызов консоли mmc: при добавлении оснастки «Управление объектами групповой политики» нажать кнопку «Обзор». Далее на вкладке «Пользователи» уже можно выбрать конкретного пользователя или группу «Администраторы» и «Не администраторы». К сожалению, управление для группы пользователей не реализовано.
Управление групповой политикой для отдельных пользователей.
Бывало и так, что на отдельностоящем терминальном сервере разворачивали Active Directory только для того, чтобы отдельному пользователю настроить поведение драйвера для EasyPrint. Не надо так.
При добавлении доменных групповых политик стоит помнить про порядок их применения ― политика, примененная последней, будет обладать наивысшим приоритетом (да и на собеседованиях часто спрашивают).
Итак, предположим, что у нас есть компьютер в домене и четыре групповые политики: локальная на этом компьютере; политика на подразделение, в котором находится компьютер; политика на домен и политика на лес. Порядок их применения будет следующим:
То есть чем ближе к объекту, тем приоритетнее, за исключением локальной групповой политики. Если надо отключить применение вышестоящих политик, то ставьте блокировку наследования.
Блокировка наследования.
Любую групповую политику можно условно разделить на две конфигурации ― пользователя и компьютера. Обычно политики с настройками компьютеров назначаются на подразделение, в котором находятся компьютеры. А политики с настройками пользователей ― на пользователей.
Если надо применить настройки компьютера к подразделению с пользователями и наоборот, используют так называемое замыкание групповой политики. Например, такая настройка пригодится, когда нужно применить специфические политики к пользователям для работы на терминальных серверах.
Работа замыкания настраивается непосредственно в политике ― «Настройка компьютера ― Административные шаблоны ― Система ― Режим обработки замыкания пользовательской групповой политики». Подробнее про механизм уже писали в статье про использование Merge\Replace в GPO. Я лишь добавлю, что режим замыкания групповой политики ― тоже частый вопрос на собеседовании.
Настройка замыкания групповой политики.
Физически доменные групповые политики находятся в папке SYSVOL на контроллерах домена. Папка реплицируется между контроллерами. Каждая групповая политика выглядит как папка с именем в виде GUID.
Групповые политики домена.
Правила фильтрации, настраиваемые через редактор групповой политики, соответствуют настройкам прав NTFS на соответствующую подпапку.
Говоря о правилах фильтрации, нельзя не упомянуть обновление MS16-072, которое «сломало» групповые политики. Теперь для того чтобы работали правила фильтрации, надо добавлять к каждому фильтру правило «на чтение», но не «на применение» группе Domain Computers.
В каждой папке с групповой политикой существуют подпапки Machine и User, соответствующие настройкам пользователя и компьютера. Если углубиться в подпапки, можно легко понять структуру групповой политики:
Подробнее про структуру можно почитать в материале Group Policy Basics, поэтому перейдем сразу к шаблонам.
Административные шаблоны
По сути своей административные шаблоны ― это специальные файлы с инструкциями по изменению клиентского реестра (ветки HKCU или HKLM) и настройками отображения изменяемых параметров через «Управление групповой политикой». В принципе, реестр можно менять и через «Предпочтения групповых политик». Но разница здесь не только в красивом интерфейсе.
| Способ изменения реестра | Как ведет себя при удалении политики со стандартными настройками | Можно ли изменить параметр вручную | Можно ли изменить параметр через приложение |
| Шаблоны | Параметр реестра восстанавливается на значение «по умолчанию», если настройки по умолчанию есть в шаблоне | — | — |
| Предпочтения политик | Параметр реестра не изменяется | + | + |
Сравнение предпочтения групповых политик и административных шаблонов.
Другими словами, настройка реестра через шаблоны групповых политик более строгая. Тогда как настройка через предпочтения групповых политик напоминает периодическое применение reg-файла. Конечно, предпочтения позволяют не только менять параметры реестра, но и довольно гибко настраиваются. Тем и ценны.
Это актуально при изменении ветки Policies, и настраиваемое приложение должно хранить свои настройки в реестре. Простое изменение параметров через Предпочтения и Шаблоны будет работать схожим образом, только шаблоны могут оказаться удобнее.
Не обошлось без ложки дегтя ― теперь содержимое файла представляет собой популярный в индустрии формат XML. И создавать новые шаблоны в блокноте стало уже не так удобно.
