rОдним из основных инструментов тонкой настройки параметров пользователя и среды Windows являются групповые политики — GPO (Group Policy Object). На сам компьютер и его пользователей могут действовать доменные групповые политики (если компьютер состоит в домене Active Directory) и локальные (эти политики настраиваются локально на компьютере). Однако некорректная настройка некоторых параметров GPO может привести к различным проблемам: невозможность подключить принтер, запрет на подключение USB накопителей, ограничение сетевого доступа некорректными настройками брандмауэра Windows, запрета на установку или запуск любых приложений (через политики SPR или AppLocker) или на локальный или удаленный вход на компьютеры.
Если администратор не может локально войти в систему, или не знает точно какая из примененных им настроек GPO вызывает проблему, приходится прибегать к аварийному сценарию сброса настроек групповых политик на настройки по-умолчанию. В “чистом” состоянии ни один из параметров групповых политик не задан.
В этой статье мы покажем несколько методов сброса настроек параметров локальных и доменных групповых политик к значениям по умолчанию. Эта инструкция является универсальной и может быть использована для сброса настроек GPO на всех поддерживаемых версиях Windows: начиная с Windows 7 и заканчивая Windows 10, а также для всех версий Windows Server 2008/R2, 2012/R2 / 2016 и 2019.
Содержание:
- Сброс параметров локальной групповой политики с помощью редактора gpedit.msc
- Файлы групповых политик Registry.pol
- Сброс настроек локальной GPO из командной строки
- Сброс локальных политик безопасности Windows
- Как сбросить настройки локальных GPO, если невозможно войти в Windows?
- Сброс примененных настроек доменных GPO
Сброс параметров локальной групповой политики с помощью редактора gpedit.msc
Этот способ предполагает использование графической консоли редактора локальной групповой политики gpedit.msc для отключения всех настроенных политик. Графический редактор локальной GPO доступен только в Pro, Enterprise и Education редакциях Windows 10.
Запустите оснастку
gpedit.msc
и перейдите в раздел All Settings локальных политик компьютера (Local Computer Policy -> Computer Configuration — > Administrative templates / Политика “Локальный компьютер” -> Конфигурация компьютера -> Административные шаблоны). В этом разделе содержится список всех политик, доступных к настройке в административных шаблонах. Отсортируйте политики по столбцу State (Состояние) и найдите все активные политики (находятся в состоянии Disabled / Отключено или Enabled / Включено). Отключите действие все (или только определенные настройки GPO), переведя их в состояние Not configured (Не задана).

Чтобы создать резервную копию текущих настроек локальной GPO можно использовать утилиту LGPO.exe из Security Compliance Manager.
Аналогично измените настройки параметров в пользовательском разделе локальных политик (User Configuration/ Конфигурация пользователя). Так можно отключить действие всех настроек административных шаблонов GPO.
Совет. Список всех примененных настроек локальных и доменных политик в удобном html отчете можно получить с помощью встроенной утилиты GPResult командой:
gpresult /h c:distrgpreport2.html
Указанный выше способ сброса групповых политик в Windows подойдет для самых “простых” случаев. Некорректные настройки групповых политик могут привести к более серьезным проблемам. Например, невозможность запустить оснастку gpedit.msc или вообще любых программ, потери административных прав на компьютере, или запрета на локальный вход в систему. В таких случаях приходится сбрасывать сохраненные настройки GPO в локальных файлах на компьютере.
Файлы групповых политик Registry.pol
Архитектура групповых политик Windows основана на специальных файлах Registry.pol. Данные файлы хранят параметры реестра, которые соответствуют тем или иным настройкам GPO. Пользовательские и компьютерные настройки политик хранятся в разных файлах Registry.pol.
- Настройки конфигурации компьютера (раздел Computer Configuration) хранятся в %SystemRoot%System32GroupPolicyMachineregistry.pol
- Пользовательские политики (раздел User Configuration) — %SystemRoot%System32GroupPolicyUserregistry.pol

При загрузке компьютера Windows загружает содержимое файла MachineRegistry.pol в ветку системного реестра HKEY_LOCAL_MACHINE (HKLM). Содержимое файла UserRegistry.pol импортируется в ветку HKEY_CURRENT_USER (HKCU) при входе пользователя в систему.
Когда вы открываете консоль редактора GPO, она загружает содержимое registry.pol файлов и предоставляет их в удобном графическом виде. При закрытии редактора GPO внесенные изменения сохраняются в файлы Registry.pol. После обновления групповых политик (командой
gpupdate /force
или по-расписанию), новые настройки попадают в реестр и применяются к компьютеру.
Совет. Для внесения изменения в файлы стоит использовать только редактор групповых политик GPO. Не рекомендуется редактировать файлы Registry.pol вручную или с помощью старых версий редактора групповой политики!
Чтобы удалить все текущие настройки локальной групповой политики, нужно удалить файлы Registry.pol в каталоге GroupPolicy.
Сброс настроек локальной GPO из командной строки
Для принудительного сброса всех текущих настроек групповых политик в Windows вам нужно удалить файлы Registry.pol. Допустимо целиком удалить каталоги с файлами настройки политик. Сделать это можно следующими командами, запущенными в командной строке с правами администратора:
RMDIR /S /Q "%WinDir%System32GroupPolicyUsers"
RMDIR /S /Q "%WinDir%System32GroupPolicy"
В Windows 10 2004 команда
rd.exe
была удалена из образа, поэтому для удаления каталогов нужно использовать команду
rmdir.exe
.
После этого нужно сбросить старые настройки политик в реестре, применив GPO с чистыми настройками:
gpupdate /force

Данные команды сбросят все настройки локальной GPO в секциях Computer Configuration и User Configuration.
Откройте консоль редактора
gpedit.msc
и убедитесь, что все политики перешли в состояние “Не задано”/”Not configured”. После запуска консоли gpedit.msc удаленные папки GroupPolicyUsers и GroupPolicy будут пересозданы автоматически с пустыми файлами Registry.pol.

Сброс локальных политик безопасности Windows
Локальные политик безопасности (local security policies) настраиваются с помощью отдельной консоли управления
secpol.msc
. Если проблемы с компьютером вызваны “закручиванием гаек” в локальных политиках безопасности, и, если у вас остался доступ к системе и административные права, сначала стоит попробовать сбросить настройки локальных политик безопасности Windows к значениям по-умолчанию. Для этого в командной строке с правами администратора выполните:
- Для Windows 10, Windows 8.1/8 и Windows 7:
secedit /configure /cfg %windir%infdefltbase.inf /db defltbase.sdb /verbose - Для Windows XP:
secedit /configure /cfg %windir%repairsecsetup.inf /db secsetup.sdb /verbose

Перезагрузите компьютер.
Если у вас сохранятся проблемы с политиками безопасности, попробуйте вручную переименовать файл контрольной точки базы локальных политик безопасности %windir%securitydatabaseedb.chk.
ren %windir%securitydatabaseedb.chk edb_old.chk

Выполните команду:
gpupdate /force
Перезагрузите Windows с помощью команды shutdown:
Shutdown –f –r –t 0
Как сбросить настройки локальных GPO, если невозможно войти в Windows?
Если локальный вход в Windows невозможен или не удается запустить командную строку (например, при блокировке ее и других программ с помощью Applocker), вы можете удалить файлы Registry.pol, загрузившись с установочного диска Windows (загрузочной USB флешки) или любого LiveCD.
- Загрузитес компьютер с любого установочного диска/флешки с Windows и запустите командную строку (
Shift+F10
). - Выполните команду:
diskpart
- Затем выведите список подключенных к компьютеру дисков:
list volume
В данном примере буква, присвоенная системному диску, соответствует букве в системе – C:. В некоторых случаях она может не соответствовать. Поэтому следующие команды необходимо выполнять в контексте вашего системного диска (например, D: или C:)
- Завершите работу с diskpart,, набрав:
exit
- Последовательно выполните следующие команды:
rd /S /Q C:WindowsSystem32GroupPolicy
rd /S /Q C:WindowsSystem32GroupPolicyUsers
- Перезагрузите компьютер в обычном режиме и проверьте, что все параметры локальной групповой политики сброшены в состояние по-умолчанию.
Сброс примененных настроек доменных GPO
Несколько слов о доменных групповых политиках. Если компьютер включен в домен Active Directory, некоторые его настройки задаются доменными GPO.
Файлы registry.pol всех применённых доменных групповых политик хранятся в каталоге %windir%System32GroupPolicyDataStoreSysVol contoso.comPolicies. Каждая политика хранится в отдельном каталоге с GUID доменной политики. При исключении компьютера из домена файлы registry.pol доменных политик на компьютере удаляются и соответственно, не загружаются в реестр. Но иногда несмотря на исключения компьютера из домена, настройки политик могут все ещё применяться к компьютеру.

Этим файлам registry.pol соответствуют следующие ветки реестра:
- HKLMSoftwarePoliciesMicrosoft
- HKCUSoftwarePoliciesMicrosoft
- HKCUSoftwareMicrosoftWindowsCurrentVersionGroup Policy Objects
- HKCUSoftwareMicrosoftWindowsCurrentVersionPolicies
История примененных версий доменных политик, которые сохранились на клиенте, находится в ветках:
- HKLMSOFTWAREMicrosoftWindowsCurrentVersionGroup PolicyHistory
- HKCUSoftwareMicrosoftWindowsCurrentVersionGroup PolicyHistory
Локальный кэш примененных доменных GPO хранится в каталоге C:ProgramDataMicrosoftGroup PolicyHistory. Удалите файлы в этом каталоге командой:
DEL /S /F /Q “%PROGRAMDATA%MicrosoftGroup PolicyHistory*.*”
Также для удаления доменных GPO, нужно очистить каталог %windir%System32GroupPolicyDataStoreSysVolcontoso.comPolicies и удалить указанные ветки реестра (настоятельно рекомендуется создать резервную копию удаляемых файлов и веток реестра !!!).
Затем выполните команду:
gpupdate /force /boot
Совет. Рассмотренные выше методики позволяют сбросить все настройки групповых политик во всех версиях Windows. Сбрасываются все настройки, внесенные с помощью редактора групповой политики, однако не сбрасываются все изменения, внесенные в реестре напрямую через regedit.exe, REG- файлы, через доменные GPP или любым другим способом.
- Remove From My Forums
-
Question
-
Hi there
Re: Windows 7 advanced security settings
Some of the permissions have been changed and I would like to find a way to reset all the permissions to the default settings. Can anyone provide a quick way to reset all permissions to default? I would be truly grateful. Thanks. 🙂
Kind regards
meTech
Answers
-
Or you can seek on the Knowledge Base … http://support.microsoft.com/kb/313222 🙂
Tis article is for windows vista but i works also for windows 7.Just run in a evalated prompt the following command.
secedit /configure /cfg %windir%infdefltbase.inf /db defltbase.sdb /verboseKind RegardsDFT
IM me — TWiTTer: @DFTER
-
Marked as answer by
Friday, January 8, 2010 9:42 PM
-
Marked as answer by
- Remove From My Forums
-
Question
-
Strange Error. I have a system running server 2012 r2 datacenter, as a development environment and workstation for my use.
It is not running AD, and is not joined to the domain. It sits on its own isolated network actually, and thus has only one user. The one user I want to be the administrator account but I don’t use the administrator user name. So when I
go into the Local Security Policy and change the fieldLocal Policies —> Security Options —> Accounts: Rename administrator account
I’m not sure what the issue is. The only reason I even have to do this is because of the (as far as <g class=»gr_ gr_561 gr-alert gr_tiny gr_spell undefined ContextualSpelling multiReplace» data-gr-id=»561″ id=»561″>i</g>
can tell) unchangeable policy preventing anyone but built in administrator from burning discs…Does anyone have any ideas here?
Thanks!
Answers
-
Try to reset database, something like this:
secedit /configure /cfg %windir%infdefltbase.inf /db defltbase.sdb /verbose
Luck!
-
Proposed as answer by
Wednesday, January 6, 2016 1:16 PM
-
Marked as answer by
Amy Wang_
Friday, January 8, 2016 3:31 AM
-
Proposed as answer by
-
Hi Timothy,
Does this issue occur when modifying other policy settings?
I suggest you check permissions configured on the
secedit.sdb file under C:Windowssecuritydatabase, ensure that
SYSTEM and Administrators group have Full Control.Best Regards,
Amy
Please remember to mark the replies as answers if they help and un-mark them if they provide no help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.
-
Proposed as answer by
Amy Wang_
Wednesday, January 6, 2016 1:16 PM -
Marked as answer by
Amy Wang_
Friday, January 8, 2016 3:31 AM
-
Proposed as answer by
- Remove From My Forums
-
Question
-
Strange Error. I have a system running server 2012 r2 datacenter, as a development environment and workstation for my use.
It is not running AD, and is not joined to the domain. It sits on its own isolated network actually, and thus has only one user. The one user I want to be the administrator account but I don’t use the administrator user name. So when I
go into the Local Security Policy and change the fieldLocal Policies —> Security Options —> Accounts: Rename administrator account
I’m not sure what the issue is. The only reason I even have to do this is because of the (as far as <g class=»gr_ gr_561 gr-alert gr_tiny gr_spell undefined ContextualSpelling multiReplace» data-gr-id=»561″ id=»561″>i</g>
can tell) unchangeable policy preventing anyone but built in administrator from burning discs…Does anyone have any ideas here?
Thanks!
Answers
-
Try to reset database, something like this:
secedit /configure /cfg %windir%infdefltbase.inf /db defltbase.sdb /verbose
Luck!
-
Proposed as answer by
Wednesday, January 6, 2016 1:16 PM
-
Marked as answer by
Amy Wang_
Friday, January 8, 2016 3:31 AM
-
Proposed as answer by
-
Hi Timothy,
Does this issue occur when modifying other policy settings?
I suggest you check permissions configured on the
secedit.sdb file under C:Windowssecuritydatabase, ensure that
SYSTEM and Administrators group have Full Control.Best Regards,
Amy
Please remember to mark the replies as answers if they help and un-mark them if they provide no help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.
-
Proposed as answer by
Amy Wang_
Wednesday, January 6, 2016 1:16 PM -
Marked as answer by
Amy Wang_
Friday, January 8, 2016 3:31 AM
-
Proposed as answer by
Редактор локальной групповой политики — мощный инструмент, позволяющий тонко настраивать параметры Windows. Применяется он в основном системными администраторами, а при понимании дела с таким же успехом его могут использовать и рядовые юзеры. Впрочем, от ошибок не застрахованы ни первые, ни вторые. Иногда случается, что вследствие неудачной настройки параметров через редактор локальных групповых политик система начинает работать некорректно.
Самое лучшее, что можно предпринять в такой ситуации, это вернуть изменённые настройки в исходное состояние. Если же изменённых настроек много, и вы при этом не помните, что именно меняли, можно прибегнуть к полному сбросу всех настроек редактора групповых политик к значениям по умолчанию. Вот как это можно сделать на примере с Windows 10.
Сбросить конфигурацию редактора политик можно через сам редактор политик. Откройте его командой gpedit.msc и перейдите по пути Конфигурация компьютера -> Административные шаблоны -> Все Параметры. Нажатием импровизированной стрелки в столбце «Состояние» отсортируйте политики таким образом, чтобы имеющие статус «Включено» и «Отключено» оказались вверху списка, так вам будет удобнее с ними работать.

Затем дважды кликните по каждой из этих политик мышкой и в окне настроек установите радиокнопку в положение «Не задано».

Те же самые действия повторите для политики в разделе «Конфигурация пользователя».

Сброс параметров редактора групповых политик также можно выполнить с помощью командной строки. Откройте консоль от имени администратора и последовательно выполните эти три команды, а затем перезагрузите компьютер:
RD /S /Q «%WinDir%System32GroupPolicy»
RD /S /Q «%WinDir%System32GroupPolicyUsers»
gpuрdаte /force

И, наконец, последний шаг — сброс к значениям по умолчанию локальных политик безопасности. Эта оснастка является своего рода расширением компонента локальных групповых политик. Открывается она командой secpol.msc. Для её сброса также можно использовать командную строку, запущенную с правами администратора. Сама команда сброса выглядит следующим образом:
secedit /configure /cfg %windir%infdefltbase.inf /db defltbase.sdb /verbose

Как и в случае с оснасткой gpedit.msc, для восстановления исходных настроек потребуется перезагрузка компьютера.
Загрузка…
Многие твики и настройки Windows (в том числе описываемые на этом сайте) затрагивают изменение параметров локальной групповой политики или политик безопасности с помощью соответствующего редактора (присутствует в профессиональных и корпоративных версиях ОС), редактора реестра или, иногда, сторонних программ.
В некоторых случаях может потребоваться сбросить параметры локальной групповой политики на настройки по умолчанию — как правило, необходимость возникает, когда какую-то системную функцию не удается включить или отключить другим способом или невозможно изменение каких-либо параметров (в Windows 10 при этом вы можете видеть сообщение о том, что некоторыми параметрами управляет администратор или организация). В этой инструкции подробно о способах сбросить локальные групповые политики и политики безопасности в Windows 11 и Windows 10, 8.1 и Windows 7 различными способами.
Сброс вручную с помощью редактора локальной групповой политики
Первый способ сброса — использовать встроенный в Windows 11, Windows 10 и предыдущих версий в редакцииях Pro, Enterprise или Ultimate (в Домашней отсутствует) редактор локальной групповой политики. При использовании этого метода получится сбросить только политики, настроенные в разделе «Административные шаблоны», но так как у большинства пользователей параметры в других расположениях не меняются, этого может быть достаточно.
Шаги будут выглядеть следующим образом
- Запустите редактор локальной групповой политики. Для этого нажмите клавиши Win+R на клавиатуре (Win — клавиша с эмблемой Windows), введите gpedit.msc и нажмите Enter.
- Раскройте раздел «Конфигурация компьютера» — «Административные шаблоны» и выберите пункт «Все параметры». Выполните сортировку по столбцу «Состояние». Обратите внимание: сортировка выполняется по алфавиту, то есть отключенные политики, если отсортировать состояние как на изображении ниже, окажутся внизу списка.

- Для всех параметров, у которых значение состояния отличается от «Не задана» (то есть в состоянии указано Включена или Отключена) дважды кликните по параметру и установите значение «Не задано».

- Проверьте, нет ли в аналогичном подразделе, но в «Конфигурация пользователя» политик с заданными значениями (включено или отключено). Если есть — поменяйте на «Не задана».
Готово — параметры всех локальных политик были изменены на те, которые установлены по умолчанию в Windows (а они именно не заданы).
Как сбросить локальные политики безопасности в Windows 10, 8 и Windows 7
Для локальных политик безопасности есть отдельный редактор — secpol.msc, однако, способ для сброса локальных групповых политик здесь не подойдет, потому как некоторых из политик безопасности по умолчанию уже имеют заданные значения.
Для сброса вы можете использовать командную строку, запущенную от имени администратора (Как запустить командную строку от имени администратора в Windows 11, Запуск командной строки от администратора в Windows 10 и предыдущих версиях ОС), в которую следует ввести команду
secedit /configure /cfg %windir%infdefltbase.inf /db defltbase.sdb /verbose
и нажать Enter.

Удаление локальных групповых политик для восстановления значений по умолчанию
Важно: этот способ потенциально нежелателен, выполняйте его только на свой страх и риск. Также этот способ не сработает для политик, измененных путем внесения правок в редакторе реестра минуя редакторы политик.
Политики загружаются в реестр Windows из файлов в папках WindowsSystem32GroupPolicy и WindowsSystem32GroupPolicyUsers. Если удалить эти папки (может потребоваться загрузиться в безопасном режиме) и перезагрузить компьютер, политики будут сброшены на настройки по умолчанию.
Удаление можно произвести и в командной строке, запущенной от имени администратора, по порядку выполнив команды (последняя команда выполняет перезагрузку политик):
RD /S /Q "%WinDir%System32GroupPolicy" RD /S /Q "%WinDir%System32GroupPolicyUsers" gpupdate /force
Видео инструкция
Если ни один из способов вам не помог, можно Сбросить Windows 11 к заводским настройкам или Сбросить Windows 10 (доступно и в Windows 8/8.1) на настройки по умолчанию, в том числе и с сохранением данных.
Может наступить время, когда вы захотите или вам нужно сбросить настройки безопасности Windows на значения по умолчанию. Возможно, вы их испортили при настройке вручную или, возможно, ваш компьютер только что восстановился после заражения вредоносным ПО. Если по какой-либо причине вы хотите сбросить все настройки безопасности Windows 10, Windows 8, Windows 7 или Windows Vista на значения по умолчанию, вы можете сделать это следующим образом:
Сброс настроек безопасности Windows
Откройте командную строку с повышенными привилегиями и введите следующую команду:
secedit/configure/cfg% windir% inf defltbase.inf/db defltbase.sdb/verbose
Нажмите Enter.
После этого стандартные учетные записи пользователей могут больше не отображаться на экране входа в систему при перезагрузке компьютера или попытке переключения пользователей.
Это происходит потому, что стандартные учетные записи пользователей удаляются из группы «Пользователи» при сбросе настроек безопасности Windows.
Чтобы добавить учетные записи затронутых пользователей обратно в группу «Пользователи», выполните следующие действия.
Откройте командную строку с повышенными правами. В окне командной строки введите net users и нажмите Enter. Список учетных записей пользователей будет отображаться.
Для каждого имени учетной записи, указанного в командной строке, которое отсутствует в окне входа в систему или переключения пользователя, введите следующую команду и нажмите Enter.
net localgroup users account/add
В Windows10/8/7/Vista файл Defltbase.inf является шаблоном конфигурации безопасности для безопасности по умолчанию. Вы можете просмотреть настройки для этого файла в следующем месте:
% Windir% Inf Defltbase.inf
Вы увидите все сделанные изменения во вновь созданном файле журнала, расположенном по следующему адресу:
C: Windows безопасность журналы Scesrv.log
Если вы не хотите делать это вручную, вы можете просто использовать Microsoft Fix it 50198, чтобы сделать все это автоматически.
ПРИМЕЧАНИЕ . Настройки безопасности состоят из настроек, определенных в deftbase.inf, дополненных настройками, применяемыми в процессе операционной установки и при установке роли сервера. Поскольку не поддерживается поддерживаемый процесс для воспроизведения разрешений, предоставленных установкой операционной системы, использование secedit/configure/ cfg % windir% inf defltbase.inf/ db Командная строка defltbase .sdb/verbose больше не может сбрасывать все настройки безопасности по умолчанию.
Способ сброса настроек брандмауэра Windows на значения по умолчанию также может вас заинтересовать.