Чем открыть registry pol

Обновлено: 03.07.2024


В очередной статье из цикла «конспект админа» мне хотелось бы освежить в памяти несколько нюансов использования групповых политик. Заодно поразвлекаемся с созданием своих шаблонов и с автоматизацией работы с этими самыми политиками.

Я не буду рассказывать, что такое групповые политики, и остановлюсь лишь на основных моментах, которые стоит иметь в виду при работе с ними.

В системах Windows помимо доменных существуют и локальные групповые политики ― управлять ими можно при помощи оснастки gpedit.msc на системах редакции Professional и выше. Часто считается, что без домена можно настраивать локальные групповые политики только для всех пользователей на компьютере. Это не совсем верно ― с выходом Windows Vista появилась возможность использовать множественную локальную групповую политику или MLGPO. Этот механизм позволяет настраивать отдельные политики для разных пользователей.

Добраться до него можно через вызов консоли mmc: при добавлении оснастки «Управление объектами групповой политики» нажать кнопку «Обзор». Далее на вкладке «Пользователи» уже можно выбрать конкретного пользователя или группу «Администраторы» и «Не администраторы». К сожалению, управление для группы пользователей не реализовано.



Управление групповой политикой для отдельных пользователей.

Бывало и так, что на отдельностоящем терминальном сервере разворачивали Active Directory только для того, чтобы отдельному пользователю настроить поведение драйвера для EasyPrint. Не надо так.

При добавлении доменных групповых политик стоит помнить про порядок их применения ― политика, примененная последней, будет обладать наивысшим приоритетом (да и на собеседованиях часто спрашивают).

Итак, предположим, что у нас есть компьютер в домене и четыре групповые политики: локальная на этом компьютере; политика на подразделение, в котором находится компьютер; политика на домен и политика на лес. Порядок их применения будет следующим:

  1. Локальная групповая политика.
  2. Групповая политика сайта.
  3. Групповая политика домена.
  4. Групповая политика верхнего подразделения.
  5. Групповая политика дочернего подразделения.

То есть чем ближе к объекту, тем приоритетнее, за исключением локальной групповой политики. Если надо отключить применение вышестоящих политик, то ставьте блокировку наследования.



Блокировка наследования.

Любую групповую политику можно условно разделить на две конфигурации ― пользователя и компьютера. Обычно политики с настройками компьютеров назначаются на подразделение, в котором находятся компьютеры. А политики с настройками пользователей ― на пользователей.

Если надо применить настройки компьютера к подразделению с пользователями и наоборот, используют так называемое замыкание групповой политики. Например, такая настройка пригодится, когда нужно применить специфические политики к пользователям для работы на терминальных серверах.

Работа замыкания настраивается непосредственно в политике ― «Настройка компьютера ― Административные шаблоны ― Система ― Режим обработки замыкания пользовательской групповой политики». Подробнее про механизм уже писали в статье про использование Merge\Replace в GPO. Я лишь добавлю, что режим замыкания групповой политики ― тоже частый вопрос на собеседовании.



Настройка замыкания групповой политики.

Физически доменные групповые политики находятся в папке SYSVOL на контроллерах домена. Папка реплицируется между контроллерами. Каждая групповая политика выглядит как папка с именем в виде GUID.



Групповые политики домена.

Правила фильтрации, настраиваемые через редактор групповой политики, соответствуют настройкам прав NTFS на соответствующую подпапку.

Говоря о правилах фильтрации, нельзя не упомянуть обновление MS16-072, которое «сломало» групповые политики. Теперь для того чтобы работали правила фильтрации, надо добавлять к каждому фильтру правило «на чтение», но не «на применение» группе Domain Computers.

В каждой папке с групповой политикой существуют подпапки Machine и User, соответствующие настройкам пользователя и компьютера. Если углубиться в подпапки, можно легко понять структуру групповой политики:

  • В корне папки находится файл GPT.ini с настройками групповой политики, такими как ее название.
  • В подпапках Machine и User сидят файлы registry.pol с настройками соответствующих веток реестра.
  • По пути Microsoft\Windows NT\SecEdit можно найти шаблон настроек безопасности ― GptTmpl.inf.
  • В подпапке Preferences находятся предпочтения групповых политик, представляющие из себя подпапки с файлами xml.
  • В подпапке Applications сидят дистрибутивы для развертывания через групповые политики.
  • В папке Scripts находятся скрипты на logon\logoff для пользователя и startup\shutdown для компьютера.
  • В папке Documents and Settings есть настройки перенаправления пользовательских папок.
  • Наконец, в папке Adm находятся устаревшие шаблоны групповой политики.

