Локальные политики безопасности windows 10. Сброс локальных групповых политик в Windows

Пользователи Windows 10, у которых установлена «Начальная» или «Домашняя» версии, сталкиваются с проблемой при выполнении команды gpedit.msc. На экране появляется надпись: «Не удается найти «gpedit.msc». Проверьте, правильно ли указано имя и повторите попытку». Почему редактор локальной групповой политики (который вызывается командой gpedit.msc) не найден в Windows 10, читайте в рамках данной статьи.

О редакторе

Редактор локальной групповой политики по своей сути является редактором реестра с графическим интерфейсом. Он предназначен для проведения тонких настроек Windows. В данный момент, разработчики вырезали редактор в версиях Домашняя (Home) и Начальная (Starter), оставив его в Windows 10 Профессиональная (Pro) и Корпоративная (Enterprise). Официально, воспользоваться редактором в версиях где он вырезан не получится, поэтому пользователи могут проделать необходимые настройки в редакторе реестра. Но можно вернуть кастомный «редактор с графическим интерфейсом».

Совет! Узнать соответствие политик редактора со значением реестра помогут специальные таблицы от Microsoft: Group Policy Settings Reference for Windows and Windows Server .

Как установить?

Есть 2 решения:

• перенос файлов редактора из версии Pro, установка компонентов из дистрибутива и установка неофициального приложения, скомпилированного в установщик пользователем для Windows 7 (но оно подходит для версий 8.1 и 10);
• установка приложения с последующим переносом системных файлов и библиотек.

Важно! Так как вы будете работать с системными файлами, всегда есть вероятность повреждения системы. Рекомендую .

Способ 1

Чтобы перенести файлы нужны права администратора.

Полезно знать! В Windows 10 разработчики отключили функцию входа в безопасный режим по нажатию кнопки F8 перед загрузкой системы. Они это сделали для более быстрой загрузки ОС. .

Отключение UAC

1. Нажмите правой кнопкой мыши по «Пуск» и выберите «Панель управления».
2. Перейдите в раздел «Учетные записи пользователей».
   
3. В новом окне нажмите «Изменить параметры контроля учетных записей».
   
4. Поставьте ползунок в крайнее нижнее состояние «Никогда не уведомлять» и нажмите «ОК».
   

Процедура переноса

Для установки «Редактора локальной групповой политики», необходим дистрибутив Windows 10. Скачать его можно на сайте Microsoft с помощью MediaCreationTool. Также утилита позволит или же создаст ISO-образ диска. Еще, необходим сам файл gpedit.msc, который нужно скопировать с компьютера под управлением Windows 10 Pro. Если такового нет в наличии, вы можете установить Windows 10 Pro на флешку.

Для переноса:

1. Подключите диск или флешку с дистрибутивом системы или монтируйте ISO-образ на виртуальный привод.
2. Загрузите и установите утилиту , которая поможет корректно перенести системные файлы.
   
3. Скопируйте файл gpedit.msc из системы Windows 10 Pro и перенесите ее в свою версию в директорию: C:\Windows\System32
4. Теперь установите системные файлы из пакета.Net Framework 3.5. Их нужно установить локально из ранее созданного дистрибутива Windows. Зайдите в командную строку (Администратор) и выполните команду: Dism /online /enable-feature /featurename:NetFx3 /All /Source:D:\sources\sxs /LimitAccess

   где, D:\sources\sxs - путь к установочным файлам.Net Framework 3.5, что расположены на носителе Windows 10.
   

5. Следуйте подсказкам иннсталятора и завершите установку. Затем зайдите в C:\Windows\System32

   и запустите ранее скопированный файл gpedit.msc

Важно! Редактор создавался до выхода Windows 8 и 10, в нем нет политик, добавленных в эти версии систем.

Способ 2

Для этого способа не требуется дополнительный дистрибутив или файлы версии Windows Pro, но придется некоторые системные файлы переносить вручную. Чтобы запустить редактор:

Если после запуска появляется ошибка - зайдите в C:\Windows\Temp\gpedit и запустите файл x86.bat или x64.bat в зависимости от разрядности вашей Windows 10.

Возникли вопросы после написания статьи? Поделитесь ими в комментариях или используйте форму .

Групповые политики - это параметры, управляющие функционированием системы. Групповая политика упрощает администрирование, предоставляя администраторам централизованный контроль над привилегиями, правами и возможностями пользователей и компьютеров.

