Локальная политика безопасности windows 10 где находится

Обновлено: 02.07.2024

Групповые политики — это параметры, управляющие функционированием системы. Групповая политика упрощает администрирование, предоставляя администраторам централизованный контроль над привилегиями, правами и возможностями пользователей и компьютеров.

Изменять групповые политики можно с помощью Редактора локальной групповой политики.

В редакциях операционной системы Windows 7 Starter, Home Basic и Home Premium редактор локальной групповой политики недоступен. Также он недоступен в редакциях Home Windows 8 и 10.

Групповые политики в Windows 10 позволяют управлять различными штатными средствами системы:

  1. Политики для настройки встроенного брандмауэра Windows;
  2. Политики для управления электропитанием;
  3. Политики для настройки панели управления, панели задач и др.
  4. Политики для настройки антивирусной защиты;
  5. Политики для управления подключаемых устройств;
  6. Политики для настройки штатных средств шифрования
  7. Политики для настройки штатного браузера;
  8. Политики для настройки беспроводных сетей и многое многое другое.

Для настройки параметров в операционной системе MS Windows 10 используется оснастка Редактор локальной групповой политики. Данная оснастка служит для просмотра и редактирования объектов групповой политики (Group Policy Object, GPO), в которых хранятся параметры локальных политик для компьютера и пользователей.

Оснастку Редактор объектов групповой политики можно запустить, например, введя в окне Выполнить, либо в поисковой строке gpedit.msc.


Рис.1 Окно Выполнить

Оснастка Локальная политика безопасности входит в состав оснастки Редактор


Рис.2 Создание ярлыка для оснастки Редактор локальной групповой политики

Чтобы работать с объектами локальной групповой политики, необходимо войти в систему с учетной записью администратора.

Содержание

Структура редактора групповой политики

Оснастка Редактор локальной групповой политики позволяет изменять политики, распространяющиеся как на компьютеры, так и на пользователей.

В панели пространства имен оснастки Редактор локальной групповой политики представлено два узла: Конфигурация компьютера и Конфигурация пользователя.

Узел Конфигурация компьютера содержит параметры политик, определяющих работу компьютера. Эти политики регулируют функционирование операционной системы, определяют права пользователей в системе, работу системных служб и средств безопасности и т. д.

Узел Конфигурация пользователя содержит параметры политик, определяющих работу пользователей.


Рис.3 Редактор локальной групповой политики

Изменение в групповых политиках по умолчанию в операционной системе Windows применяются через полтора часа (90 мин.). За данную настройку опять же отвечает отдельная политика. Частота обновления определяется политикой Интервал обновления групповой политики для компьютеров, которая расположена в узле Конфигурация компьютера > Административные шаблоны > Система > Групповая политика. Интервал указывается в минутах и определяет, как часто компьютер будет предпринимать попытку обновления политик. Рационально уменьшать интервал обновления групповой политики при частом применении изменений.


Рис.4 Настройка частоты обновления политик


Рис.5 Настройка частоты обновления политик

Если необходимо чтобы изменения групповых политик вступили в силу немедленно, можно принудительно применить измененные параметры, которые были внесены в редакторе локальной групповой политики несколькими способами:

  • осуществить перезагрузку операционной системы
  • использовать утилиту gpupdate.exe для принудительного обновления групповой политики. Для этого необходимо либо в окне Выполнить, либо в командной строке ввести gpupdate /force и нажать ОК.


Рис.6 Обновление политик в командной строке

С использованием параметра /target можно указать, будет ли это обновление параметров применяться только для пользователя или только для компьютера. Если не указано, обновляются параметры обеих политик.

Например, для выполнения обновления политик для пользователя, необходимо ввести gpupdate /target:user .


Рис.7 Обновление политик для пользователя в командной строке

Пример последовательности действий при редактировании определенной политики

Чтобы на примере рассмотреть настройку политик, в данной статье будет описан механизм скрытия всех апплетов Панели управления, кроме определенных. При администрировании рабочей станции иногда бывает целесообразно скрыть для неопытного пользователя большую часть апплетов Панели управления, оставив только необходимые. Для этого:

  • Войти в систему под учетной записью администратора.
  • Запустить Редактор локальной групповой политики
    • Открыть окно Выполнить,
    • Ввести gpedit.msc,
    • Нажать Enter.


    Рис.8 Редактирование параметра политики Отображать только указанные объекты панели управления

    • Дважды щелкнуть ЛКМ по параметру политики Отображать только указанные объекты панели управления.
    • Выбрать значение Включено.


