Консоль редактора локальных групповых политик в Windows (gpedit.msc) используется для тонкой настройки параметров Windows. Gpedit.msc– это стандартная MMC оснастка, доступная во всех версиях Windows (Pro/Enterprise/Education), кроме домашних редакций (Home/Single Language). В этой статье мы рассмотрим особенности использования локального редактора GPO, а также способы установить и запустить gpedit.msc в домашних редакциях Windows 10 и Windows 11 Home.
Содержание:
- Настройка Windows с помощью редактора локальных групповых политик
- Установка редактора локальной политики gpedit.msc в Windows 10/11 Домашняя
Настройка Windows с помощью редактора локальных групповых политик
Чтобы запустить редактор локальных групповых политик в Windows, нужно выполнить команду gpedit.msc
Доступные настройки в консоли редактора локальной GPO представлены в виде древовидной структуры и разделены на две секции:
- Параметры компьютера (Computer Configuration) – глобальные настройки ОС Windows и компонентов. Вносят изменения в раздел реестра HKEY_LOCAL_MACHINE (HKLM)
- Параметры пользователей (User configuration) – настройки, которые применяются для пользователей компьютера. Изменения вносятся в ветку реестра пользователя HKEY_CURRENT_USER (HKCU)
В редакторе GPO содержится несколько тысяч настроек Windows, которые расположены в стройной иерархии, имеют подробное описание и предлагают для выбора предопределенные опции настройки.
Статьи о различных сценариях использования GPO собраны на сайте в разделе Групповые политики Windows.
В каждой секции есть по три подраздела:
- Software Settings
- Windows Settings — здесь расположены основные настройки безопасности Windows (в том числе настройки политики паролей, блокировки аккаунтов, политики аудита, назначения прав пользователей)
- Administrative Templates – настройки различных компонентов и подсистем Windows. Здесь доступны как стандартные административные шаблоны Windows, так и дополнительно установленные ADMX шаблоны групповых политик (например, admx шаблоны для управления программами из пакета MS Office или шаблоны для Google Chrome)
Чтобы изменить любой параметр GPO в консоли, нужно найти раздел, в котором он находится и открыть его настройки в правой панели.
По умолчанию все параметры в разделе административных шаблонов не настроены (Not configured). У большинства настроек GPO доступно есть всего три параметра: Enabled/Disabled/Not configured. По умолчанию все политики не заданы. Вы можете включить или отключить параметр, выбрав Enabled или Disabled, и нажав OK.Если вы хотите вернуть стандартное значение настройки, выберите Not Configured.
У некоторых настроек GPO можно задать дополнительные параметры, которые можно настроить в секции Options. Например, чтобы задать файл обоев рабочего стола через GPO, нужно включить политику (Enabled), указать путь к файлу с рисунков в поле и выбрать стиль рисунка.
В поле Help доступно детальное описание каждого параметра GPO. В поле Supported on указаны версий Windows, для которых данная политика применяется. Например, At least Windows 10 означает, что политика применима только к Windows 10/11 и Windows Server 2016/2019/2022. Данный параметр не будет работать на Windows 8.1 или 7.
Настройки, заданные в редакторе gpedit.msc имеют высокий приоритет и перезаписывают любые настройки, заданные пользователем или администратором в графическом интерфейсе Windows или в панели управления.
Редактор локальной GPO хранит настройки примененных параметров в registry.pol файлах в каталогах
%SystemRoot%\System32\GroupPolicy– политики компьютера%SystemRoot%\System32\GroupPolicyUsers– политики пользователя
Если вы удалите файлы из этих папок, вы сбросите все настройки локальных политик на значения по-умолчанию (Not configured).
С помощью утилиты lgpo.exe можно перенести настройки локальной GPO на другой компьютер.
В ADMX файлах GPO определяются параметры реестра и их значения, в которые нужно внести изменения. Поэтому фактически, когда вы включили той или иной параметр реестра, обработчик групповых политики внесет изменения в реестр.
Соответствия между названия параметров политик и ключами реестра описываются в Excel документе Windows11andWindowsServer2019PolicySettings—23H2.xlsx, доступном для загрузки с сайта Microsoft. Актуальная версия справочника — Group Policy Settings Reference Spreadsheet for Windows 11 2023 Update 23H2, https://www.microsoft.com/en-us/download/details.aspx?id=105668
Установка редактора локальной политики gpedit.msc в Windows 10/11 Домашняя
Консоль редактора локальной GPO отсутствует в домашних редакциях Windows (Home и Single Language). При попытке открыть MMC консоль редактора, появится ошибка:
Не удается найти gpedit.msc. Проверьте, правильно ли указано имя и повторите попытку.
Есть обходной недокументированный способ установки редактора gpedit.msc в Windows 10 или 11 Home из хранилища пакетов Windows. Откройте командную строку (cmd.exe) с правами администратора и выполните две следующие команды:
FOR %F IN ("%SystemRoot%\servicing\Packages\Microsoft-Windows-GroupPolicy-ClientTools-Package~*.mum") DO (DISM /Online /NoRestart /Add-Package:"%F")
FOR %F IN ("%SystemRoot%\servicing\Packages\Microsoft-Windows-GroupPolicy-ClientExtensions-Package~*.mum") DO (DISM /Online /NoRestart /Add-Package:"%F")
DISM выполните установку пакетов ClientTools и ClientExtensions из внутреннего хранилища Windows. Если у вас установлен другой язык, например русский, также будут установлены пакеты с ru-RU:
Теперь вы сможете запустить консоль gpedit.msc в домашней версии Windows.
Однако, после редактирования политик, настройки сразу не будут применяться к реестру, как в Pro/Enterprise редакции. Здесь не поможет ни выполнение команды gpupdate /force, ни перезагрузка компьютера. Дело в том, что домашней редакции Windows отсутствует обработчик GPO, который применяет настройки из registry.pol файла в реестр. Для автоматического применения GPO придется обновить редакцию Windows с Home до Pro, но это не всегда возможно.
К счастью, есть обходной способ применения настроек GPO в Windows Home с помощью сторонней утилиты Policy Plus (https://github.com/Fleex255/PolicyPlus). Policy Plus – это альтернативный редактор GPO для Windows. Он позволяет редактировать настройки локальной GPO без использования консоли gpedit.
Чтобы применить настройки из локальных групповых политики из POL файлов, закройте MMC оснастку gpedit.msc и выберите в Policy plus параметр File -> Save Policy.
Должно появится сообщение:
User policies: saved to disk and applied diff to Registry.Computer policies: saved to disk and applied diff to Registry.
Для централизованного управления групповыми политиками в домене Active Directory используется консоль Group Policy Management Console (gpmc.msc).
