Сброс локальных групповых политик в Windows: все способы восстановления GPO по умолчанию

Групповые политики (Group Policy Object, GPO) — один из самых мощных инструментов настройки Windows. Через них можно управлять буквально всем: от обоев рабочего стола до параметров шифрования и прав доступа к сетевым ресурсам. Но эта мощность имеет обратную сторону — неосторожное изменение может привести к серьёзным проблемам: не запускаются приложения, невозможно подключиться к сети, не работает RDP, или вы вообще не можете войти в систему.

В этой статье разберём все доступные способы сброса групповых политик к значениям по умолчанию: от мягкого «ручного» отключения отдельных параметров через gpedit.msc до радикального удаления файлов политик из командной строки. Отдельно рассмотрим экстренный сценарий — сброс при невозможности входа в Windows — и восстановление доменных политик на контроллере домена.

Как Windows хранит локальные групповые политики

Прежде чем сбрасывать, важно понимать, как и где Windows хранит настройки локальных GPO. Все параметры записываются в файлы registry.pol:

• Конфигурация компьютера: %SystemRoot%\System32\GroupPolicy\Machine\registry.pol
• Конфигурация пользователя: %SystemRoot%\System32\GroupPolicy\User\registry.pol

Это бинарные файлы, которые содержат все политики, настроенные через gpedit.msc. При загрузке системы служба Group Policy Client (gpsvc) читает эти файлы и применяет параметры к соответствующим ключам реестра. Удаление этих файлов эквивалентно полному сбросу локальных политик.

Способ 1: сброс отдельных параметров через gpedit.msc

Самый безопасный способ — вручную вернуть изменённые параметры в состояние «Не задана» (Not Configured). Этот метод подходит, когда вы знаете, какие именно политики были изменены.

1. Нажмите Win + R, введите gpedit.msc
2. Перейдите в раздел Administrative Templates (Административные шаблоны)
3. Отсортируйте список по столбцу State (Состояние)
4. Для каждой политики со значением Enabled или Disabled измените на Not Configured
5. Повторите для обеих секций: Computer Configuration и User Configuration

Создание отчёта о текущих политиках

Перед сбросом полезно сохранить отчёт обо всех применённых политиках:

gpresult /h C:\Temp\gpreport.html

Откройте файл в браузере — он покажет все политики, их источник (локальная или доменная) и текущее значение. Это поможет понять, какие именно параметры нужно сбросить.

Способ 2: полный сброс локальных GPO из командной строки

Если изменённых политик слишком много или вы не знаете, что именно было изменено — удалите все файлы политик разом. Откройте командную строку от имени администратора и выполните:

RD /S /Q "%WinDir%\System32\GroupPolicyUsers"
RD /S /Q "%WinDir%\System32\GroupPolicy"
gpupdate /force

Разберём по шагам:

• RD /S /Q — удаляет папку со всем содержимым без запроса подтверждения
• GroupPolicyUsers — хранит политики для отдельных пользователей (если настроена множественная локальная GPO)
• GroupPolicy — основная папка с политиками компьютера и пользователя по умолчанию
• gpupdate /force — принудительное обновление политик, чтобы система пересоздала папки с чистыми настройками

После выполнения команд откройте gpedit.msc и убедитесь, что все политики перешли в состояние «Не задана».

Способ 3: сброс локальных политик безопасности

Политики безопасности (Security Policy) — отдельный набор параметров, настраиваемых через secpol.msc: политика паролей, аудит, назначение прав пользователей, параметры безопасности. Они хранятся отдельно от административных шаблонов и требуют отдельной процедуры сброса.

secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb /verbose

Эта команда применяет шаблон defltbase.inf — файл с настройками безопасности по умолчанию, встроенный в каждую копию Windows. Результат — все политики безопасности вернутся к заводским значениям.