    Рис.9 Редактирование параметра политики Отображать только указанные объекты панели управления

    • Нажать кнопку Показать, чтобы вызвать диалоговое окно Вывод содержания.
    • Ввести имя апплета или апплетов, которые необходимо показывать в Панели управления, и нажать Enter.


    Рис.10 Список разрешенных элементов панели управления

    • Нажать OK.
    • Закрыть редактор локальной групповой политики
    • Проверить результат

    Для некоторых политик, чтобы изменения вступили в силу сразу, необходимо в окне Выполнить ввести gpupdate /force .


    Рис.11 Список элементов панели управления до изменения параметра локальной групповой политики


    Рис.12 Список элементов панели управления после изменения параметра локальной групповой политики

    Чтобы настраивать политики для конкретных пользователей, в операционной системе Windows применяется многоуровневая локальная групповая политика:

    • стандартная локальная групповая политика, позволяющая изменять системные и пользовательские настройки, которые будут применены для всех пользователей операционной системы;
    • групповая политика для администраторов и не администраторов. Эта групповая политика содержит только конфигурационные параметры пользователя и применяется в зависимости от того, является ли используемая учетная запись пользователя членом локальной группы Администраторы или нет;
    • групповая политика для конкретного пользователя. Эта групповая политика содержит только конфигурационные параметры конкретного пользователя

    Последовательность действий при добавлении объектов групповой политики через консоль управления (Microsoft Management Console, MMC)

    Добавление объекта групповой политики первого уровня

    • В окне Выполнить ввести MMC и нажать Enter
    • Открыть меню Файл и выбрать опцию Добавить или удалить оснастку


    Рис.13 Добавление оснастки через консоль управления

    • Найти и выделить Редактор объектов групповой политики и нажать кнопку Добавить


    Рис.14 Диалоговое окно Добавление и удаление оснасток

    • В открывшемся мастере групповой политики в поле Объект групповой политики оставить по умолчанию Локальный компьютер (первый уровень, стандартная локальная политика) и нажать кнопку Готово.


    Рис.15 Диалоговое окно выбора объекта групповой политики

    Добавление объекта групповой политики второго уровня

    • В окне Добавление и удаление оснасток добавить новую оснастку Редактор объектов групповой политики.
    • В мастере групповой политики в поле Объект групповой политики нажать кнопку Обзор.
    • На вкладке Пользователи выбрать Администраторы и нажать кнопку ОК и Готово


    Рис.16 Настройка объекта групповой политики второго уровня

    Добавление объекта групповой политики третьего уровня

    • В окне Добавление и удаление оснасток добавить новую оснастку Редактор объектов групповой политики.
    • В мастере групповой политики в поле Объект групповой политики нажать кнопку Обзор.
    • На вкладке Пользователи выбрать нужную учетную запись.
    • Нажать ОК, чтобы закрыть диалоговое окно Добавление и удаление оснасток.


    Рис.17 Консоль управления

    • Для удобства, используя команды в главном меню Файл >Сохранить как, сохранить файл консоли управления на рабочем столе для последующего редактирования политик.

    Теперь, используя данную консоль, можно настраивать политики для определенных пользователей.

    Описывает действия по настройке параметра политики безопасности на локальном устройстве, на устройстве, соединяемом с доменом, и на контроллере домена.

    Для выполнения этих процедур необходимо иметь права администраторов на локальном устройстве или иметь соответствующие разрешения на обновление объекта групповой политики (GPO) на контроллере домена.

    Если локальный параметр недоступен, это указывает на то, что GPO в настоящее время контролирует этот параметр.

    Настройка параметра с помощью консоли Local Security Policy

    Чтобы открыть локализованную политику безопасности на экране Начните, введите secpol.mscи нажмите кнопку ENTER.

    В Параметры панели безопасности консоли сделайте одно из следующих:

    • Щелкните Политики учетной записи, чтобы изменить политику паролей или политику блокировки учетных записей.
    • Щелкните локальные политики, чтобы изменить политику аудита, назначение прав пользователей илипараметры безопасности.

    При нажатии параметра политики в области сведений дважды щелкните политику безопасности, которую необходимо изменить.

    Измените параметр политики безопасности и нажмите кнопку ОК.

    • Некоторые параметры политики безопасности требуют перезапустить устройство до того, как параметр вступает в силу.
    • Изменения прав пользователя вступают в силу при его следующем входе в учетную запись.