Изменять групповые политики можно с помощью .

В редакциях операционной системы Windows 7 Starter, Home Basic и Home Premium редактор локальной групповой политики недоступен. Также он недоступен в редакциях Home Windows 8 и 10.

Групповые политики в Windows 10 позволяют управлять различными штатными средствами системы:

1. Политики для настройки встроенного брандмауэра Windows;
2. Политики для управления электропитанием;
3. Политики для настройки панели управления, панели задач и др.
4. Политики для настройки антивирусной защиты;
5. Политики для управления подключаемых устройств;
6. Политики для настройки штатных средств шифрования
7. Политики для настройки штатного браузера;
8. Политики для настройки беспроводных сетей и многое многое другое.

Для настройки параметров в операционной системе MS Windows 10 используется оснастка . Данная оснастка служит для просмотра и редактирования объектов групповой политики (Group Policy Object, GPO), в которых хранятся параметры локальных политик для компьютера и пользователей.

Оснастку можно запустить, например, введя в окне Выполнить, либо в поисковой строке gpedit.msc .

Рис.1 Окно Выполнить

Оснастка Локальная политика безопасности входит в состав оснастки Редактор

Для удобства можно добавить ярлык оснастки на рабочий стол. Для этого необходимо открыть C:\Windows\System32 , выбрать правой клавишей мыши gpedit и отправить ярлык на рабочий стол.

Рис.2 Создание ярлыка для оснастки Редактор локальной групповой политики

Чтобы работать с объектами локальной групповой политики, необходимо войти в систему с учетной записью администратора.

Структура редактора групповой политики

Оснастка Редактор локальной групповой политики позволяет изменять политики, распространяющиеся как на компьютеры, так и на пользователей.

В панели пространства имен оснастки Редактор локальной групповой политики представлено два узла: Конфигурация компьютера и Конфигурация пользователя .

Узел Конфигурация компьютера содержит параметры политик, определяющих работу компьютера. Эти политики регулируют функционирование операционной системы, определяют права пользователей в системе, работу системных служб и средств безопасности и т. д.

Узел Конфигурация пользователя содержит параметры политик, определяющих работу пользователей.

Рис.3 Редактор локальной групповой политики

Изменение в групповых политиках по умолчанию в операционной системе Windows применяются через полтора часа (90 мин.). За данную настройку опять же отвечает отдельная политика. Частота обновления определяется политикой Интервал обновления групповой политики для компьютеров, которая расположена в узле Конфигурация компьютера > Административные шаблоны > Система > Групповая политика. Интервал указывается в минутах и определяет, как часто компьютер будет предпринимать попытку обновления политик. Рационально уменьшать интервал обновления групповой политики при частом применении изменений.

Рис.4 Настройка частоты обновления политик

Рис.5 Настройка частоты обновления политик

Если необходимо чтобы изменения групповых политик вступили в силу немедленно, можно принудительно применить измененные параметры, которые были внесены в редакторе локальной групповой политики несколькими способами:

• осуществить перезагрузку операционной системы
• использовать утилиту gpu pdate.exe для принудительного обновления групповой политики. Для этого необходимо либо в окне Выполнить , либо в командной строке ввести gpupdate /force и нажать ОК .

Рис.6 Обновление политик в командной строке

С использованием параметра /target можно указать, будет ли это обновление параметров применяться только для пользователя или только для компьютера. Если не указано, обновляются параметры обеих политик.

Например, для выполнения обновления политик для пользователя, необходимо ввести gpupdate /target:user .

Рис.7 Обновление политик для пользователя в командной строке

Пример последовательности действий при редактировании определенной политики

Чтобы на примере рассмотреть настройку политик, в данной статье будет описан механизм скрытия всех апплетов Панели управления , кроме определенных. При администрировании рабочей станции иногда бывает целесообразно скрыть для неопытного пользователя большую часть апплетов Панели управления , оставив только необходимые. Для этого:

• Войти в систему под учетной записью администратора.
• Запустить Редактор локальной групповой политики
  • Открыть окно Выполнить,
  • Ввести gpedit.msc ,
  • Нажать Ente r .
• Последовательно развернуть элементы Конфигурация пользователя > Административные шаблоны > Панель управления в окне Редактора локальной групповой политики .

Рис.8 Редактирование параметра политики Отображать только указанные объекты панели управления

• Дважды щелкнуть ЛКМ по параметру политики Отображать только указанные объекты панели управления .
• Выбрать значение Включено .

Рис.9 Редактирование параметра политики Отображать только указанные объекты панели управления

• Нажать кнопку Показать , чтобы вызвать диалоговое окно Вывод содержания .
• Ввести имя апплета или апплетов, которые необходимо показывать в Панели управления , и нажать Enter .

Рис.10 Список разрешенных элементов панели управления

• Нажать OK .
• Закрыть редактор локальной групповой политики
• Проверить результат

Для некоторых политик, чтобы изменения вступили в силу сразу, необходимо в окне Выполнить ввести gpupdate /force .

Рис.11 Список элементов панели управления до изменения параметра локальной групповой политики

Рис.12 Список элементов панели управления после изменения параметра локальной групповой политики

Изменения, которые вносятся через редактор локальной групповой политики, будут применены для всех учетных записей, зарегистрированных в системе, включая учетную запись администратора, который инициировал изменения.

Чтобы настраивать политики для конкретных пользователей, в операционной системе Windows применяется многоуровневая локальная групповая политика:

• стандартная локальная групповая политика , позволяющая изменять системные и пользовательские настройки, которые будут применены для всех пользователей операционной системы;
• групповая политика для администраторов и не администраторов. Эта групповая политика содержит только конфигурационные параметры пользователя и применяется в зависимости от того, является ли используемая учетная запись пользователя членом локальной группы Администраторы или нет;
• групповая политика для конкретного пользователя. Эта групповая политика содержит только конфигурационные параметры конкретного пользователя

Последовательность действий при добавлении объектов групповой политики через консоль управления (Microsoft Management Console, MMC)

Добавление объекта групповой политики первого уровня

• В окне Выполнить ввести MMC и нажать Enter
• Открыть меню Файл и выбрать опцию Добавить или удалить оснастку

Рис.13 Добавление оснастки через консоль управления

• Найти и выделить Редактор объектов групповой политики и нажать кнопку Добавить

Рис.14 Диалоговое окно Добавление и удаление оснасток

• В открывшемся мастере групповой политики в поле Объект групповой политики оставить по умолчанию Локальный компьютер (первый уровень, стандартная локальная политика) и нажать кнопку Готово .

Рис.15 Диалоговое окно выбора объекта групповой политики

Добавление объекта групповой политики второго уровня

• В окне добавить новую оснастку Редактор объектов групповой политики .
• Объект групповой политики нажать кнопку Обзор .
• На вкладке Пользователи выбрать Администраторы и нажать кнопку ОК и Готово

Рис.16 Настройка объекта групповой политики второго уровня

Добавление объекта групповой политики третьего уровня

• В окне Добавление и удаление оснасток добавить новую оснастку Редактор объектов групповой политики .
• В мастере групповой политики в поле Объект групповой политики нажать кнопку Обзор .
• На вкладке Пользователи выбрать нужную учетную запись.
• Нажать ОК , чтобы закрыть диалоговое окно Добавление и удаление оснасток .

Рис.17 Консоль управления

• Для удобства, используя команды в главном меню Файл > Сохранить как , сохранить файл консоли управления на рабочем столе для последующего редактирования политик.

Теперь, используя данную консоль, можно настраивать политики для определенных пользователей.

Нашли опечатку? Выделите и нажмите Ctrl + Enter

Одним из основных инструментов тонкой настройки параметров пользователя и системы Windows являются групповые политики — GPO (Group Policy Object) . На сам компьютер и его пользователей могут действовать доменные групповые политики (если компьютер состоит в домене Active Directory) и локальные (эти политики настраиваются локально и применяются только на данном компьютере). Групповые политики являются отличным средством настройки системы, способным повысить ее функционал, защищенность и безопасность. Однако у начинающих системных администраторов, решивших поэкспериментировать с безопасностью своего компьютера, некорректная настройка некоторых параметров локальной (или доменной) групповой политики может привести к различным проблемам: от мелких проблем, заключающихся, например, в невозможности подключить принтер или USB флешку, до полного запрета на установку или запуск любых приложений (через политики SPR или AppLocker),или даже запрета на локальный или удаленный вход в систему.

В таких случаях, когда администратор не может локально войти в систему, или не знает точно какая из примененных им настроек политик вызывает проблему, приходится прибегать к аварийному сценарию сброса настроек групповых политик на стандартные настройки (по-умолчанию). В «чистом» состоянии компьютера ни один из параметров групповых политик не задан.

В этой статье мы покажем несколько методов сброса настроек параметров локальных и доменных групповых политик к значениям по умолчанию. Эта инструкция является универсальной и может быть использована для сброса настроек GPO на всех поддерживаемых версиях Windows: начиная с Windows 7 и заканчивая Windows 10, а также для всех версий Windows Server 2008/R2, 2012/R2 и 2016.

Сброс локальных политик с помощью консоли gpedit.msc

Этот способ предполагает использование графической консоли редактора локальной групповой политики gpedit .msc для отключения всех настроенных политик. Графический редактор локальной GPO доступен только в Pro, Enterprise и Education редакциях.

Совет . В домашних (Home) редакциях Windows консоль Local Group Policy Editor отсутствует, однако запустить ее все-таки можно. По ссылкам ниже вы сможете скачать и установить консоль gpedit.msc для Windows 7 и Windows 10:

Запустите оснастку gpedit.msc и перейдите в раздел All Settings локальных политик компьютера (Local Computer Policy -> Computer Configuration - > Administrative templates / Политика «Локальный компьютер» -> Конфигурация компьютера -> Административные шаблоны ). Данные раздел содержит список всех политик, доступных к настройке в административных шаблонах. Отсортируйте политики по столбцу State (Состояние) и найдите все активные политики (находятся в состоянии Disabled / Отключено или Enabled / Включено ). Отключите действие всех или только определенных политик, переведя их в состояние Not configured (Не задана).

Такие же действия нужно провести и в разделе пользовательских политик (User Configuration / Конфигурация пользователя ). Таким образом можно отключить действие всех настроек административных шаблонов GPO.

Совет . Список всех примененных настроек локальных и доменных политик в удобном html отчете можно получить с помощью встроенной утилиты командой:
gpresult /h c:\distr\gpreport2.html

Указанный выше способ сброса групповых политик в Windows подойдет для самых «простых» случаев. Некорректные настройки групповых политик могут привести к более серьезным проблемам, например: невозможности запуска оснастки gpedit.msc или вообще всех программ, потери пользователем прав администратора системы, или запрета на локальный вход в систему. Рассмотрим эти случаи подробнее.

Принудительный сброс настроек локальных GPO из командной строки

В этом разделе описан способ принудительного сброса всех текущих настроек групповых политик в Windows. Однако сначала опишем некоторые принципы работы административных шаблонов групповых политик в Windows.

Архитектура работы групповых политик основана на специальных файлах Registry .pol . Данные файлы хранят параметры реестра, которые соответствуют тем или иным параметрам настроенных групповых политик. Пользовательские и компьютерные политики хранятся в разных файлах Registry .pol .

• Настройки конфигурации компьютера (раздел Computer Configuration ) хранятся в %SystemRoot%\System32\ GroupPolicy\Machine\registry.pol
• Пользовательские политики (раздел User Configuration ) — %SystemRoot%\System32\ GroupPolicy\User\registry.pol

При загрузке компьютера система импортирует содержимое файла \Machine\Registry.pol в ветку системного реестра HKEY_LOCAL_MACHINE (HKLM). Содержимое файла \User\Registry.pol импортируется в ветку HKEY_CURRENT_USER (HKCU) при входе пользователя в систему.

Консоль редактора локальных групповых политик при открытии загружает содержимое данных файлов и предоставляет их в удобном пользователю графическом виде. При закрытии редактора GPO внесенные изменения записываются в файлы Registry.pol. После обновления групповых политик (командой gpupdate /force или по-расписанию), новые настройки попадают в реестр.

Совет . Для внесения изменения в файлы стоит использовать только редактор групповых политик GPO. Не рекомендуется редактировать файлы Registry.pol вручную или с помощью старых версий редактора групповой политики!

Чтобы удалить все текущие настройки локальных групповых политик, нужно удалить файлы Registry.pol в каталоге GroupPolicy. Сделать это можно следующими командами, запущенными в командной строке с правами администратора:

RD /S /Q "%WinDir%\System32\GroupPolicyUsers" RD /S /Q "%WinDir%\System32\GroupPolicy"

После этого нужно обновить настройки политик в реестре:

Gpupdate /force

Данные команды сбросят все настройки локальных групповых политик в секциях Computer Configuration и User Configuration.

Откройте консоль редактора gpedit.msc и убедитесь, что все политики перешли в состояние Не задано / Not configured. После запуска консоли gpedit.msc удаленные папки будут созданы автоматически с настройками по-умолчанию.

Сброс локальных политик безопасности Windows

Локальные политик безопасности (local security policies) настраиваются с помощью отдельной консоли управления secpol.msc . Если проблемы с компьютером вызваны «закручиванием гаек» в локальных политиках безопасности, и, если у пользователя остался доступ к системе и административные права, сначала стоит попробовать сбросить настройки локальных политик безопасности Windows к значениям по-умолчанию. Для этого в командной строке с правами администратора выполните:

• Для Windows 10, Windows 8.1/8 и Windows 7: secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb /verbose
• Для Windows XP: secedit /configure /cfg %windir%\repair\secsetup.inf /db secsetup.sdb /verbose

После чего компьютер нужно перезагрузить.

В том случае, если проблемы с политиками безопасности сохраняются, попробуйте вручную переименовать файл контрольной точки базы локальных политик безопасности %windir%\security\database\edb.chk

ren %windir%\security\database\edb.chk edb_old.chk

Выполните команду:
gpupdate /force
Перезагрузите Windows с помощью :
Shutdown –f –r –t 0

Сброс локальных политик при невозможности входа в Windows

В том случае, если локальный вход в систему невозможен или не удается запустить командную строку (например, при блокировке ее и других программ с помощью ). Удалить файлы Registry.pol можно, загрузившись с установочного диска Windows или любого LiveCD.

Сброс примененных настроек доменных GPO

Несколько слов о доменных групповых политиках. В том случае, если компьютер включен в домен Active Directory, некоторыми его настройками может управлять администратор домена через доменные GPO.

Файлы registry.pol всех применённых доменных групповых политик хранятся в каталоге %windir%\System32\GroupPolicy\DataStore\0\SysVol\ contoso.com\Policies . Каждая политика хранится в отдельном каталоге с GUID доменной политики.

Этим файлам registry.pol соответствуют следующие ветки реестра:

• HKLM\Software\Policies\Microsoft
• HKCU\Software\Policies\Microsoft
• HKCU\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects
• HKCU\Software\Microsoft\Windows\CurrentVersion\Policies

История примененных версий доменных политик, которые сохранились на клиенте, находится в ветках:

• HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\History\
• HKCU\Software\Microsoft\Windows\CurrentVersion\Group Policy\History\

При исключении компьютера из домена файлы registry.pol доменных политик на компьютере удаляются и соответственно, не загружаются в реестр.

Если нужно принудительно удалить настройки доменных GPO, нужно очистить каталог %windir%\System32\GroupPolicy\DataStore\0\SysVol\contoso.com\Policies и удалить указанные ветки реестра (настоятельно рекомендуется создать резервную копию удаляемых файлов и веток реестра!!!). Затем выполните команду:

gpupdate /force /boot

Совет . Указанная методика позволяет сбросить все настройки локальных групповых политик во всех версиях Windows. Сбрасываются все настройки, внесенные с помощью редактора групповой политики, однако не сбрасываются все изменения, внесенные в реестре напрямую через редактор реестра, REG- файлы или любым другим способом.

Редактор групповой политики это важный инструмент ОС Windows с его помощью системные администраторы могут настраивать тонкие параметры системы. Он имеет несколько вариантов конфигурации и позволят вам внести коррективы производительности, настройки безопасности для пользователей и компьютеров.

Иногда после неудачной настройки вашего редактора групповой политики ваш компьютер начинает вести себя не лучшим образом. Это значит, что пришло время, сбросить все настройки групповой политики и вернуть значения по умолчанию, тем самым сэкономив время и нервы вместо переустановки Windows. В этом руководстве мы покажем вам, как сбросить все настройки групповой политики по умолчанию в операционной системе Windows 10.

Сброс групповой политики к значениям по умолчанию

Настройки Групповой политики делятся на несколько конфигураций, как персонализация, настройки брандмауэра, принтеры, политики безопасности и т.д. Мы рассмотрим несколько способов с помощью которых вы можете сбросить соответствующие политики в состояние по умолчанию.

Сбросить параметры объекта групповой политики с помощью редактора локальной групповой политики

Выполните следующие действия, чтобы сбросить измененные параметры объекта групповой политики.

1. Нажмите Клавиши Win + R на клавиатуре, для запуска аплета «Выполнить» . Введите в строку gpedit.msc и нажмите Enter , чтобы открыть редактор локальных групповых политик.

2. В открывшемся окне редактора групповой политики перейдите по следующему пути в левой боковой панели:

Политика Локальный компьютер → Конфигурация компьютера → Административные шаблоны → Все Параметры

3. Теперь, в правой части окна, нужно упорядочить параметры политики с помощью столбца «Состояние» , так что все политики, которые включены / отключены можно получить в верху списка.

5. Повторите то же самое для пути указанного ниже:

Политика локальный компьютер → Конфигурация пользователя → Административные шаблоны → Все Параметры

6. Это позволит восстановить все параметры групповой политики к настройкам по умолчанию. Однако, если вы столкнулись с проблемами, как потеря привилегий администратора или проблемы входа в систему, то вы можете попробовать метод ниже.

Восстановление локальных политик безопасности по умолчанию

Политики безопасности вашей учетной записи администратора в Windows 10, находятся в другой консоли управления - (Локальная политика безопасности). Эта оснастка параметр безопасности расширяет групповые политики и помогает определить политики безопасности для компьютеров в домене.

Выполните следующие действия, чтобы изменить политику безопасности на вашей машине:

1. Откройте Командную строку (от имени администратора).

2. Введите следующую команду в окне командной строки и нажмите клавишу Enter:

Secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb /verbose

3. После завершения задачи, перезагрузите компьютер, чтобы изменения вступили в силу.

Сброс объектов групповой политики с помощью командной строки

Данный метод включает в себя удаление папки параметров групповой политики с диска, на котором установлена ​​операционная система. Выполните следующие действия, чтобы сделать это с помощью командной строки от имени администратора.

1. Откройте Командную строку как администратор

2. Введите следующие команды одну за другой.

RD /S /Q "%WinDir%\System32\GroupPolicyUsers" RD /S /Q "%WinDir%\System32\GroupPolicy" gpupdate /force

3. После этого, перезагрузите компьютер.

Примечание: Убедитесь, что вы создали точку восстановления системы перед внесением изменений в реестр или объектов групповой политики.

Администрирование компьютера – тонкое и гибкое дело, требующее взвешенного подхода и вдумчивости. Также, чтобы заниматься этим профессионально, понадобится масса знаний и умений. Да, если вы хотите обдуманного контроля над операционной системой, стоит всерьез поразмыслить над установкой серверной версии Windows (благо, в ней намного больше инструментов и средств для администрирования, чем в пользовательской и бизнес-версиях Windows 10).

Но даже в версии Professional можно найти достаточно много механизмов для полного контроля над работой системы, пользовательским доступом, сферой применения программ, поведением UAC и других функций, над которыми рядовой пользователь даже не задумывается (редакция Home не подойдет). Львиная доля этих механизмов сосредоточена в редакторе локальной групповой политики Windows 10.

Если копнуть глубже, здесь можно встретить практически каждый аспект поведения ОС, начиная от правил разрешения сертификатов и заканчивая шифрованием по алгоритму BitLocker. Понадобится недюжинное умение и довольно немало времени, чтобы разобраться во всех настройках и нюансах редактора. Однако я сэкономлю ваше время и расскажу об основных операциях, которые можно проделать с помощью редактора локальной групповой политики в «десятке».

Чтобы включить клиент групповой политики, используйте комбинацию Win+R и на возникшей форме введите название оснастки, — gpedit.msc . После этого редактор откроется. Альтернативный вариант – воспользоваться встроенным в систему поиском, нажав пиктограммку в форме лупы в левом нижнем углу панели задач.

Каждая из представленных категорий вмещает в себя параметры трех типов:

• административные шаблоны (настройки для кастомизации ключей из реестра Windows. По существу, те же самые операции можно выполнить и напрямую из реестра, но сделать это при использовании редактора локальной групповой политики гораздо удобнее);
• конфигурация Виндовс (параметры безопасности и системы, прочие настройки среды);
• конфигурация приложений (настройки, имеющие отношение к программам, установленным на ПК).

Рассмотрим несколько простых возможностей, доступных в редакторе. Откроем папку «Конфигурация пользователя», и в ней Административные шаблоны -> Система . Как видим, тут доступны такие занимательные опции, как «Запрет доступа к средствам правки реестра», «Запрет применения режима командной строки», «Запрет запуска заданных приложений Windows» и «Разрешение запуска лишь заданных приложений Windows».

Откроем параметр «Запрет запуска заданных приложений Виндовс». Как несложно догадаться, в этом поле можно указать программы, которые в вашей операционной среде запускаться не смогут. Эта настройка очень простая, и с ней смогут разобраться даже те, кто мало что понимает в средствах администрирования.

По умолчанию данный параметр отключен. Включим его. Для этого в левом верхнем углу выберем опцию «Включено», а рядом с полем «Список запрещенных приложений» нажмем кнопку «Показать».

Теперь перед вами окно, где в каждой из строчек можно задать имя исполняемого файла для приложения, которое вы желаете заблокировать. Впишем в это поле значение “mspaint.exe”, которое соответствует простому графическому редактору Paint, вшитому в базовую комплектацию Windows 10.

Подтвердим свой выбор. После заданных настроек программа Paint будет заблокирована для запуска, а при попытке запустить графический редактор напрямую, через проводник, на экране появится системное сообщение о невозможности выполнения данной операции.

Чтобы отключить групповую политику, выберите вариант «Не задано».

Рассмотрим еще одну функциональную возможность, а именно изменим уровень контроля UAC в качестве примера.

Откроем категорию «Конфигурация компьютера», и в ней папки Конфигурация Windows –> Параметры безопасности -> Локальные политики -> Параметры безопасности . В ней найдем пункт «Контроль над учетными записями: действие запроса, соответствующего повышению привилегий администратора» и выполним двойной щелчок на нем.

По дефолту тут выставлено значение «Запрос на согласие запуска файлов, не соответствующих стандартной поставке Windows» (если выбран этот вариант, при каждом запуске программы, пытающейся внести некие изменения в настройки или параметры ОС, у пользователя каждый раз будут спрашивать согласия).

Рассмотрим другие значения. Первый вариант «Повышение прав без запроса» является наиболее уязвимым, поскольку полностью отключает UAC, позволяя запускать какие-угодно приложения в операционке без каких-либо запросов. Это не вполне безопасно, поэтому данный вариант стоит рассматривать в самую последнюю очередь.

Следующая опция – «Запрос учетных данных на безопасном рабочем столе» . Если используется это значение, при каждой попытке запустить на исполнение (или инсталлировать) программу, вносящую изменения в настройки среды, у пользователя будут спрашивать логин и пароль текущей учетной записи. Один из наиболее безопасных режимов, если вы хотите обеспечить максимум контроля над ОС, если за вашим компьютером работает кто-то еще.

Еще один вариант – «Запрос согласия на безопасном рабочем столе» . Значение, схожее с предыдущим, с той лишь разницей, что вместо данных для аутентификации перед пользователем будут возникать запросы на подтверждение операции с файлом.

Следующие два значения ведут себя схожим образом, с той лишь разницей, что область применения указанной настройки не распространяется лишь на зону рабочего стола.

Если присмотреться к настройке UAC с помощью редактора, то здесь вариативность и возможности кастомизации гораздо шире, чем с помощью дефолтного метода, из панели управления. Там таких возможностей нет и в помине, а в совокупности с другими модулями клиента локальной групповой политики перед вами открываются огромнейшие горизонты для тонкого управления поведением своей основной рабочей среды.

Напоследок я расскажу, как с помощью групповых политик включить защитника Windows 10.

Перейдем в раздел «Конфигурация компьютера», и в нем откроем каталог «Административные шаблоны» -> «Компоненты Windows» -> «Endpoint Protection» .

Если в качестве значения параметра «Выключить Endpoint Protecton» указана опция «Включено», выполните двойной щелчок на ней и установите значение «Отключено» или «Не задано».

Возможностей для изменения групповых политик в редакторе действительно предостаточно. Если вы хотите поближе познакомиться с навыками администрирования ОС Windows при помощи данной оснастки, в сети можно найти достаточно много справочных руководств на эту тематику. В этой статье я лишь описал некоторые из основных приемов.