Под большинство параметров, которые могут понадобиться, шаблоны уже существуют. Кроме того, многие производители приложений выпускают свои административные шаблоны. Вот несколько примеров:
Создаем свой шаблон
Для начала разберем простой пример. Создадим шаблон групповой политики, который позволит нам включать и выключать отображение скрытых и системных файлов, а заодно и отображение расширений.
Сразу скажу, что это можно провернуть через «Предпочтения групповых политик» ― в параметрах панели управления ― опции папки. Но мы легких путей не ищем и заодно не хотим, чтобы параметры отображения можно было менять вручную.
За необходимые нам параметры отвечают три ключа в реестре:
Разберем подробнее синтаксис файла.
Помимо задействованных опций есть и другие, например:
Подробнее со всеми параметрами можно ознакомится в разделе MSDN ADM Format.
Установить новый шаблон не просто, а очень просто ― достаточно щелкнуть правой кнопкой мыши по пункту «Административные шаблоны», выбрать «Добавление и удаление шаблонов» и добавить наш свежесозданный шаблон.
Добавленный шаблон.
После установки шаблона он отобразится в ветке «Классические административные шаблоны».
Конвертируем шаблон.
Конечно же, можно обойтись без вот-этого-всего и разобраться самостоятельно ― оставлю это в качестве домашнего задания. Благо на портале MSDN есть подробное описание XML-схемы, и есть неплохие материалы с примерами в сети. Например, «Административные шаблоны групповой политики».
Теперь перейдем к автоматизации.
Автоматическое управление
Работать с групповыми политиками из командной строки довольно тоскливо. Основных инструментов можно выделить три.
PowerShell. Есть набор командлетов для резервного копирования, восстановления и управления групповыми политиками. Создание новых политик ограничено ― можно лишь изменять реестр. Впрочем, в большинстве случаев и этого достаточно. В качестве примера создадим групповую политику, которая отключит автоматическое обновление Adobe Reader DC.
За отключение автоматического обновления отвечает ключ реестра bUpdater в ветке [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Adobe\Acrobat Reader\DC\FeatureLockDown]. Установив параметр в 0, мы отключим опцию.
Создание групповой политики на PowerShell будет выглядеть так:
Свежесозданная групповая политика.
Полный список и описание командлетов доступны в материале Technet Group Policy Cmdlets in Windows PowerShell.
Интерфейс COM к GPMC (консоли управления групповой политикой). Способ позволяет сделать с политиками многое, на любом языке программирования, поддерживающим COM-интерфейсы. К сожалению, популярность он не приобрел и примеров в сети довольно мало, несмотря на богатое описание методов интерфейса на портале MSDN. Немногочисленные примеры использования доступны для загрузки в галерее Technet.
LGPO.exe. Не так давно Microsoft заменил набор утилит для работы с локальными групповыми политиками на единую утилиту. Скачать ее можно на официальном сайте. Утилита удобна для копирования и развертывания локальных групповых политик. Заявлена и поддержка MLGPO. Создавать свои политики тоже можно. Также программа удобна для создания и изменения файлов реестра registry.pol. Для примера изменим локальную групповую политику, добавив в нее отключение обновления несчастного Acrobat Reader DC.
Сделаем бэкап локальной групповой политики командой
В папке C:\Temp появится подпапка с GUID по структуре схожая с доменными групповыми политиками:
Теперь развернем registry.pol в текстовый файл:
Синтаксис текстового файла очевиден. Добавим в него значения реестра для отключения автоматического обновления «Акробата»:
Добавленный в файл параметр реестра.
Теперь останется завернуть наш reg.txt обратно в registry.pol и импортировать изменившийся файл обратно в локальную групповую политику:
Все эти махинации, конечно же, можно завернуть в один скрипт и использовать для массового изменения локальной групповой политики привычным инструментом для запуска команд на удаленных компьютерах. Подробнее про методы запуска команд можно почитать в нашей статье «1000++ способ запуска команд на удаленном компьютере».
Конечно же, зная структуру доменной групповой политики, ничто не мешает сделать удобный именно вам инструмент для создания и управления политиками. Поделитесь в комментариях, есть ли у вас свои способы настройки реестров пользовательских машин?