    Настройка параметра политики безопасности с помощью консоли Редактор локальной групповой политики

    Для выполнения этих процедур необходимо иметь соответствующие разрешения на установку и использование консоли управления Microsoft (MMC) и обновление объекта групповой политики (GPO) на контроллере домена.

    Откройте редактор локальной групповой политики (gpedit.msc).

    В дереве консоли нажмите кнопку Конфигурациякомпьютера, нажмите кнопку Windows Параметрыи нажмите кнопку Безопасность Параметры.

    Выполните одно из следующих действий.

    • Щелкните Политики учетной записи, чтобы изменить политику паролей или политику блокировки учетных записей.
    • Щелкните локальные политики, чтобы изменить политику аудита, назначение прав пользователей илипараметры безопасности.

    В области сведений дважды щелкните параметр политики безопасности, который необходимо изменить.

    Если эта политика безопасности еще не определена, выберите поле Определение этих параметров политики.

    Измените параметр политики безопасности и нажмите кнопку ОК.

    Если вы хотите настроить параметры безопасности для многих устройств в сети, вы можете использовать консоль управления групповой политикой.

    Настройка параметра контроллера домена

    Следующая процедура описывает настройку параметра политики безопасности только для контроллера домена (от контроллера домена).

    Чтобы открыть политику безопасности контроллера домена в дереве консоли, найдите GroupPolicyObject [ComputerName] Политика, щелкните Конфигурация компьютера, нажмите кнопку Windows Параметры, а затем нажмите кнопку Параметры .

    Выполните одно из следующих действий.

    • Дважды щелкните политики учетных записей для редактирования политики паролей, **** политики блокировки учетных записей или политики Kerberos.
    • Щелкните локальные политики, чтобы изменить политику аудита, назначение прав пользователей илипараметры безопасности.

    В области сведений дважды щелкните политику безопасности, которую необходимо изменить.

    Если эта политика безопасности еще не определена, выберите поле Определение этих параметров политики.

    Измените параметр политики безопасности и нажмите кнопку ОК.

    Редактор ЛГП — это специальная программа в составе системы, с помощью которой можно настраивать множество различных параметров ОС. В этой обширной статье мы расскажем, как запустить это приложение разными методами.

    Общие сведения о программе

    Редактор групповой политконики не является каким-либо нововведением. Это приложение существует и в более старых версиях семейства Windows. В десятке утилиту можно найти в версиях Pro и Enterprise, а в домашней редакции она полностью отсутствует. Открыть редактор можно огромным количеством способов, о которых мы в подробностях расскажем далее.

    Вариант №1: Используем диалоговое окно «Выполнить»

    Таким способом можно быстро запустить почти любую программу, входящую в состав ОС. Чтобы открыть редактор ЛГП, нам понадобится проделать следующие шаги:

    1. Нажимаем клавиатурнуюкомбинацию «Windows+R», чтобы вызвать окно «Выполнить» .
    2. Далее в строку вводим команду gpedit.msc
    3. Нажимаем на кнопку «ОК» .

    4. На экране сразу же появится редактор.

    Вариант №2: Запуск программы при помощи командной строки

    Как и в предыдущем способе, ту же самую команду можно применить и в консоли Windows. Чтобы это осуществить, проделаем следующее:

    1. Запускаем «Командную строку» , воспользовавшись клавиатурной комбинацией «WIN+X» или выбрав нужный нам пункт из контекстного меню кнопки «Пуск» .

    2. Далее в новое окно вписываем gpedit.msc

    3. Нажимаем «Enter», чтобы запустить приложение.

    После выполненных операций редактор появится на экране.

    Вариант №3: Запуск программы из поисковых результатов

    При помощи встроенной в систему функции поиска можно запустить редактор групповой политики. Сделать это будет даже проще, чем в предыдущих вариантах, так как не потребуется запоминать различные команды. Проделаем следующие шаги:

    1. Нажимаем клавиатурную комбинацию «WIN+S» для отображения окна поиска или вызываем его, кликнув по соответствующей кнопке на нижней панели.
    2. После этого начинаем вводить текст – Изменение групповой политики .

    3. В поисковых результатах появится нужная нам программа, и её можно будет открыть.

    Вариант №4: Открываем редактор из системной папки

    Описываемая в нашей статье утилита по своей сути является обычным приложением, и соответственно её можно найти на диске, где установлена операционная система. Редактор групповой политики по умолчанию находится по следующему адресу:

    C:\Windows\System32\gpedit.msc

    Если Windows установлен на другой диск, то в адресе нужно будет изменить букву накопителя. Перейти в нужную нам папку можно поочерёдно, открыв соответствующие директории или просто скопировав и вставив путь в адресную строку проводника. После этого необходимо нажать «ENTER» – так редактор будет сразу запущен.

    Если пользователю нужно отыскать сам файл программы, то потребуется просто перейти в каталог C:\Windows\System32\ и среди большого количества находящихся там файлов отыскать приложение с именем gpedit.msc

    Примечание: в проводник Windows можно также вписать только название программы (gpedit.msc) без указания адреса. После того, как пользователь нажмет «ENTER», редактор тут же запустится.

    Вариант №5: Используем «Консоль управления»

    Редактор политики в «десятке» также открывается при помощи консоли управления ММС, которая обычно используется системными администраторами. В неё можно добавить все требуемые приложения для настройки системы.

    При использовании такого варианта имеется преимущество, которое состоит в том, что файл для открытия редактора может быть сохранен в нужном пользователю месте на компьютере, включая десктоп. Для запуска консоли ММС с настройками локальной политики таким способом нам нужно будет сделать следующее:

    1. Открываем поиск системы и вводим запрос mmc.
    2. Далее кликаем по найденной программе, чтобы её запустить.
    Открываем «Консоль управления» из поисковых результатов Открываем «Консоль управления» из поисковых результатов

    3. В окне приложения вызываем меню «Файл» .

    4. Далее кликаем по пункту «Добавить/удалить оснастку» . Также для осуществления этой операции можно воспользоваться клавиатурной комбинацией «CTRL+M» .

    5. В новом окне, из списка слева, выбираем пункт «Редактор объектов» .

    6. После этого нажимаем на кнопку «Добавить» .

    7. Далее подтверждаем проведение нужной нам операции, нажав на кнопку «Готово» .

    8. И кликаем по кнопке «ОК», вернувшись в предыдущее окно.

    Добавленный нами компонент отобразится в списке доступных оснасток, и его можно будет использовать.

    Вот такими способами можно запустить редактор политики в «десятке», однако удобнее всего будет сделать ярлык для этой программы. Расскажем далее, как это можно осуществить.

    Вариант №6: Создаем ярлык для открытия редактора

    Если пользователь планирует часто пользоваться редактором, то удобнее всего будет создать ярлык для утилиты. Используя такой способ, не потребуется запоминать команды или адрес для открытия программы. Чтобы создать ярлык, нам понадобится сделать следующее:

    1. Переходим на рабочий стол и нажимаем правой кнопкой мышки по незанятому иконками месту.
    2. Далее из контекстного меню выбираем пункт «Создать» .
    3. После этого кликаем по варианту «Ярлык» .

    4. В новом окне указываем путь к файлу редактора. C:\Windows\System32\gpedit.msc

    5. В новом окне указываем путь к файлу редактора. C:\Windows\System32\gpedit.msc

    6. Задаём любое название ярлыку (на выбор пользователя) и нажимаем по кнопке «Готово» .

    После того как данная операция будет проведена, на десктопе появится созданный нами ярлык редактора, запустить который можно будет обычным способом.

    Заключение

    Открыть редактор групповой политики в версиях «десятки» Pro или Enterprise можно самыми различными способами. Выбор варианта запуска программы остаётся за пользователем, однако при частом использовании приложения лучше будет создать для него ярлык. А вот если утилитой нужно воспользоваться только один раз, то легче всего будет её открыть при помощи диалогового окна «Выполнить» , вписав туда соответствующую команду.

    Windows

    Если вы посчитали, что, настроив на своём сервере антивирусы, вы на 100% обезопасили себя и своих клиентов от каких бы то ни было инцидентов, то это ещё не всё. Вам не помешают групповые настройки, исключающие любые ошибки.

    Зачем в Windows нужна локальная политика безопасности

    Групповая (локальная) политика безопасности (ГПБ/ЛПБ) — это программные средства, обеспечивающие согласованную и максимально эффективную работу компьютеров компании или учреждения. Иметь высокую производительность труда, экономя время и ресурсы — это о вас, если на ПК и ноутбуках под управлением Windows работают настройки группового соединения: вместе эти компьютеры образуют единое целое, помогающее вашей конторе расти и развиваться дальше. Для этого требуется их подключение к одному домену.

    Какая версия Windows 10 подходит для настроек групповой политики

    Вам нужна Professional/Enterprise — её используют работники частных фирм и госслужащие. Дело в том, что в версии Home/Starter, предназначенной для обычных пользователей, нет компонента gpedit.exe (англ. Group Politics Editor) — нужна его принудительная установка.

