Заметки о Windows и других программных продуктах Microsoft...

Отменяем действие групповых политик на локальном компьютере

Отменяем действие групповых политик на локальном компьютере

Групповые политики — это основной инструмент управления пользователями в домене. С их помощью администратор может настраивать практически любые параметры рабочей среды пользователя. Все, начиная от запрета на запуск определенных программ и заканчивая рисунком на рабочем столе можно задать через групповые политики. Управление политиками осуществляется на уровне домена и только члены группы администраторов домена или предприятия имеют к ним доступ.


А можно ли отменить действие групповых политик на компьютере, не будучи при этом администратором домена? Сегодня мы попробуем это выяснить. В качестве подопытного возьмем компьютер с установленной на нем Windows 7, являющийся членом домена. Все действия будем проводить под обычной учетной записью, не имеющей в домене никаких административных полномочий.

За применение групповых политик на локальном компьютере в Windows 7 отвечает служба Group Policy Client (gpsvc). Ее состояние можно посмотреть прямо в Диспетчере задач, на вкладке Службы.

gpsvc в task manager

 

Или в оснастке Службы (Services).

gpsvc в оснастке Services

 

Первое что приходит в голову — просто остановить службу и установить режим запуска в Disabled. Но не все так просто, как кажется. Служба gpsvc запускается от имени локальной системы, и не остановить, не изменить параметры запуска ее из графической оснастки мы не сможем.

свойства gpsvc

 

Как вариант можно с помощью утилиты psexec запустить командную консоль от имени системы и затем остановить службу командой net stop gpsvc

останавливаем gpsvc из командной строки

 

Но решение это временное. Хотя служба и остановлена, изменить параметры ее запуска мы все равно не сможем, и при следующей перезагрузке она будет запущена. Чтобы изменить режим запуска службы нам потребуется правка реестра.

Настройки службы находятся в разделе HKLM\SYSTEM\CurrentControlSet\Services\gpsvc. По умолчанию изменение параметров этого раздела запрещено, так что прежде чем приступать к его редактированию, нам необходимо получить на это права. Кликаем правой клавишей мыши на разделе и выбираем пункт «Разрешения».

меняем разрешения gpsvc в реестре

 

Первым делом нам надо изменить владельца раздела. Для этого идем в дополнительные параметры безопасности и выбираем владельцем свою учетную запись.

изменение владельца раздела реестра gpsvc

 

После чего даем себе полные права и, на всякий случай, удаляем всех из списка доступа.

редактируем список доступа раздела реестра

 

Теперь можно вернуться к настройкам службы. За режим запуска отвечает параметр Start. По умолчанию он равен 2, что означает режим запуска Авто. Для отключения службы ставим 4.

настраиваем режим запуска службы gpsvc

 

И еще. Отключив таким образом службу клиента групповой политики, вы  периодически будете получать в трее уведомления о недоступности службы Windows.

сообщение о недоступности службы

 

Чтобы этого избежать, можно удалить (предварительно сохранив) раздел реестра HKLM\SYSTEM\CurrentControlSet\Control\Winlogon\Notifications\Components\GPClient

отключаем уведомления о недоступности службы gpsvc

 

Таким вот нехитрым способом можно отключить действие групповых политик. При этом совсем не обязательно обладать административными правами в домене, достаточно лишь входить в группу локальных администраторов на компьютере. Правда такой номер может пройти только на компьютерах с Windows 7 или Vista. В более ранних ОС службы gpsvc нет, а за применение групповых политик отвечает служба Winlogon.

Да, чуть не забыл. Все действия, описанные в статье, я проводил исключительно в познавательных целях 🙂  Делать подобное в сети предприятия крайне не рекомендуется, кое где за это могут и уволить. И перед любым вмешательством в реестр обязательно делайте его резервную копию, чтобы в случае чего оперативно откатить изменения.

 
 
Комментарии

По Вашему совету сделал следующее:

PsExec v1.98 — Execute processes remotely
Copyright (C) 2001-2010 Mark Russinovich
Sysinternals — http://www.sysinternals.com

Microsoft Windows [Version 6.1.7601]
(c) 2012, Корпорация Майкрософт. Все права защищены.

C:\Windows\system32>net stop grsvc
Неправильное имя службы.

Для вызова дополнительной справки наберите NET HELPMSG 2185.

C:\Windows\system32>net stop gpsvc
Служба «Клиент групповой политики» останавливается.
Служба «Клиент групповой политики» успешно остановлена.

C:\Windows\system32>
Но при открытии страницы в интернет по адресу, указанному в документе Word по прежнему получаю сообщение:
«Это действие запрещено политикой организации. »
Что можно еще сделать?
P. S. Программу PsExec с соответствующими параметрами запустил из меню Пуск \ Выполнить.

В вашем случае групповые политики скорее всего не причем, похоже ограничения стоят на брандмауэре. Я бы посоветовал вам обратиться в службу ИТ и попросить открыть доступ. На крайний случай попробуйте воспользоваться прокси-сервером.

Николай

Спасибо за консультацию-все прошло успешно,ещё одну «майкрософтофскую дырку закрыл».К чему простому пользователю персонального компьютера эти примочки?
Осталась вторая проблема неслабая-все диски были «расшарены» общим административным ресурсом и у них сейчас состояние»в сети».Отключил службу «сервер»-но диски так»в сети» и называются и нету вкладки»доступ» в свойствах диска.Как удалить этот ресурс из системы и вернуть вкладку и диски в нормальное состояние?Здесь любые антивирусы устанавливай но этот ресурс «сокрушит» компьютер за секунды-почему бы изначально,при установке системы пользователю не дать выбор:персональный ПК или сетевой(как было бы просто жить!)

Если речь идет об административных шарах типа C$, то это нормальное состояние системы. Вообще посмотреть, какие общие ресурсы открыты на вашем компьютере можно из командной строки командой net share, удалить шары — net share «имя шары» /delete.
Правда что касается административных шар C$, Admin$, IPC$ и т.п., то их удалить не получится, при следующей перезагрузке все вернется обратно.

Ребята помагите!!» захожу в виндоус пишет
Служба»клиент групповой политики» ПРИПЯТСТВУЕТ входу в систему

Возможно поврежден профиль пользователя. Попробуйте загрузиться со съемного носителя (например с установочного диска) и запустить проверку диска. Также можно попробовать создать новую учетную запись и перенести из нее файл ntuser.dat в проблемную учетку.

данил

что у тебя что нибудь получилось и что ты сделал?

А что делать,если выскакивает системная ошибка №5?

В общем случае это означает отказ в доступе, т.е. недостаточно прав для выполнения операции.

Всё бы хорошо, но надо было бы упомянуть что Брандмауэр не управляется без этой службы.)

Альберт

Касперский 2013 «Эта программа заблокирована групповой политикой» Что это значит? и как его разблокировать?

Похоже на работу AppLocker или SRP (Software Restriction Policy). А что за ОС на компьютере и где он стоит (дом, офис) ?

Василий

Все сделал как было написано. Служба остановлена, но все равно при запуске программы пишет — Эта программа заблокированна групповой политикой. За дополнительными сведениями обращаться к системному администратору. Попутался погасить зависимые службы. Доковырял, что у меня все работает отлично, а мою машину не видно в сети, даже с рядом стоящей машины не пингуется, пришлось откатиться, потому как у меня ftp-сервер на машине стоит. А с ним работают наши предприятия.. Может ещё где ковырнуть. А в частности я сделал запуск брэндмауэра не сетевой, а от локальной учетки и также сделал запуск службы базовых фильтраций. Может все таки куда складируются политики, что бы можно было их основательно погасить.

Групповые политики «складируются» в реестр, например HKLM\SOFTWARE\Policies. При включении политики создается соответствующий ключ реестра. Но зачем издеваться подобным образом над рабочим сервером?

Василий

Потому как наша компания не покупает нужного лецензионного софта, а на бесплатном много не сделаешь.. А политиками домена часть софта заблокирована, я сижу в локальной машине, на мне политики не выполнялись, пока не ушел в отпуск, а моя помощница, зачем-то сидела в доменной учетке, и на меня применились все возможные политики. Теперь часть софта не работает. Систему переустанавливать не охота. Вот и хочу убить примененные политики

Александр

Здравствуйте!
Проблема такая — при нажатии ссылки в Microsoft Outlook 2013 выдает: «это действие запрещено политикой организации.Для получения дополнительных сведений обратитесь в службу поддержки.»
То, что предлагают в интернетах — читал (например, сделать сброс настроек в IE на дефолтные, найти в реестре в разделе HKEY_CLASSES_ROOT значение .html и изменить там значение с «chromeHTML» или «FirefoxHTML» на «htmlfile»), но дело в том, что у меня в этом разделе реестра нет такой папки «html», а есть только всякие «.hta»,».htc»,».htt»,».htw»,».htx» и просто папка «htmlfile».Об этом некоторые уже задавали вопрос в комментариях на нескольких сайтах, но ответов я не нашел.
Подскажите, пожалуйста, в чем может быть проблема и что делать?
P.S. Я этот Microsoft Office 2013 злополучный ставил несколько раз вместо Outlook Express 2007 — все он у меня конфликтовал то с PDF Transformer, то еще с чем-то, наконец, более-менее установился нормально, и вот такая ерунда. ОС — Windows 7 Fan Black Ultimate, 32-разрядная.

Проблема описана достаточно подробно. А если в реестре нет какого либо раздела или параметра, то его можно создать.

Артем

Вообще то должен быть, если нет создай этот раздел .html , и внутри него строковый параметр (Default)=htmlfile, так же может помочь «Панель управления\Все элементы панели управления\Программы по умолчанию\Выбор программ по умолчанию», там найди «Internet Explorer», выбери «Использовать эту программу по умолчанию».

на семёрке нет этих разделов реестра

Если семерка Home Edition, то в ней могут отсутствовать разделы реестра, связанные с групповыми политиками.

Артем

У Александра политики не причем, причина в некорректно установленным/удаленным браузером «а ля» хром, яндекс, опера, фирефокс и иже с ними.

Дмитрий

Добрый день! Как можно отменить выполнение от имени администратора домена на моем локальном компьютере команды psshutdown из набора утилит pstools? Проблема в том, что у администратора есть настройка по принудительному выключению компьютера в 19-00 с помощью psshutdown, а мне нужно работать дольше указанного времени.

Лучше конечно решить этот вопрос с руководством. Ну а с технической точки зрения:
1) Для отмены выключения можно ввести команду PsShutdown -a, это отменит процесс выключения. Но для этого надо успеть ввести команду. По умолчанию у PsShutdown установлен таймаут 20 секунд до выключение компьютера, но администратор может изменить это время.
2) Удалить с компьютера эту утилиту.
И в том и в другом варианте необходимо иметь административные полномочия на компьютере.

Дмитрий

Kirill, проблема в том, что на локальном компьютере этой утилиты нет (либо я её просто не могу обнаружить). Ни службы, ни исполняющего файла (psshutdown связана с PSSDNSVC.EXE) на локальном компьютере нет. Где копаться? Помогите, если можете. Учетная запись на локальном компьютере с правами администратора компьютера.

Если на компьютере нет файла psshutdown.exe, то значит он запускается удаленно. Можно попробовать ввести команду отмены, хотя не уверен что в таком варианте она сработает.

Дмитрий

Может ли помочь удаление администратора домена из группы администраторов компьютера?

Конечно, если удалить из локальных админов учетную запись, от имени которой выполняется задача, то она выполниться не сможет. Вопрос в том, под какой именно учеткой запускается выключение. Придется выносить все кроме своей.

Дмитрий

Учётка, под которой выполняется команда, известна. Убирание её из админов 100% решит вопрос. Но видимо, в этом случае групповые политики по обновлению ПО и т.п. также рухнут?

Сами групповые политики от локальных настроек безопасности не зависят. А вот с обновлением ПО возможны варианты. Не зная настроек сказать точнее не смогу.

Николай

Здравствуйте! У меня такая проблема: при запуске любой из программ выходит это:»Эта программа заблокирована групповой политикой. За дополнительными сведениями обращаться к системному администратору». Еще почитал,что когда gpsvc отключен то проги могут быть не функционированы( не работают) что делать? пытаюсь включить эту службу, н не могу, потому что пишет: » Отказано в доступе «Что посоветуете?

При отключении gpsvc к компьютеру не применяются групповые политики, программы должны работать без проблем. Для запуска любой службы необходимо обладать правами локального администратора. Это в общем случае, для более конкретного ответа стоит уточнить суть проблемы.

Роман

Здравствуйте. У меня перестала работать программа Steam,если я сделаю то, что вы сказали,это мне поможет?

Смотря как перестала. Сообщение какое нибудь выдается?

А если в АВ Касперский стоит политика блокировки сайтов, как можно ее обойти?

Отключить\остановить антивирус. К групповым политикам это не имеет отношения.

Добрый день . В windows7PRO локальная политика безопасности. Настроил запрет на запуск программы (Локальная политика безопасности/ политика ограничения использования программ /дополнительные правила — по хэщ).
При попытке запуска программы выскакивает сообщение «эта программа заблокирована груповой политикой». Можно ли как нибудь отключить только этот тип сообщений? В реестре или где еще?

арман

сделал все как тут написано,но не смог изменить разрешение gpsvc а других пользователей,пишет отказано в доступе

Обратиться к системному администратору. Видимо он переборщил с политиками безопасности и запретил даже запуск стандартных утилит Windows.

Проще так:
1) Установили «psexec»
2) В cmd.exe пишем: PsExec.exe -s cmd.exe
3) Отключаем: net stop gpsvc
4) Убираем с автозапуска: sc config gpsvc start= disabled
Радуемся!