Подробнее про структуру можно почитать в материале Group Policy Basics, поэтому перейдем сразу к шаблонам.

По сути своей административные шаблоны ― это специальные файлы с инструкциями по изменению клиентского реестра (ветки HKCU или HKLM) и настройками отображения изменяемых параметров через «Управление групповой политикой». В принципе, реестр можно менять и через «Предпочтения групповых политик». Но разница здесь не только в красивом интерфейсе.


Способ изменения реестра Как ведет себя при удалении политики со стандартными настройками Можно ли изменить параметр вручную Можно ли изменить параметр через приложение
Шаблоны Параметр реестра восстанавливается на значение «по умолчанию», если настройки по умолчанию есть в шаблоне - -
Предпочтения политик Параметр реестра не изменяется + +

Сравнение предпочтения групповых политик и административных шаблонов.

Другими словами, настройка реестра через шаблоны групповых политик более строгая. Тогда как настройка через предпочтения групповых политик напоминает периодическое применение reg-файла. Конечно, предпочтения позволяют не только менять параметры реестра, но и довольно гибко настраиваются. Тем и ценны.

Это актуально при изменении ветки Policies, и настраиваемое приложение должно хранить свои настройки в реестре. Простое изменение параметров через Предпочтения и Шаблоны будет работать схожим образом, только шаблоны могут оказаться удобнее.

До появления Windows Vista\2008 в качестве шаблона групповых политик брали исключительно стандарт .adm. Будучи с простой структурой, которую было легко редактировать вручную, этот стандарт обладал и рядом недостатков:

  • Для каждого языка приходилось создавать отдельный файл шаблона.
  • Файл шаблона физически находился в папке с групповой политикой. При использовании одного и того же шаблона он сохранялся в каждую папку, что увеличивало занимаемое место и время репликации.
  • Не поддерживались мультистроковые параметры и параметры QWORD.

На замену устаревшему стандарту появился новый. Новые шаблоны представляют собой два файла: сам шаблон, не зависимый от языка ― .admx и языковой «пакет» к нему ― файл .adml. Теперь шаблоны можно «положить» в центральное хранилище, и обращаться к нему, не плодя одинаковые файлы в папке SYSVOL.

Не обошлось без ложки дегтя ― теперь содержимое файла представляет собой популярный в индустрии формат XML. И создавать новые шаблоны в блокноте стало уже не так удобно.

Под большинство параметров, которые могут понадобиться, шаблоны уже существуют. Кроме того, многие производители приложений выпускают свои административные шаблоны. Вот несколько примеров:

Если возникает необходимость разработать и внедрить свой административный шаблон, то самый простой вариант ― это создать старый файл .adm и сконвертировать его в admx специальной утилитой. Вариант посложнее ― начинать сразу с .admx.

Для начала разберем простой пример. Создадим шаблон групповой политики, который позволит нам включать и выключать отображение скрытых и системных файлов, а заодно и отображение расширений.

Сразу скажу, что это можно провернуть через «Предпочтения групповых политик» ― в параметрах панели управления ― опции папки. Но мы легких путей не ищем и заодно не хотим, чтобы параметры отображения можно было менять вручную.

За необходимые нам параметры отвечают три ключа в реестре:

  • Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden.
  • Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt.
  • Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden.
Содержимое ADM-шаблона, который разберем далее, под спойлером.

Разберем подробнее синтаксис файла.

  • CLASS. Может принимать значение USER или MACHINE ― в зависимости от класса будет изменятся ветка реестра HKCU или HKLM соответственно.
  • CATEGORY. Строка, в которой задается имя «папки» политики.
  • POLICY. В строке задается название конкретной политики ― у нас таких будет три.
  • KEYNAME. Путь в реестре к изменяемым параметрам.
  • EXPLAIN. Отсылка к «переменной» с объяснением настройки.
  • VALUENAME. Название изменяемого параметра в реестре.
  • VALUEON**VALUEOFF**. Значение, которое будет принимать параметр при включении и выключении его в политике.
  • [strings]. Секция со значениями переменных, которые я использовал для текстовых строк. Можно их не использовать, но тогда могут быть проблемы из-за русского языка.

