Сброс локальных групповых политик в Windows 10 и 11

Я Семёнов Евгений Сергеевич, директор АйТи Фреш. За 15 лет работы с корпоративными сетями Windows я научился трём рабочим способам сбросить локальные GPO, когда админ «накрутил» и что-то не работает. Бывает, заблокировали командную строку, отключили диспетчер задач, запретили запуск .exe — и тут же потеряли доступ к настройке. У нас на практике вызовы «после обновления не запускается Word» часто решаются именно сбросом локальных политик. Разберём все варианты.

Что такое локальные групповые политики

В Windows есть три слоя GPO:

1. Локальные — хранятся на самом ПК в C:\Windows\System32\GroupPolicy и GroupPolicyUsers.
2. Доменные — приходят с Active Directory, перезаписывают локальные.
3. Site/OU — уровни в AD-иерархии.

Когда мы говорим «сбросить локальные» — сбрасываем только первый слой. Доменные применятся заново при ближайшем gpupdate или рестарте.

Способ 1: gpedit.msc — ручной откат

Работает, если вы точно знаете, какая политика сломала — или у вас Windows Pro/Enterprise с доступом к редактору:

1. Win+R → gpedit.msc.
2. Просмотреть применённые политики: View → All settings → отсортировать по «State = Enabled».
3. Для каждой проблемной — двойной клик, установить «Not Configured».
4. Закрыть редактор.
5. Выполнить gpupdate /force в CMD (админ).

Минус — долго, если политик много. Плюс — точечно, ничего лишнего не затрагивает.

Способ 2: полный сброс через удаление Registry.pol

Мой любимый способ, когда непонятно, что именно сломано. Работает на всех редакциях Windows, включая Home.

REM Запуск от администратора
RD /S /Q "%WinDir%\System32\GroupPolicyUsers"
RD /S /Q "%WinDir%\System32\GroupPolicy"
gpupdate /force
shutdown /r /t 0

Что происходит:

• Удаляются каталоги с локальными политиками компьютера и пользователей.
• gpupdate /force пересоздаёт их пустыми.
• Reboot — применяется новая пустая конфигурация.

Важно: это сбрасывает ТОЛЬКО локальные GPO. Доменные придут снова при старте. Если ПК не в домене — вернётся чистое состояние.

Способ 3: secedit — сброс политик безопасности

Когда проблема именно в политиках безопасности (пароли, аудит, права), удобно:

secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb /verbose

Команда восстанавливает Security Settings из шаблона по умолчанию defltbase.inf, который ставится с Windows. Все изменения в «Security Settings» откатываются, но Administrative Templates остаются.

Таблица: какой способ когда применять

PowerShell-скрипт для массового сброса

Когда нужно пройтись по нескольким ПК в отделе (не в домене — в рабочей группе), у меня лежит скрипт:

# Reset-LocalGPO.ps1
#Requires -RunAsAdministrator

$paths = @(
  "$env:WinDir\System32\GroupPolicy",
  "$env:WinDir\System32\GroupPolicyUsers"
)
foreach ($p in $paths) {
  if (Test-Path $p) {
    Remove-Item $p -Recurse -Force
    Write-Host "Removed $p"
  }
}

& secedit /configure /cfg "$env:WinDir\inf\defltbase.inf" /db defltbase.sdb /verbose

& gpupdate /force

Write-Host "Done. Reboot recommended."

Запускаем через PsExec или WinRM на нужных машинах.

Особенности в AD-домене

Если ПК в домене — вопрос обычно не в локальных политиках, а в доменных. Локальный сброс не даст эффекта дольше следующего gpupdate. Правильный путь:

1. На клиенте — gpresult /h gpo-report.html, смотрим, какая доменная GPO применяется.
2. На DC — gpmc.msc, правим конкретную GPO (Not Configured) или убираем Link.
3. На клиенте — gpupdate /force.
4. Если настройка не откатилась — значит политика была Enforced, «tattooing» реестра. Нужен отдельный обратный GPO, устанавливающий параметр в Disabled.

Реальный кейс: заблокированный CMD на 40 ПК

Однажды в 2024 году к нам пришёл клиент — небольшая бухгалтерская фирма в Тушино на 40 рабочих мест. Предыдущий админ ушёл и напоследок включил «Prevent access to the command prompt» для всех сотрудников через локальные GPO (домен у клиента не развёрнут). Сотрудники перезагрузили свой 1С-скрипт обновления курса валют и получили «Командная строка отключена администратором». Работа встала.

Выезд, инвентаризация, подготовка PowerShell-скрипта + WinRM — и массово сбросили локальные GPO на всех 40 ПК за 1,5 часа. Стоимость — 24 000 руб. за экстренный выезд. Параллельно развернули мини-домен на базе Windows Server с нормальным централизованным управлением GPO — чтобы такое больше не повторилось.

Грабли

• Забыли reboot. Часть политик применяется только при старте ОС.
• Запуск не от администратора. Удаление GroupPolicy требует прав.
• Ожидание чуда в домене. Локальный сброс не помогает, доменная GPO вернёт всё. Лечите на DC.
• Удалили не ту папку. GroupPolicy и GroupPolicyUsers — не Policies в реестре. Не трогайте HKLM\SOFTWARE\Policies, если не уверены.
• Antivirus блокирует. На некоторых ПК SentinelOne / Kaspersky ругаются на массовое удаление — делайте временное исключение.

FAQ — сброс локальных GPO

Можно ли сбросить политики без доступа к gpedit?

Да, на Windows 10/11 Home gpedit.msc отсутствует. Сброс делается удалением Registry.pol из C:\Windows\System32\GroupPolicy\Machine и User, далее gpupdate /force.

Что делать в AD-домене, если политика засела?

В домене клиент всегда переконфигурируется с DC. Локальный сброс поможет только если ПК изолирован. Для доменных ПК: правим политику на DC, делаем gpupdate /force на клиенте или выводим из домена и обратно.

Сломал ли я систему после удаления Registry.pol?

Нет. Registry.pol — это кэш локальных настроек GPO. Windows его пересоздаст при следующем запуске gpupdate. Системные настройки не пропадут, только те, которые были применены через локальные политики.

Как сбросить только политики безопасности?

secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb /verbose — восстанавливает настройки по шаблону по умолчанию для Windows.

Помогает ли reset от точки восстановления?

Да, если есть точка до применения проблемной политики. Откат через System Restore возвращает реестр и Registry.pol. Но это крайняя мера — проще удалить Registry.pol руками.