Restablecer la configuración de la política de grupo local en Windows

Una de las principales herramientas para configurar los ajustes de usuario y del sistema en Windows es la Objetos de directiva de grupo (GPO). Los GPO locales (estas configuraciones se configuran localmente en la computadora) y de dominio (si una computadora está unida al dominio de Active Directory) se pueden aplicar a la computadora y sus usuarios. Sin embargo, la configuración incorrecta de algunos ajustes de GPO puede ocasionar varios problemas. La configuración de la política de grupo puede bloquear la conexión de dispositivos USB, impresoras y carpetas compartidas, restringir el acceso a la red mediante las reglas del Firewall de Windows Defender, bloquear aplicaciones y herramientas para que no se instalen o se ejecuten (a través de las políticas de SPR o AppLocker), restringir los inicios de sesión locales o remotos a un ordenador.

Si no puede iniciar sesión en la computadora localmente, o no sabe exactamente cuál de las configuraciones de GPO aplicadas está causando un problema, debe usar una secuencia de comandos para restablecer la configuración de la directiva de grupo a sus valores predeterminados. En un estado «limpio», no se configura ninguna de las opciones de directiva de grupo.

En este artículo, mostramos varios métodos para restablecer la configuración de las políticas de grupo locales y de dominio a los valores predeterminados. Esta guía se puede utilizar para restablecer la configuración de GPO en todas las versiones de Windows compatibles: desde Windows 7 a Windows 10, así como todas las versiones de Windows Server (2008 / R2, 2012 / R2, 2016 y 2019).

¿Cómo restablecer la configuración predeterminada del Editor de políticas de grupo local (Gpedit.msc)?

Este método implica el uso de la GUI de la consola del Editor de políticas de grupo local (gpedit.msc) para deshabilitar todas las opciones de política configuradas. El editor gráfico de GPO local está disponible solo en las ediciones Pro, Enterprise y Education de Windows 10.

Ejecutar el gpedit.msc Complemento MMC y vaya a la Todos los ajustes sección (Política de equipo local -> Configuración del equipo -> Plantillas administrativas). Esta sección contiene una lista de todas las opciones disponibles para la configuración en las plantillas de GPO administrativas locales. Ordene las políticas por la columna Estado y busque todas las políticas configuradas (Discapacitado o Activado Expresar). Desactive todos o algunos de ellos cambiándolos al No configurado Expresar.

Deshabilitar la configuración de GPO local con gpedit.msc

Puede utilizar la herramienta LGPO.exe de Security Compliance Manager para hacer una copia de seguridad de la configuración de GPO local actual.

Siga los mismos pasos en el Configuración de usuario sección. Por lo tanto, puede deshabilitar todas las configuraciones de todas las configuraciones en las plantillas administrativas de GPO.

Consejo. Se puede obtener una lista de todas las configuraciones de políticas locales y de dominio aplicadas en un conveniente formulario de informe HTML con la herramienta GPResult incorporada:
gpresult /h c:PSGPRreport.html

El método anterior para restablecer la política de grupo en Windows es adecuado para los casos más simples. La configuración incorrecta de GPO puede provocar problemas más graves. Por ejemplo, la incapacidad de ejecutar el gpedit.msc complemento o incluso cualquier programa o aplicación, pérdida de los privilegios de administrador o una restricción para iniciar sesión localmente. En tales casos, debe restablecer la configuración de GPO guardada en archivos locales en su computadora.

Registro de archivos de política de grupo.pol

La arquitectura de la directiva de grupo de Windows se basa en Registry.pol archivos. Estos archivos almacenan la configuración del registro que se corresponde con la configuración de GPO configurada. Las políticas de usuario y equipo se almacenan en diferentes archivos Registry.pol.

  • La configuración de la computadora (Sección de configuración de la computadora) se almacenan en %SystemRoot%System32GroupPolicyMachineregistry.pol
  • La configuración del usuario (Sección de configuración de usuario) se almacenan en %SystemRoot%System32GroupPolicyUserregistry.pol

archivo registry.pol con la configuración de gpo configurada

Durante el inicio, Windows importa el contenido de Máquina Registry.pol a la colmena del registro del sistema HKEY_LOCAL_MACHINE (HKLM). El contenido del archivo Usuario Registry.pol se importan al HKEY_CURRENT_USER (HKCU) colmena cuando el usuario inicia sesión.

Cuando abre la Consola del editor de GPO local, carga el contenido de los archivos registry.pol y los muestra de una manera gráfica fácil de usar. Cuando cierra el editor de GPO, los cambios que realiza se guardan en los archivos Registry.pol. Cuando actualiza la configuración de la Política de grupo en su computadora (usando el gpupdate /force comando o en una programación), la nueva configuración aplicada al registro.

Consejo. Para realizar cambios en los archivos Registry.pol, solo debe usar la consola del Editor de GPO local. ¡No se recomienda editar los archivos Registry.pol manualmente o utilizando las versiones anteriores del Editor de políticas de grupo!

Para eliminar toda la configuración actual del GPO local, debe eliminar los archivos Registry.pol de las carpetas GroupPolicy y GroupPolicyUsers.

Restablecimiento de todas las configuraciones de la directiva de grupo local a la vez en Windows 10 / Windows Server 2016

Para forzar un restablecimiento de toda la configuración de la directiva de grupo local actual, debe eliminar los archivos Registry.pol. Es posible eliminar completamente directorios con archivos de configuración de políticas. Puede hacerlo con los siguientes comandos, ejecútelos en el símbolo del sistema elevado:

RD /S /Q "%WinDir%System32GroupPolicyUsers"
RD /S /Q "%WinDir%System32GroupPolicy"

En Windows 10 2004, el RD.exe El comando fue eliminado, por lo que el RMDIR.exe El comando debe usarse para eliminar directorios.

Después de eso, debe restablecer la configuración de GPO anterior en el registro aplicando un GPO limpio:

gpupdate /force

restablecer la configuración de gpo local con cmd

Estos comandos restablecerán todas las configuraciones de la Política de grupo local en las secciones Configuración del equipo y Configuración del usuario.

Abre el gpedit.msc y asegúrese de que todas las políticas estén en el No configurado Expresar. Después de ejecutar la consola gpedit.msc, eliminado GroupPolicyUsers y GroupPolicy las carpetas se crearán automáticamente con archivos Registry.pol vacíos.

todas las configuraciones de gpo en el estado predeterminado: no configurado

La próxima vez que realice cambios en la Política de grupo, Windows creará nuevos archivos Registry.pol con la nueva configuración.

Restablecer la configuración de la política de seguridad local a la predeterminada en Windows

Políticas de seguridad local están configurados en una consola mmc separada – secpol.msc. Si los problemas con la computadora son causados ​​por «apretar los tornillos» en la configuración de seguridad local, y si todavía tiene acceso local a Windows y derechos de administrador, es mejor restablecer la configuración de la política de seguridad a los valores predeterminados. Para hacerlo, abra el cmd.exe como administrador y ejecute el siguiente comando:

  • En Windows 10, Windows 8.1 / 8 y Windows 7: secedit /configure /cfg %windir%infdefltbase.inf /db defltbase.sdb /verbose
  • En Windows XP: secedit /configure /cfg %windir%repairsecsetup.inf /db secsetup.sdb /verbose

secedit restablecer la configuración de seguridad en defltbase.sdb

Reinicia la computadora.

Si aún tiene problemas con las políticas de seguridad, intente cambiar manualmente el nombre del archivo de punto de control de la base de datos de políticas de seguridad local% windir% security database edb.chk.

ren %windir%securitydatabaseedb.chk edb_old.chk

restablecer la base de datos de seguridad: edb.chk

Ejecute el comando:
gpupdate /force

Reinicie Windows usando el comando de apagado:
Shutdown –f –r –t 0

Restablecer la configuración de GPO local sin iniciar sesión

Si es imposible iniciar / iniciar sesión en Windows, el servicio GPSVC no se está ejecutando, no tiene privilegios de administrador local o no puede abrir el símbolo del sistema (por ejemplo, las aplicaciones están bloqueadas por la política Applocker / SRP), simplemente inicie su computadora desde cualquier disco de instalación de Windows, unidad flash USB o LiveCD y restablezca el GPO local fuera de la imagen de Windows instalada.

  1. Inicie su computadora desde cualquier medio de instalación de Windows y abra el símbolo del sistema (Shift+F10);
  2. Ejecute el comando:
    diskpart
  3. Luego muestre la lista de volúmenes en la computadora:
    list volume
    En este caso, la letra de unidad asignada al volumen del sistema corresponde a la unidad del sistema C:. Sin embargo, a veces puede que no coincida. Por lo tanto, los siguientes comandos deben ejecutarse en el contexto de la unidad de su sistema (por ejemplo, D: o C: );
  4. Cerrar diskpart:
    exit
  5. Ejecute los siguientes comandos uno por uno: Restablezca la configuración de GPO de Windows 7. Arrancar desde CD
    RD /S /Q C:WindowsSystem32GroupPolicy
    RD /S /Q C:WindowsSystem32GroupPolicyUsers
  6. Reinicie la computadora en el modo normal y asegúrese de que la configuración de la directiva de grupo local se restablezca a su estado predeterminado.

¿Cómo borrar y eliminar la configuración de GPO aplicada al dominio?

Algunas palabras sobre las políticas de grupo de dominio. Si un equipo está unido a un dominio de Active Directory, algunos de sus ajustes los establecen los GPO basados ​​en el dominio.

Los archivos registry.pol de todas las políticas de grupo de dominio aplicadas se almacenan en el directorio % windir% System32 GroupPolicy DataStore 0 SysVol contoso.com Policies. Cada política se almacena en una carpeta separada con el GUID de la política de dominio. Después de que su computadora abandone el dominio AD, los archivos registry.pol de las políticas de grupo del dominio en la computadora se eliminarán y no se cargarán en el registro al inicio. Sin embargo, a veces, a pesar de eliminar una computadora del dominio, la configuración de GPO aún se puede aplicar a la computadora.

restablecer el dominio gpo en una computadora local

Las siguientes claves de registro corresponden a estos archivos registry.pol:

  • HKLM Software Políticas Microsoft
  • HKCU Software Políticas Microsoft
  • HKCU Software Microsoft Windows CurrentVersion Objetos de directiva de grupo
  • HKCU Software Microsoft Windows CurrentVersion Políticas

El historial de versiones de los GPO de dominio aplicado que se han utilizado en el cliente se encuentra en las siguientes claves de registro:

  • HKLM SOFTWARE Microsoft Windows CurrentVersion Group Policy History
  • HKCU Software Microsoft Windows CurrentVersion Group Policy History

El caché local de los GPO de dominio aplicado se almacena en el C: ProgramData Microsoft Group Policy History. Elimina los archivos de este directorio con el comando ::

DEL /S /F /Q “%PROGRAMDATA%MicrosoftGroup PolicyHistory*.*”

Si necesita eliminar a la fuerza la configuración de GPO del dominio, debe limpiar el %windir%System32GroupPolicyDataStoreSysVolcontoso.comPolicies directorio y elimine las claves de registro especificadas (se recomienda encarecidamente que haga una copia de seguridad de los archivos eliminados y las entradas de registro).

gpupdate /force /boot

Consejo. Las formas descritas anteriormente le permiten restablecer todas las configuraciones de GPO locales en las versiones de Windows. Se restablecerán todas las configuraciones realizadas con el Editor de políticas de grupo. Sin embargo, los cambios realizados directamente en el registro con regedit.exe, archivos REG, registro de dominio GPP o de cualquier otra forma no se restablecen.

 

Artículos Interesantes

Relacionados:

Error de instalación de Windows 10 0x80300024
¿Cómo administrar los servicios de Windows con PowerShell?
Configuración de una política de contraseña de dominio en Active Directory
Configuración de la conexión VPN L2TP/IPSec detrás de un NAT, código de error de VPN 809