    Почему в Windows Home/Starter нет инструмента GPEdit

    В Home/Starter ГПБ представлена лишь службой «Клиент групповой политики», которую можно отключить совсем. Да и зачем она, если доступ к расширенным настройкам закрыт? Сделано это для предотвращения изменений, вносимых в настройки ОС вредоносным ПО под именем администратора.

    Где находится и как работает локальная политика безопасности

    Локальные средства безопасности «десятки» управляются службой «Клиент групповой политики». Если эта служба отключена, средство Group Politics Editor не запустится или будет давать сбои в настройке.

    Запуск редактора локальной политики безопасности Windows 10

    Дайте команду «Пуск — Выполнить» и введите в открывшейся строке команду gpedit.msc.

    Запускаем редактор ЛПБ в Windows 10

    Подтвердите ввод, нажав OK

    Запустить редактор также можно, введя «gpedit» в поиске главного меню Windows 8/10.

    Функционал редактора групповой политики

    Настройка сервиса ГПБ включает в себя:

    • конфигурацию программ — управляет сторонними приложениями;
    • конфигурацию «десятки» — управляет настройками безопасности системы;
    • административные шаблоны — фактически это замена утомительного редактирования настроек из реестра.

    Главные настройки Group Politics Editor

    Основное окно редактора показывает все настройки групповой политики

    Как выключить локальную политику безопасности

    Необходимо выключить службу «Клиент групповой политики». Но она «вшита» в Windows 7/8/10 настолько прочно, что остановить и деактивировать её с помощью встроенного мастера настройки служб, вызываемого из диспетчера задач, нельзя.

    Самый действенный способ — вмешаться в реестр системы. Сделайте следующее:

    1. Войдите в уже знакомую строку запуска программ «Выполнить» и введите команду «regedit». Откроется редактор реестра.
    2. Перейдите в директорию \HKLM\SYSTEM\CurrentControlSet\Services\gpsvc (процесс gpsvc.exe, видимый в диспетчере задач при работе «Клиента групповой политики», запускается реестром Windows из этого места).
    3. Правый щелчок мышью откроет меню папки «gpsvc» — выберите «Разрешения».

    В редакторе реестра находим папку «gpsvc», нажимаем «Разрешения»

    Смена владельца прав для процесса КГП Windows

    Без изменения имени вы не сможете добраться до полного доступа к процессу gpsvc

    Назначение неограниченных прав для службы групповой политики Windows

    Отметьте все разрешения, удалите лишних пользователей из настройки дополнительного доступа в графе «Группы или пользователи»

    Изменение автостарта клиента групповой политики Windows

    В папке gpsvc измените ключ Start, введя значение 4, и система отключится

    Оно будет появляться каждый раз, уберите его

    Чтобы его убрать, сделайте следующее:

    1. Запустите уже знакомый редактор реестра.
    2. Удалите из него папку HKLM\SYSTEM\CurrentControlSet\Control\Winlogon\Notifications\Components\GPClient.

    Папка в реестре Windows, ответственная за автозапуск GPClient

    Запустите редактор реестра и удалите из него папку GPClient

    Предварительно сохраните эту папку в отдельный файл реестра. Это делается на случай, если работу службы нужно быстро восстановить, не переустанавливая Windows. После удаления папки перезапустите компьютер — уведомление больше не появится.

    Локальная политика безопасности Windows 10 не включается

    Причины, по которым не включается служба, следующие:

    • вы скачали сборку ОС, в которой этот компонент отключён. Вам поможет код реестра (можно сохранить и запустить как отдельный reg-файл): Windows [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System] «EnableInstallerDetection»=dword:00000001. Перезапустите компьютер после запуска созданного твика;
    • вы используете Win 10 Home. Поставьте сервис «Локальная политика безопасности самостоятельно, если у вас нет сборки Professional или Enterprise. Воспользуйтесь инструкциями для Windows 7 и выполните похожее для Windows 10;
    • недостаточно прав, нужны «админские» права. Чтобы включить учётную запись администратора, воспользуйтесь командой «net user администратор /active:yes» в командной строке и зайдите в систему под именем администратора. Попытайтесь запустить редактор ГПБ заново известными выше способами. Как только надобность в GPEditor отпадёт и службу вы отключите, выйдите из учётной записи администратора и выключите его командой «net user администратор /active:no».

    Видео: как установить редактор групповой политики в Windows

    Службы и процессы групповой безопасности Windows — полезный инструмент, здорово выручающий в работе. Когда он не нужен, его легко выключить.

    Читайте также: