Windows’ta Local group policy ayarlarını sıfırlama

maketecheasier

Windows’ta kullanıcı ve sistem ayarlarını yapılandırmak için ana araçlardan biri grup ilkesi nesneleridir (GPO). Local ve etki alanı ilkeleri (bir bilgisayar Active Directory etki alanında ise) bilgisayarlara ve kullanıcılara uygulanabilir. Grup politikaları, bir sistemi yapılandırmak, performansını ve güvenliğini artırmak için en kullanışlı araçtır. Bununla birlikte, bilgisayarların güvenliği konusunda bazı testler yapmak isteyen sistem yöneticileri, local ya da domain GPO’nun bazı ayarlarını hatalı olarak yapılandırabilir ve farklı sorunlarla karşılaşabilir.

Bu tür durumlarda, local olarak oturum açamadığınızda veya hangi group policy ayarlarının sorun oluşturduğunu tam olarak bilmediğinizde, gpo ayarlarını varsayılan durumuna sıfırlamak için komut dosyasını kullanmanız gerekir.

Bu makalede, local ve domain ilkesi ayarlarının varsayılan değerlere sıfırlanması için çeşitli yöntemler göstereceğim. Bu yazıda verilen komutlar desteklenen tüm Windows sürümlerinde GPO ayarlarını sıfırlamak için kullanılabilir. Windows 7 ile başlayıp Windows 10 ile biten ve Windows Server’ın tüm sürümleri için geçerlidir. (2008 / R2, 2012 / R2 ve 2016)

Gpedit.msc konsolunu kullanarak local group policy sıfırlama

Bu yöntem, yapılandırılmış tüm ilkeleri devre dışı bırakmak için local group policy konsolunun ( gpedit.msc ) GUI’sini kullanmayı içerir. Grafiksel local GPO editörü yalnızca Pro, Enterprise ve Education Windows sürümlerinde kullanılabilir.

Not→ Windows Home Edition üzerinde, Local Group Policy konsolu bulunmaz.

Gpedit.msc ile bileşeni çalıştırın ve All Settings bölümüne gidin (Local Computer Policy -> Computer Configuration – > Administrative templates). Bu bölüm, local yönetim şablonlarında yapılandırma için mevcut olan tüm politikaların bir listesini içerir. Politikaları state sütununa göre sıralayın ve tüm etkin politikaları bulun. Bunları veya bazılarını, Not configured duruma getirerek kapatın.

User Configuration bölümünde aynı adımları gerçekleştirin. Böylece, administrative GPO şablonlarının tüm ayarlarını kapatabilirsiniz.

İpucu→ Uygulanan tüm local ve domain gpo ayarlarının listesini, GPResult komutunu kullanarak html raporu şeklinde görüntüleyebilirsiniz.
gpresult /hc:\PS\GPRreport.html

Buraya kadar daha basit durumlarda yapılacak adımları açıkmaya çalıştım. Grup ilkelerinin yanlış yapılandırılması, gpedit.msc ek bileşeninin veya tüm programların başlatılamaması, yönetici ayrıcalıklarının kaybı veya local oturum açma kısıtlaması gibi daha ciddi sorunlara neden olabilir. Bu vakaları daha ayrıntılı olarak ele alalım.

Tüm local group policy ayarlarını komut istemi’nden varsayılana sıfırla

Bu bölümde, Windows’taki tüm group policy ayarlarının nasıl zorlanacağına değineceğim. Bununla birlikte, ilk olarak, Windows’da yönetimsel grup ilkesi şablonlarının çalışması mantığıyla ilgili bazı kurallarını açıklamaya çalışacağım.

Grup ilkesinin mimarisi, özel Registry.pol dosyalarını temel alır. Bu dosyalar, yapılandırılmış group policy ayarlarına karşılık gelen kayıt defteri ayarlarını depolar. Kullanıcı ve bilgisayar policyleri farklı Registry.pol dosyalarında depolanır.

  • Bilgisayar ayarları (Computer Configuration)% SystemRoot% \ System32 \ GroupPolicy \ Machine \ registry.pol dosyasında depolanır.
  • Kullanıcı ayarları (User Configuration)% SystemRoot% \ System32 \ GroupPolicy \ User \ registry.pol dosyasında depolanır.

Başlatma sırasında, sistem \ Machine \ Registry.pol içeriğini HKEY_LOCAL_MACHINE (HKLM) sistem kayıt defteri anahtarına aktarır. Bir kullanıcı sistemde oturum açtığında \ User \ Registry.pol dosyasının içeriği HKEY_CURRENT_USER (HKCU) ‘ya aktarılır.

Local Group Policy Editor başlatıldığında, bu dosyaların içeriğini yükler ve bunu kullanıcı dostu bir grafik biçiminde gösterir. GPO düzenleyicisini kapattığınızda, yaptığınız değişiklikler Registry.pol dosyalarına yazılır. Grup ilkelerini güncelleştirdikten sonra ( gpupdate / force komutunu kullanarak) yeni ayarlar kayıt defterine düşer.

İpucu→ Registry.pol dosyalarını değiştirmek için sadece GPO editörü konsolunu kullanmak yeterlidir. Registry.pol dosyalarını elle veya GPO Editor’ün eski sürümlerini kullanarak düzenlemeniz önerilmez!

Local group policy’nin tüm geçerli ayarlarını sıfırlamak için, GroupPolicy dizinindeki Registry.pol dosyalarını silmeniz gerekir. Bunu aşağıdaki komutlarla yapabilirsiniz. Komut istemini yönetici ayrıcalıklarıyla çalıştırın.

RD /S /Q “%WinDir%\System32\GroupPolicyUsers”
RD /S /Q “%WinDir%\System32\GroupPolicy”

Bundan sonra, kayıt defterindeki ilke ayarlarını güncellemeniz gerekir.

gpupdate /force

Bu komutlar, Computer Configuration ve User Configuration bölümlerindeki tüm local grup ilkesi ayarlarını sıfırlar.

Gpedit.msc bileşenini açın ve tüm politikaların Not Configured durumunda olduğundan emin olun. Gpedit.msc konsolunu çalıştırdıktan sonra, silinen klasörler varsayılan ayarlarla otomatik olarak oluşturulacaktır.

Windows’ta local security policies sıfırlama

Local security policies ayrı bir MMC konsolunda yapılandırılmıştır – secpol.msc. Bilgisayardaki sorunlar local güvenlik ayarlarından kaynaklanıyorsa ve kullanıcı sisteme ve yönetici ayrıcalıklarına erişimi koruyorsa, öncelikle güvenlik ayarlarını varsayılan değerlere sıfırlamak daha iyidir. Bunu yapmak için yönetici altında aşağıdaki komutu çalıştırın.

  • Windows 10, Windows 8.1 / 8 ve Windows 7: secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb /verbose
  • Windows XP’de: secedit /configure /cfg %windir%\repair\secsetup.inf /db secsetup.sdb /verbose

Bundan sonra bilgisayarı yeniden başlatın.

Güvenlik ilkeleriyle ilgili sorunların devam etmesi durumunda, local security policies veritabanını dosyasını % windir% \ security \ database \ edb.chk olarak yeniden adlandırmayı deneyin.

ren %windir%\security\database\edb.chk edb_old.chk

Komutu çalıştırın.
gpupdate /force

Windows’u yeniden başlatın.
Shutdown –f –r –t 0

Windows’ta oturum açamıyorsanız local policy’leri nasıl sıfırlayabilirsiniz?

Sisteme local olarak giriş yapmak imkansızsa veya komut satırını çalıştıramazsanız, herhangi bir Windows yükleme diskinden veya bir LiveCD’den başlatarak Registry.pol dosyalarını silebilirsiniz.

  • Herhangi bir Windows yükleme medyasından önyükleme yapın ve komut istemini çalıştırın (Shift + F10)
  • Diskpark komutunu çalıştırın.
    diskpart
  • Ardından sistemdeki birimler listesini görüntüleyin.
    list volume
    Bu durumda, sistem diskine atanan harf, sistemin harfine karşılık gelir – C: \. Ancak bazen bunlar farklı olabilir. Yani aşağıdaki komutlar sistem diskinizde çalıştırılmalıdır (örneğin, D: \ or C: \)
  • Diskpart’ı kapatın.
    exitAşağıdaki komutları tek tek çalıştırın: Windows 7 GPO ayarlarını sıfırlayın. Cd’den yükleyin.

RD / S / Q С : \ Windows \ System32 \ GroupPolicy
RD / S / Q С : \ Windows \ System32 \ GroupPolicyUsers

Bilgisayarı normal modda yeniden başlatın ve local grup ilkesi ayarlarının varsayılan değerlerine sıfırlandığından emin olun.

Domain GPO ayarlarını sıfırlama

Bilgisayarın bir Active Directory etki alanına dahil olması durumunda, bazı ayarlar etki alanı tabanlı GPO’lar aracılığıyla bir domain administrator tarafından yönetilebilir.

Uygulanan tüm etki alanı grup ilkelerinin registry.pol dosyaları, % windir% \ System32 \ GroupPolicy \ DataStore \ 0 \ SysVol \ contoso.com \ Policies dizininde depolanır. Her politika, etki alanı ilkesinin GUID’si ile ayrı bir klasörde depolanır.

Bu registry.pol dosyaları aşağıdaki kayıt defteri anahtarlarına karşılık gelir.

HKLM \ Software \ Policies \ Microsoft
HKCU \ Software \ Policies \ Microsoft
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Group Policy Objects
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies

İstemcide uygulanan domain policy sürümleri tarihsel olarak aşağıdaki dizinlerde bulunur.

HKLM \ YAZILIM \ Microsoft \ Windows \ CurrentVersion \ Group Policy \ History \
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Group Polic \ History \

Bir bilgisayarı etki alanından kaldırırsanız, bilgisayardaki etki alanı ilkelerinin bulunduğu registry.pol dosyaları silinecek ve buna göre kayıt defterine yüklenmeyecektir.

Domain GPO ayarlarını zorlamanız gerekiyorsa, % windir% \ System32 \ GroupPolicy \ DataStore \ 0 \ SysVol \ contoso.com \ Policies dizinini temizlemeniz ve belirtilen kayıt defteri anahtarlarını silmeniz gerekir. Ardından aşağıdaki komutu çalıştırın.
gpupdate /force /boot

İpucu→ Bu yöntem, tüm desteklenen Windows sürümlerinde tüm local GPO ayarlarını sıfırlamaya izin verir. Group Policy Editor ile yapılan tüm ayarlar sıfırlanacaktır. Ancak kayıt defteri düzenleyicisine, REG dosyalarına veya başka bir yolla doğrudan kayıt defterinde yapılan değişiklikler silinmeyecektir.
KAYNAKWINDOWS