Помимо задействованных опций есть и другие, например:

  • EDITTEXT. Текстовое поле для ввода.
  • NUMERIC. Поле для ввода цифр.
  • CHECKBOX. Список, где можно отмечать параметры «галочками».
  • COMBOBOX. Список с «переключателем»
  • DROPDOWNLIST. Выпадающий список.
  • LISTBOX. Список для ввода нескольких элементов.

Подробнее со всеми параметрами можно ознакомится в разделе MSDN ADM Format.

Установить новый шаблон не просто, а очень просто ― достаточно щелкнуть правой кнопкой мыши по пункту «Административные шаблоны», выбрать «Добавление и удаление шаблонов» и добавить наш свежесозданный шаблон.



Добавленный шаблон.

После установки шаблона он отобразится в ветке «Классические административные шаблоны».


Теперь можно сконвертировать наш шаблон в .admx с помощью утилиты faAdmxConv из ADMX Migrator.



Конвертируем шаблон.

После конвертации получившийся шаблон .admx и папку Ru-ru с файлом локализации .adml нужно скопировать в папку %Systemroot%\PolicyDefinitions для локальной политики или в папку Sysvol\PolicyDefinitions на контроллере домена.



Установленный шаблон .admx.

Полный листинг получившегося шаблона и файла локализации под спойлером.

Действительно, xml в новом формате читается чуть хуже, чем старый .adm. Для облегчения работы с новым форматом в поставке ADMX Migrator есть утилита faAdmxEditor.msc. Помимо этой утилиты есть и скрипты для конвертации reg-файлов в шаблоны, и сторонние платные утилиты.

Конечно же, можно обойтись без вот-этого-всего и разобраться самостоятельно ― оставлю это в качестве домашнего задания. Благо на портале MSDN есть подробное описание XML-схемы, и есть неплохие материалы с примерами в сети. Например, «Административные шаблоны групповой политики».

Теперь перейдем к автоматизации.

Работать с групповыми политиками из командной строки довольно тоскливо. Основных инструментов можно выделить три.

PowerShell. Есть набор командлетов для резервного копирования, восстановления и управления групповыми политиками. Создание новых политик ограничено ― можно лишь изменять реестр. Впрочем, в большинстве случаев и этого достаточно. В качестве примера создадим групповую политику, которая отключит автоматическое обновление Adobe Reader DC.

За отключение автоматического обновления отвечает ключ реестра bUpdater в ветке [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Adobe\Acrobat Reader\DC\FeatureLockDown]. Установив параметр в 0, мы отключим опцию.

Создание групповой политики на PowerShell будет выглядеть так:


Свежесозданная групповая политика.

Полный список и описание командлетов доступны в материале Technet Group Policy Cmdlets in Windows PowerShell.

Интерфейс COM к GPMC (консоли управления групповой политикой). Способ позволяет сделать с политиками многое, на любом языке программирования, поддерживающим COM-интерфейсы. К сожалению, популярность он не приобрел и примеров в сети довольно мало, несмотря на богатое описание методов интерфейса на портале MSDN. Немногочисленные примеры использования доступны для загрузки в галерее Technet.

Сделаем бэкап локальной групповой политики командой

В папке C:\Temp появится подпапка с GUID по структуре схожая с доменными групповыми политиками:

Теперь развернем registry.pol в текстовый файл:

Синтаксис текстового файла очевиден. Добавим в него значения реестра для отключения автоматического обновления «Акробата»:



Добавленный в файл параметр реестра.

Теперь останется завернуть наш reg.txt обратно в registry.pol и импортировать изменившийся файл обратно в локальную групповую политику:

Все эти махинации, конечно же, можно завернуть в один скрипт и использовать для массового изменения локальной групповой политики привычным инструментом для запуска команд на удаленных компьютерах. Подробнее про методы запуска команд можно почитать в нашей статье «1000++ способ запуска команд на удаленном компьютере».

Конечно же, зная структуру доменной групповой политики, ничто не мешает сделать удобный именно вам инструмент для создания и управления политиками. Поделитесь в комментариях, есть ли у вас свои способы настройки реестров пользовательских машин?

коррумпированная локальная групповая политика

Поврежденная локальная групповая политика может вызвать много проблем, и, говоря о проблемах, вот некоторые распространенные проблемы, о которых сообщают пользователи:

  • Registry.pol не обновляется, не создается — файл Registry.pol отвечает за параметры вашей групповой политики, и вы можете решить большинство проблем с групповой политикой, просто воссоздав этот файл.
  • Папка групповой политики отсутствует в system32. Иногда папка групповой политики может отсутствовать, но эту проблему можно устранить, выполнив сканирование SFC и DISM.
  1. Удалить или переместить файл registry.pol
  2. Переместить или удалить файл secedit.sdb
  3. Использовать командную строку
  4. Выполните сканирование DISM и SFC
  5. Отключить клиент служб сертификации — политика регистрации сертификатов
  6. Удалить содержимое папки «История»
  7. Выполните восстановление системы
  8. Выполните обновление на месте или перезагрузите Windows 10

Решение 1 — Удалить или переместить файл registry.pol

Все параметры вашей групповой политики хранятся в файле registry.pol, и вы можете решить эту проблему, просто удалив или переместив этот файл. Это относительно просто сделать, и вы можете сделать это, выполнив следующие действия:

Registry.pol не обновляется

  1. Откройте проводник .
  2. В проводнике вставьте C: \ Windows \ System32 \ GroupPolicy \ Machine \ в адресную строку и нажмите Enter . Переход вручную в этот каталог может не работать, поскольку папка «Компьютер» скрыта, но при желании вы можете открыть скрытые файлы и вручную перейти в этот каталог.
  3. Теперь найдите файл registry.pol и переместите или удалите его. Более безопасный вариант — перенести его на рабочий стол, поскольку вы можете восстановить этот файл, если возникнут какие-либо новые проблемы.

После перемещения или удаления этого файла вам нужно будет выполнить одну команду в командной строке, чтобы воссоздать этот файл и восстановить исходные значения групповой политики. Для этого просто выполните следующие действия:

Как только ваш компьютер перезагрузится, файл registry.pol будет воссоздан, и проблема должна быть полностью решена. Многие пользователи сообщили, что это решение исправило их проблему с поврежденной локальной групповой политикой, поэтому обязательно попробуйте ее.

Решение 2. Переместите или удалите файл secedit.sdb.

Другой причиной для поврежденной локальной групповой политики может быть файл secedit.sdb . Удалив этот файл, вы сбросите настройки групповой политики по умолчанию. Чтобы удалить или переместить этот файл, вам просто нужно сделать следующее:

После этого перезагрузите компьютер, и проблема должна быть решена.

Решение 3 — Использование командной строки

Если у вас есть проблемы с поврежденной локальной групповой политикой, вы можете решить эту проблему, просто используя командную строку. Чтобы решить эту проблему, вам просто нужно запустить командную строку и запустить несколько команд. Для этого выполните следующие действия:

  1. Запустите командную строку от имени администратора.
  2. При запуске командной строки выполните следующие команды:
  • RD / S / Q «% WinDir% \ System32 \ GroupPolicyUsers»
  • RD / S / Q «% WinDir% \ System32 \ GroupPolicy»
  • gpupdate / force

После выполнения этих трех команд перезагрузите компьютер и проверьте, устранена ли проблема. Это не самое надежное решение, но несколько пользователей сообщили, что оно работает, поэтому не стесняйтесь попробовать его.

Решение 4 — Выполните сканирование DISM и SFC

По словам пользователей, иногда поврежденная локальная групповая политика может быть вызвана поврежденной установкой Windows. Однако вы можете восстановить вашу установку, выполнив сканирование SFC и DISM. Для этого просто выполните следующие действия:

Registry.pol не обновляется

  1. Сначала запустите командную строку от имени администратора.
  2. После запуска командной строки введите команду sfc / scannow и нажмите Enter, чтобы запустить ее.
  3. Начнется сканирование SFC. Этот процесс может занять около 15 минут, поэтому оставьте свой компьютер, пока сканирование SFC делает свое дело.