Дополнительные действия после сброса

В некоторых случаях может потребоваться переименовать файл контрольной точки базы данных безопасности:

ren %windir%\security\database\edb.chk edb_old.chk

Затем обновите политики и перезагрузитесь:

gpupdate /force
shutdown /f /r /t 0

Способ 4: сброс при невозможности входа в Windows

Это экстренный сценарий: некорректная политика заблокировала вход в систему, отключила все учётные записи или сделала рабочий стол недоступным. Единственный выход — загрузиться с внешнего носителя.

1. Загрузитесь с установочной USB-флешки Windows
2. На экране установки нажмите Shift + F10 для вызова командной строки
3. Определите букву системного диска:

   diskpart
   list volume
   exit

4. Удалите папки политик (подставьте свою букву диска):

   rd /S /Q C:\Windows\System32\GroupPolicy
   rd /S /Q C:\Windows\System32\GroupPolicyUsers

5. Извлеките флешку и перезагрузитесь:

   wpeutil reboot

После загрузки Windows пересоздаст папки GroupPolicy с настройками по умолчанию, и вход в систему станет возможен.

Сброс кэша доменных групповых политик

На компьютерах, присоединённых к домену Active Directory, доменные политики кэшируются локально в нескольких местах. Для полной очистки используйте следующий скрипт (запускайте от имени администратора):

@echo off
echo Удаление кэша групповых политик...

DEL /S /F /Q "%ALLUSERSPROFILE%\Microsoft\Group Policy\History\*.*"
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy" /f
REG DELETE "HKLM\Software\Policies\Microsoft" /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies" /f
REG DELETE "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies" /f
REG DELETE "HKCU\Software\Policies\Microsoft" /f
REG DELETE "HKCU\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects" /f

DEL /F /Q "C:\WINDOWS\security\Database\secedit.sdb"

echo Очистка билетов Kerberos...
klist purge

echo Обновление политик...
gpupdate /force

echo Готово. Рекомендуется перезагрузка.
pause

Восстановление Default Domain Policy и Default Domain Controller Policy

В каждом домене Active Directory есть две стандартные политики, которые создаются автоматически:

• Default Domain Policy — GUID {31B2F340-016D-11D2-945F-00C04FB984F9}
• Default Domain Controller Policy — GUID {6AC1786C-016F-11D2-945F-00C04FB984F9}

Если эти политики повреждены или содержат некорректные настройки, их можно восстановить к первоначальному состоянию с помощью утилиты dcgpofix. Выполните на контроллере домена:

Восстановление Default Domain Policy

dcgpofix /target:Domain

Восстановление Default Domain Controller Policy

dcgpofix /target:DC

Восстановление обеих политик

dcgpofix /target:both

Если возникает ошибка совместимости схемы AD:

dcgpofix /ignoreschema /target:Domain

Резервное копирование GPO перед сбросом

# Резервная копия всех GPO
Backup-GPO -All -Path "C:\Backup\GPO-$(Get-Date -Format 'yyyy-MM-dd')"

# Резервная копия конкретной политики
Backup-GPO -Name "Default Domain Policy" -Path "C:\Backup\GPO"

Диагностика: какая политика вызывает проблемы

Прежде чем сбрасывать всё подряд, попробуйте определить проблемную политику. Вот инструменты диагностики:

Отчёт gpresult

# HTML-отчёт со всеми примёнными политиками
gpresult /h C:\Temp\gpreport.html

# Текстовый вывод для конкретного пользователя
gpresult /user domain\username /v

# Только политики компьютера
gpresult /scope computer /v

Журнал событий Group Policy

Ошибки применения политик записываются в Event Viewer:

• Applications and Services Logs → Microsoft → Windows → GroupPolicy → Operational
• Ищите события с уровнем Error или Warning

Проверка через PowerShell

# Список всех GPO, применённых к компьютеру
Get-GPResultantSetOfPolicy -ReportType Html -Path "C:\Temp\rsop.html"

# Просмотр конкретной политики
Get-GPO -Name "Default Domain Policy" | Get-GPOReport -ReportType Html -Path "C:\Temp\ddp.html"

Что НЕ сбрасывает удаление файлов GPO

Важно понимать ограничения метода. Удаление папок GroupPolicy и файлов registry.pol не затрагивает:

• Изменения реестра, сделанные напрямую через regedit.exe, .reg-файлы или скрипты PowerShell
• Group Policy Preferences с параметром «Apply once and do not reapply»
• Параметры, записанные в профиль пользователя (HKCU)
• Изменения, сделанные через MDM/Intune — они хранятся отдельно от классических GPO

Если после сброса GPO проблема сохраняется, проверьте реестр напрямую: возможно, параметр был изменён не через групповую политику, а другим способом.

Автоматизация: скрипт безопасного сброса

Вот PowerShell-скрипт, который создаёт резервную копию перед сбросом и логирует действия:

# Reset-LocalGPO.ps1 — безопасный сброс локальных политик
#Requires -RunAsAdministrator

$timestamp = Get-Date -Format "yyyy-MM-dd_HH-mm-ss"
$backupDir = "C:\Backup\GPO-$timestamp"

Write-Host "[1/4] Создание резервной копии..." -ForegroundColor Yellow
New-Item -ItemType Directory -Path $backupDir -Force | Out-Null

if (Test-Path "$env:WinDir\System32\GroupPolicy") {
    Copy-Item -Path "$env:WinDir\System32\GroupPolicy" -Destination "$backupDir\GroupPolicy" -Recurse
    Write-Host "  Скопировано: GroupPolicy" -ForegroundColor Green
}
if (Test-Path "$env:WinDir\System32\GroupPolicyUsers") {
    Copy-Item -Path "$env:WinDir\System32\GroupPolicyUsers" -Destination "$backupDir\GroupPolicyUsers" -Recurse
    Write-Host "  Скопировано: GroupPolicyUsers" -ForegroundColor Green
}

# Сохраняем отчёт
gpresult /h "$backupDir\gpreport-before.html" 2>$null

Write-Host "[2/4] Удаление файлов политик..." -ForegroundColor Yellow
Remove-Item -Path "$env:WinDir\System32\GroupPolicyUsers" -Recurse -Force -ErrorAction SilentlyContinue
Remove-Item -Path "$env:WinDir\System32\GroupPolicy" -Recurse -Force -ErrorAction SilentlyContinue
Write-Host "  Удалено" -ForegroundColor Green

Write-Host "[3/4] Сброс политик безопасности..." -ForegroundColor Yellow
secedit /configure /cfg "$env:WinDir\inf\defltbase.inf" /db defltbase.sdb /verbose 2>$null
Write-Host "  Сброшено" -ForegroundColor Green

Write-Host "[4/4] Обновление политик..." -ForegroundColor Yellow
gpupdate /force
Write-Host "  Обновлено" -ForegroundColor Green

Write-Host "`nРезервная копия: $backupDir" -ForegroundColor Cyan
Write-Host "Рекомендуется перезагрузка." -ForegroundColor Yellow

Чеклист: сброс групповых политик

1. Определить источник проблемы: gpresult /h report.html
2. Создать резервную копию: скопировать папку %WinDir%\System32\GroupPolicy
3. Для отдельных параметров: gpedit.msc → Not Configured
4. Для полного сброса: удалить папки GroupPolicy и GroupPolicyUsers
5. Для политик безопасности: secedit /configure /cfg defltbase.inf
6. Если нет доступа к системе: загрузка с USB, Shift+F10, удаление папок
7. Обновить: gpupdate /force
8. Для доменных политик: dcgpofix /target:both (только на DC)
9. Проверить результат: gpresult /h report-after.html
10. Перезагрузить компьютер

Сброс групповых политик — крайняя мера, к которой прибегают, когда точечное исправление невозможно или слишком трудоёмко. Всегда начинайте с диагностики через gpresult, чтобы понять, какая именно политика вызывает проблему. И помните: лучшая защита от необходимости сброса — это документирование всех изменений GPO и тестирование политик на отдельной OU перед массовым развёртыванием.