МТС 

Локальные политики безопасности windows 7. Сброс локальных групповых политик в Windows

Редактор групповых политик - это майкрософтовская панель управления различными параметрами системы путем редактирования групповых политик - ранее заданных настроек. Как известно, различные настройки системы хранятся в . Можно сказать, что редактор групповых политик (исполняемый файл gpedit.msc) - это утилита для редактирования определенных значений реестра.

Однако, Microsoft обделила начальные версии своей ОС Windows 7 Home Premium, Home Basic, Starter редактором политик, поэтому при необходимости его установки на данные версии "семерки" придется использовать патч. Скачайте (зеркало на Я.Диск), и установщик.

При установке все стандартно: сначала нажимаем Next, затем Install, и напоследок Finish.

Если у вас установлена 32-разрядная система Windows 7, на этом установка патча, вероятно, будет закончена. Открываем горячими клавишами Win + R утилиту Выполнить , вводим gpedit.msc и если все хорошо, откроется редактор.


При использовании 64-разрядной операционной системы все не так гладко, как хотелось бы. На просторах интернета гуляют различные советы по настройке установленного редактора, однако и они не всегда могут помочь запустить gpedit.msc. Самая частая проблема при запуске это ошибка "Консоль управления MMC не может создать оснастку".

Microsoft на своем сайте поддержки пользователей предлагает сделать следующее:
Для решения этой проблемы необходимо добавить папку %SystemRoot%\System32\WBEM в переменную среды PATH . Чтобы сделать это, выполните следующие действия.

1. Щелкните правой кнопкой мыши по значку Мой компьютер и выберите команду Свойства .
2. На вкладке Дополнительно нажмите кнопку Переменные среды .
3. В списке Системные переменные дважды щелкните Переменная среды PATH .
4. Введите:
%SystemRoot%\System32;%SystemRoot%;%SystemRoot%\system32\WBEM
Примечание . Другие системные переменные для PATH удалять не нужно.
5. Нажмите кнопку ОК .

Другой вариант исправления ошибки.
Из папки C:\windows\SysWOW64 нужно скопировать:
- файл gpedit.msc
- папки GroupPolicy и GroupPolicyUsers
в папку C:\Windows\System32 . Перезагрузите компьютер.

Еще один способ: запустить установщик патча setup.exe, но не нажимать на кнопку Finish при установке. Вместо этого нужно открыть папку C:\Windows\Temp\gpedit\ и открыть текстовым редактором файл x64.bat (или x86.bat для 32-разрядных ОС). В файле нужно заменить шесть фрагментов %username%:f на "%username%":f - другими словами, добавить кавычки. Затем сохраните измененный файл, и в той же папке кликните правой кнопкой мыши по файлу x64.bat или x86.bat и выберите Запуск от имени администратора . Закройте установщик и попробуйте запустить gpedit.msc.

Если редактор групповых политик успешно запустится, выглядеть он будет следующим образом:

Несмотря на английский язык интерфейса в нем все интуитивно понятно.

Редактор групповой локальной политики (gpedit.msc) очень полезный инструмент для проведения различных настроек системы – с его помощью можно быстро и легко отключить или включить отдельные компоненты, запретить или разрешить те или иные действия для пользователей. Но, к сожалению, в версии Home операционных систем Windows 7, 8.1, 10 пользователь сталкивается с тем, что инструмент не найдет. Давайте разберём, как добавить GPEDIT.msc в Windows Home 7, 8.1, 10.

Microsoft преднамеренно устанавливает Редактор локальных групповых политик только в версиях Windows Professional и выше, поэтому пользователь Home его не находит. Что же делать, если версией Home он не найден, но в целях безопасности нужно изменить конфигурацию ОС.

Существует возможность установить его в «домашних» версиях Windows 7, 8,1. 10, где с её помощью можно произвести тонкую настройку системы. Например, мы можем быстро отключить или включить отдельные компоненты, такие как Windows Defender, гаджеты в Windows 7 или облако OneDrive в Windows 8.1/ 10, заблокировать подключение компьютера до домашней группы, запретить доступ пользователей к некоторым системным функциям и прочее.

Конечно, всё это мы можем сделать в версии Home, но для этого нужно внести некоторые изменения в реестр.

Что нужно сделать перед началом установки?

Инструмент gpedit.msc вносит изменения в системные файлы и поэтому обязательно нужно создать точку восстановления системы перед его инсталляцией. Дело в том, что это не официальная версия gpedit от Майкрософта – то есть она разработана не программистами этой компании.

Программа gpedit.msc была добавлена в инсталляционный пакет, который был скомпилирован пользователем «davehc» с форума Windows 7 Forums. Теоретически, пакет был подготовлен для Windows 7, но также доказано, что он правильно работает в Windows 8.1, 10.

Как установить gpedit.msc в Windows Home

Скачать программу установки бесплатно можно на сайте DeviantArt. Чтобы её найти перейдите по ссылке:

drudger.deviantart.com/art/Add-GPEDIT-msc-215792914

а затем кликните на «Download» с правой стороны окна сайта.

Файл будет скачан в ZIP архиве, распакуйте его в любом месте, например, на рабочий стол. Установка довольно стандартная, попросту нажимайте на «Далее», чтобы завершить инсталляцию.

Дополнительная настройка для 64-разрядной системы

Если у вас установлена 32-разрядная система, то не нужно производить никаких дополнительных действий, но если 64-разрядная (что более вероятно), сделайте следующее.

Нужно скопировать с папки SysWOW64 несколько файлов в папку System32.
Для этого в проводнике зайдите в каталог:

C:\Windows\SysWOW64,

где нужно найти следующие:
GroupPolicy (каталог);
GroupPolicyUsers (каталог);
gpedit.msc (файл).

Отметьте эти файлы и папки, кликните правой кнопкой мыши и выберите «Копировать».

Затем перейдите по следующему пути:

C:\Windows\System32

Кликните в любом месте правой кнопкой мыши и выберите «Вставить».

Запуск инструмента GPEdit.msc

Открыть инструмент можно таким же образом, как и в Windows Professional. Для его запуска нажмите сочетание клавиш Win + R, а затем в окне «Выполнить» наберите следующую команду gpedit.msc, или введите её в строку поиска «Найти программы и файлы» в меню Пуск.

После нажатия на ОК должно открыться окно Редактора локальных групповых политик.
Но иногда некоторые пользователи на форумах сообщают, что при запуске команды может отобразиться ошибка MMC. В таком случае следуйте нижеприведенной инструкции.

Что делать, если отображается ошибка MMC при открытии GPEdit.msc?

Ошибка может возникнуть в том случае, когда имя учетной записи пользователя состоит из нескольких частей. Если редактор не запускается и возникает ошибка MMC, то её можно устранить, выполнив следующие действия:

Соответствующие записи будут обновлены и теперь можно закрыть окно установщика gpedit.msc. Окно Редактора локальных групповых политик должно открыться в версиях Home 7, 8.1, 10 без отображения ошибки MMC.

Я загорелся такой идеей обеспечения безопасности и решил попробовать сделать у себя так же.

Поскольку у меня стоит Windows 7 Professional, первой идеей оказалось использование AppLocker"a, однако быстро выяснилось, что работать в моей редакции винды он не хочет, и требует Ultimate или Enterprise. В силу лицензионности моей винды и пустоты моего кошелька, вариант с AppLocker"ом отпал.

Следующей попыткой стала настройка групповых политик ограниченного использования программ. Поскольку AppLocker является «прокачанной» версией данного механизма, логично попробовать именно политики, тем более они бесплатны для пользователей Windows:)

Заходим в настройки:
gpedit.msc -> Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Политики ограниченного использования программ

В случае, если правил нет, система предложит сгенерировать автоматические правила, разрешающие запуск программ из папки Windows и Program Files. Так же добавим запрещающее правило для пути * (любой путь). В результате мы хотим получить возможность запуска программ только из защищенных системных папок. И что же?
Да, это мы и получим, но вот только маленькая незадача - не работают ярлыки и http ссылки. На ссылки еще можно забить, а без ярлыков жить плоховато.
Если разрешить запуск файлов по маске *.lnk - мы получим возможность создать ярлык для любого исполняемого файла, и по ярлыку запустить его, даже если он лежит не в системной папке. Паршиво.
Запрос в гугл приводит к таким решениям: или разрешить запуск ярлыков из пользовательской папки, либо пользовать сторонние бары с ярлычками. Иначе никак. Лично мне такой вариант не нравится.

В итоге мы сталкиваемся с ситуацией, что *.lnk является с точки зрения винды не ссылкой на исполняемый файл, а исполняемым файлом. Бредово, но что ж поделать… Хотелось бы, чтобы винда проверяла не местонахождение ярлычка, а местонахождение файла, на который он ссылается.

И тут я нечаянно натолкнулся на настройки списка расширений, являщихся исполняемыми с точки зрения винды (gpedit.msc -> Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Назначенные типы файлов). Удаляем оттуда LNK и заодно HTTP и релогинимся. Получаем полностью рабочие ярлычки и проверку на местонахождение исполняемого файла.
Было сомнение, можно ли будет передавать через ярлыки параметры - можно, так что все ок.

В результате мы получили реализацию идеи, описанной в статье «Windows-компьютер без антивирусов» без каких либо неудобств для пользователя.

Также для любителей стрелять себе в ногу, можно создать папку в Program Files и кинуть ярлык для нее на рабочий стол, назвав, например «Песочницей». Это позволит запускать оттуда программы без отключения политик, пользуясь защищенным хранилищем (защита через UAC).

Надеюсь описанный метод окажется для кого-то полезным и новым. По крайней мере я о таком ни от кого не слышал и нигде не видел.

Данный редактор является специальной встроенной утилитой , которая позволяет управлять системой, администрировать и настраивать её, исходя из своих задач и потребностей.

Групповые политики – это функция, предоставляющая точку доступа для администрирования ОС.

Эта служба доступна не для всех версий систем. У пользователя должна быть установлена как минимум профессиональная версия Windows 7, 8 (8.1), 10.

Зачем нужен редактор и что там можно настроить

С его помощью можно контролировать множество параметров ОС. Более полезным он будет для сетевых и системных администраторов. К примеру, если требуется установить одинаковые правила для компьютеров одной сети, то одним из наиболее оптимальных инструментов, позволяющих это сделать будет редактор локальной групповой политики.

Простым пользователям он также может пригодиться, ведь там сосредоточен широкий набор разнообразных настроек , которые не найти в других программах и утилитах. Тут Вы сможете:

  • заблокировать (или, наоборот, разрешить) пользователям доступ к определенным приложениям, к их настройкам;
  • блокировать доступ к панели управления, скрыть некоторые её элементы; запретить доступ к устройствам (например, к картам памяти, внешним накопителям);
  • изменить назначение комбинациям клавиш.

Параметров огромное количество, перечислять их все не имеет смысла. Проще запустить и изучить все самостоятельно.

Как запустить редактор в Windows 7, 8, 10

Во всех приведенных системах сработает запуск через окно Выполнить (Win+R). В поле «Открыть » введите gpedit.msc.

Его также можно запустить с помощью меню пуск в поисковой строку введя «gpedit.msc». Для Восьмерки это выглядит так.

Физически утилита расположена на диске С в директории Windows/Temp/

Окно редактора во всех системах выглядит одинаково, с аналогичным набором опций.

Как работать с редактором

Окно программы имеет 2 основных поля. В левом окне выбираем, какие настройки следует сконфигурировать.

Раздел конфигурация компьютера предназначен для общей настройки ПК (вне зависимости от пользователя), конфигурация пользователя – настройка под конкретного пользователя.

Каждый из разделов имеет 3 секции.

– этот пункт по умолчанию пустой. Второй пункт настройки Windows – здесь можно найти опции безопасности, такие как политики учетных записей, брандмауэр, политики IP безопасности, аудита, программ и т.д.

Следующая секция . Здесь сосредоточены параметры и правила Панели управления, сети, принтеров, панели задач и меню Пуск.

Методы использования возможностей редактора рассмотрим на конкретном примере. Предположим, стоит задача ввести запрет на изменение значков рабочего стола. Чтобы это сделать, следует в проводнике утилиты перейти по пути Конфигурация пользователя/Административные шаблоны/Панель управления/Персонализация.

В правом поле окна Вы увидите перечень параметров политики, которые можно изменить. Состояние при этом «Не задано ». Находите среди них запрет на изменение значков рабочего стола.

Нажав по нужному пункту чуть левее можно увидеть описание и требования , а также последствия введения данного изменения. Двойным щелчком по пункту откроется следующее окно.

Выбрав кнопку включено и нажав «Применить » — введется запрет на изменение значков.

Отметим, что в этом окне еще есть поле «Параметры ». В некоторых случаях понадобится указать дополнительные параметры. Например, требуется разрешить запуск только определенных приложений. Для этого в разделе Административные шаблоны/Система откройте пункт «Выполнять только указанные приложения Windows ».

Здесь, при выбранном маркере «Включено », станет активной кнопка Показать. При нажатии на неё откроется окно Вывод содержания, где в поле Значение следует указать наименования конкретных приложений, вместе с расширениями, которые нужно разрешить выполнять.

На этих простых примерах можно понять принцип внесения изменений. Редактор групповых политик – это сложный инструмент, которым при этом можно довольно легко управлять.

Перечислять все возможности редактора не имеет смысла, советуем детально ознакомиться со справкой (как будет происходить его включение или отключение, как это будет влиять на работу тех или иных функций) по каждому параметру перед внесением коррективов.

Чтобы скрыть настройки, затрагивающие систему, установите флажок Вид/Фильтр.

Изменяйте опции осознанно, со знанием дела, чтобы в дальнейшем не навредить себе и работе системы.