После завершения сканирования проверьте, сохраняется ли проблема. Если это так, вам нужно запустить сканирование DISM . Вы можете выполнить это сканирование, выполнив следующие действия:

После завершения сканирования DISM проверьте, сохраняется ли проблема.

Решение 5 — Отключить клиент служб сертификации — Политика регистрации сертификатов

Если у вас есть проблемы с поврежденной локальной групповой политикой, проблема может заключаться в клиенте служб сертификации — политика регистрации сертификатов . По словам пользователей, эта политика приведет к повреждению вашей локальной групповой политики, поэтому для устранения проблемы необходимо отключить эту политику.

Для этого перейдите в раздел «Политики открытых ключей» в разделе «Объект групповой политики по умолчанию» и отключите клиент служб сертификации — Политика регистрации сертификатов . Для этого выполните следующие действия:

После этого эта политика будет отключена, и проблема должна быть решена. Возможно, вам придется запустить gpupdate / force после отключения этой политики, чтобы применить изменения.

Решение 6. Удалите содержимое папки «История»

Это относительно просто сделать, и вы можете сделать это, выполнив следующие действия:

  1. Откройте проводник и вставьте C: \ ProgramData \ Microsoft \ Group Policy \ History в адресную строку. Папка истории скрыта, и, вставив адрес непосредственно в нее, вы сможете мгновенно получить к ней доступ.
  2. Теперь удалите все файлы из каталога истории .
  3. После этого откройте командную строку и введите команду GPUpdate / force .

Это не универсальное решение, и если на вашем компьютере нет папки «История», вы можете просто пропустить это решение.

Решение 7 — Выполнить восстановление системы

Если у вас продолжают возникать проблемы с поврежденной групповой политикой, вы можете решить проблему, просто выполнив Восстановление системы . Восстановление системы — это функция Windows, которая позволяет восстановить прежнее состояние системы и устранить многие проблемы. Чтобы выполнить восстановление системы, вам необходимо сделать следующее:

Как только ваш компьютер будет восстановлен, проблема должна быть решена, и все снова начнет работать.

Решение 8. Выполните обновление или сброс Windows 10 на месте

Если все другие решения не сработали, последний вариант — выполнить обновление на месте. Этот процесс переустановит Windows 10, сохранит все ваши файлы и приложения и восстановит все поврежденные файлы. Если у вас возникают проблемы с поврежденной локальной групповой политикой, обновление на месте может быть лучшим способом их устранения.

Чтобы выполнить обновление на месте, вам необходимо сделать следующее:

  1. Скачайте и запустите Media Creation Tool .
  2. Выберите Обновить этот компьютер сейчас .
  3. Выберите Загрузить и установить обновления (рекомендуется) и нажмите Далее . Этот шаг не является обязательным, поэтому, если вы спешите, вы можете не устанавливать обновления.
  4. Следуйте инструкциям на экране. Когда вы попадете на экран « Готов к установке» , выберите « Изменить то, что сохранить» .
  5. Выберите Сохранить личные файлы и приложения и нажмите Далее .
  6. Следуйте инструкциям на экране, чтобы завершить процесс.

После обновления на месте у вас будет новая установка Windows 10, и все ваши проблемы должны быть решены. Если проблема все еще существует, мы рекомендуем вам перезагрузить Windows 10 .

Поврежденная групповая политика может вызвать много проблем, но мы надеемся, что вам удалось решить их с помощью одного из наших решений.

Восстановление файлов формата POL

Файл POL - это файл, созданный Редактором объектов групповой политики, средством администрирования для Windows. Он сохраняет разделы реестра, созданные при создании Административного шаблона, и может указывать локальные или глобальные пользовательские настройки. Файлы POL обычно называются Registry.pol

Как восстановить утерянные .POL файлы?

Во время работы компьютера, ноутбука или других стационарных и мобильных устройств, даже несмотря на регулярное обновление и очистку, возникают баги, зависания, аппаратные или системные сбои. В результате, важный .POL файл может быть удалён.

Далеко не во всех случаях единственным способом восстановления .POL файла, будет его повторное создание.

Используйте программы для восстановления .POL файлов после намеренного или случайного удаления, форматирования памяти устройства или карты памяти, заражения вирусом, сбоя или очистки памяти.

Программы для восстановления файлов

Ищете как восстановить ?

В случаях, когда файлы удалены и стандартными средствами системы их восстановить уже не предоставляется возможным, используйте Hetman Partition Recovery.

1. Загрузите, установите и запустите программу.

2. Программа автоматически просканирует компьютер и отобразит все подключенные к нему жесткие диски и съёмные носители информации, физические и локальные диски.

Программа для восстановления файлов

3. Дважды кликните на диске, файлы из которого необходимо восстановить, и выберите тип анализа.

Hetman Partition Recovery - тип анализа

4. После окончания процесса сканирования вам будут предоставлены файлы для восстановления.

Hetman Partition Recovery - файлы, которые возможно восстановить

5. Чтобы найти нужный перейдите в интерфейсе программы в папку из которой он был удалён. Или перейдите в папку «Глубокий анализ» и выберите искомый тип файла.

Hetman Partition Recovery - Глубокий анализ

6. Выделите нужные файлы и нажмите кнопку «Восстановить».

Программа для восстановления данных - список восстановления

7. Выберите один из предложенных способов сохранения файлов и восстановите их.


Групповая политика

Если изменения, сделанные вами с помощью Редактора групповой политики , не отражаются на клиентском компьютере, и вы получаете ошибки, которые могут указывать на тот факт, что ваша система Windows не может прочитать файл групповой политики (реестр). pol), тогда вам может понадобиться восстановить потенциально поврежденную групповую политику в Windows 10. Давайте посмотрим, как вы могли бы это сделать.

Восстановление поврежденной групповой политики в Windows 10

Мы начнем с основного предложения, а затем продвинемся дальше. Вам нужно будет запустить его на компьютере с правами администратора.

1] Выполнить восстановление системы

Выполните восстановление системы и посмотрите, поможет ли это вам.

2] Запустите DISM Tool

Когда вы запускаете инструмент DISM (Управление развертыванием образов и обслуживанием), он восстанавливает образ системы Windows и хранилище компонентов Windows в Windows 10. Это обеспечит восстановление папок и файлов, если они отсутствуют или повреждены. Все системные несоответствия и повреждения должны быть исправлены.

Если это не помогает, возможно, вам нужно запустить DISM с хорошим источником, который может быть на внешнем диске, используя следующие команды:

Замените C: \ RepairSource \ Windows на местоположение вашего источника восстановления

Чтобы восстановить автономный образ, используя подключенный образ в качестве источника восстановления, используйте:

Посмотрите, решило ли это проблему.

3] Удалить и восстановить отсутствующий файл registry.pol


Все параметры групповой политики хранятся в файле registry.pol. Если этот файл отсутствует, любые изменения, отправленные клиенту, вообще не будут отражены. Хорошей новостью является то, что вы можете воссоздать его. Просто чтобы убедиться, что файл удален, даже если он существует.

Перейдите в C: \ Windows \ System32 \ GroupPolicy \ Machine \ .

Проверьте, есть ли у него файл registry.pol. Удалите его навсегда, используя Shift + Delete.

Чтобы восстановить его, откройте PowerShell с правами администратора. (Win + Х + А)

Выполните следующую команду:



Это повторно создаст групповую политику и заново создаст файл групповой политики.

4] Сброс групповой политики по умолчанию

Существует несколько способов сброса групповой политики по умолчанию. Это позволит убедиться, что если возникнут какие-либо проблемы из-за текущих настроек, они будут решены. Вы можете использовать gpupdate или secedit, чтобы сделать это.

5] Восстановить файл secedit.sdb

Все параметры безопасности групповой политики хранятся в файле secedit.sdb . Если какие-либо изменения, внесенные в безопасность, не отражаются, то вместо удаления файла групповой политики нам нужно удалить и заново создать файл secedit.sdb.

Перейдите в папку C: \ WINDOWS \ security \ Database .

Найдите файл secedit.sdb . Затем переименуйте его или переместите в другую папку.

Перезагрузите компьютер, и он автоматически заново создаст файл.

Этот пост покажет вам, как сбросить Windows 10, если вы когда-либо чувствуете необходимость.

Читайте также: