Hoe u de groepsbeleidsinstellingen in Windows kunt resetten — Rechtstreeks van iemand die het daadwerkelijk heeft geprobeerd
Het herstellen van verstoorde groepsbeleidsinstellingen kan aanvoelen als een sprong in het diepe als je niet oppast. Soms raken de instellingen zo in de war of beschadigd dat Windows bepaalde apps niet meer toestaat of zelfs niet meer goed inlogt. Het ergste is? Je weet misschien niet eens welke GPO de problemen veroorzaakt. Gelukkig zijn er een paar manieren om die instellingen terug te zetten naar de standaardwaarden, maar sommige vereisen dat je in systeembestanden en -opdrachten duikt. Deze handleiding beschrijft een aantal van die methoden, met praktische tips en aandachtspunten.
Hoe u specifieke lokale groepsbeleidsopties kunt resetten met Gpedit.msc
Als je Windows Pro, Enterprise of Education hebt, gpedit.mscis de console je beste vriend. Het is de grafische gebruikersinterface waarmee je beleidsregels op je lokale computer kunt aanpassen. Het is best handig, maar je kunt er ook makkelijk instellingen mee verknoeien als je niet oplet. Waarom zou je het gebruiken? Omdat je soms gewoon die ene foutieve beleidsregel wilt terugdraaien of instellingen handmatig wilt aanpassen zonder alles te resetten. Het is handig als je precies weet wat er is veranderd, maar niet alles opnieuw wilt instellen. Als het werkt, toont de console alle beleidsregels en kun je elke regel instellen op ‘ Niet geconfigureerd ‘ — wat in principe de standaardinstelling is. Houd er wel rekening mee dat als je beleidsregels helemaal verkeerd zijn, het openen van de console mogelijk wordt geblokkeerd of dat je wijzigingen niet worden opgeslagen. Tip: maak een back-up van je huidige GPO’s met LGPO.exe of genereer een rapport met LGPO.exe. Dit gpresult /h c:\PS\GPRreport.htmlkan je later veel problemen besparen als je de situatie voor en na de wijziging wilt vergelijken.Let op: De console is niet beschikbaar in Windows Home, tenzij je deze zelf installeert, wat niet aan te raden is tenzij je weet wat je doet.
Alle groepsbeleidsinstellingen in Windows terugzetten naar de standaardinstellingen met behulp van de opdrachtregel
Dit is een klassieker. Het is meer een drastische oplossing, omdat het de registerbestanden verwijdert waarin beleidsregels zijn opgeslagen. Waarom zou je dit doen? Omdat het *alles* wist. Perfect als beleidsregels volledig mis zijn gegaan of als je geen toegang meer hebt tot gpedit.msc of andere tools. Het zit zo: Windows bewaart lokale GPO’s in specifieke bestanden.- Voor computerinstellingen: %SystemRoot%\System32\GroupPolicy\Machine\registry.pol – Voor gebruikersinstellingen: %SystemRoot%\System32\GroupPolicy\User\registry.pol Om dit allemaal te wissen, moet je in principe deze bestanden verwijderen en Windows dwingen de standaardbeleidsregels opnieuw te laden. De opdracht ziet er als volgt uit: bash RD /S /Q “%WinDir%\System32\GroupPolicy” RD /S /Q “%WinDir%\System32\GroupPolicyUsers” gpupdate /force Waarom deze opdrachten? Omdat Windows het natuurlijk moeilijker moet maken. Het verwijderen van deze bestanden wist de beleidscache en door de opdracht uit te voeren, gpupdate /forcezorgt Windows ervoor dat de standaardinstellingen opnieuw worden toegepast. Let op: Soms maakt Windows deze mappen automatisch opnieuw aan na de reset, dus raak niet in paniek als ze weer verschijnen.—
De lokale beveiligingsbeleidsinstellingen in Windows terugzetten naar de standaardinstellingen.
Beveiligingsbeleid is vaak gevoeliger en wordt apart opgeslagen. Als uw beveiligingsinstellingen niet goed lijken te werken (bijvoorbeeld als UAC-prompts niet werken of bepaalde beleidsregels apps blokkeren), kan het resetten ervan helpen. Waarom zou u dit proberen? Omdat beveiligingsbeleid op een andere locatie wordt opgeslagen – secpol.mscdit wordt beheerd door [naam van de beheerder].Door ze te resetten, worden de standaard beveiligingsinstellingen van Windows hersteld. Voer de volgende opdracht uit in een opdrachtprompt met beheerdersrechten: `bash secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb /verbose`.Deze opdracht gebruikt een sjabloonbestand met standaard beveiligingsinstellingen. Zie het als het opnieuw laden van de beveiligingsbasislijn. Start daarna de computer opnieuw op en kijk of het probleem is opgelost. Tip voor probleemoplossing: Als dit niet werkt, kan het soms helpen om het beveiligingsdatabasebestand te hernoemen: `bash ren %windir%\security\database\edb.chk edb_old.chk`.Voer vervolgens de `secedit`-opdracht opnieuw uit en start de computer opnieuw op.
Hoe u de lokale GPO-instellingen kunt resetten als u zich niet kunt aanmelden bij Windows
Dit klinkt als een worstcasescenario, maar het is mogelijk. Als je volledig bent buitengesloten, of als het beleid zo slecht is dat het de opdrachtprompt of Verkenner blokkeert, start dan op vanaf Windows-herstelmedia of een opstartbare USB-stick. Het plan is om die GPO-registerbestanden van buiten Windows te verwijderen: – Start op in Windows-herstelmodus (Shift + Herstarten of via opstartmedia) – Wanneer je het Windows-installatiescherm ziet, druk je op Shift + F10 om een opdrachtprompt te openen – Gebruik de volgende diskpartopdracht om je systeemstation te vinden als dit niet C: is.(Omdat stationsletters natuurlijk anders kunnen zijn wanneer je opstart vanuit herstelmodus.) bash diskpart list volume exit Verwijder vervolgens de GPO-bestanden: bash RD /S /QD:\Windows\System32\GroupPolicy RD /S /QD:\Windows\System32\GroupPolicyUsers Vervang D: door je daadwerkelijke stationsletter. Herstart de computer en het beleid zou terug moeten zijn naar de standaardinstellingen.
Wis domeinspecifieke groepsbeleidsinstellingen in Windows.
Als de pc vroeger deel uitmaakte van een domein, of dat nog steeds doet, kunnen die beleidsregels achterblijven nadat de pc het domein heeft verlaten. Meestal is het verwijderen van de registry.pol-bestanden in de map met domeinbeleidsregels voldoende, maar soms blijven ze in de cache opgeslagen. Je kunt dit batchscript proberen (niet voor angsthazen): batch DEL /S /F /Q “%ALLUSERSPROFILE%\Microsoft\Group Policy\History\*.*” REG DELETE HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy /f REG DELETE HKLM\Software\Policies\Microsoft /f REG DELETE HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies /f REG DELETE HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies /f REG DELETE HKCU\Software\Policies\Microsoft /f REG DELETE “HKCU\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects” /f DEL /F /QC:\WINDOWS\security\Database\secedit.sdb klist purge gpupdate /force exit Let op: het is een nogal drastische maatregel, maar hiermee wordt het grootste deel van de cache met domeininstellingen gewist. Houd er rekening mee dat de map Groepsbeleidvoorkeuren mogelijk nog steeds eerdere instellingen bevat.
Hoe u de standaard domeingroepsbeleidsregels kunt herstellen
Wanneer domeinbeleid niet meer klopt, of als u het gewoon wilt terugzetten naar de standaardinstellingen, dcgpofixis de tool van Microsoft de beste optie. Voer deze uit vanuit een opdrachtprompt met beheerdersrechten op uw domeincontroller: `bash dcgpofix /target:Domain` of `dcgpofix /target:DC`.Of beide tegelijk: `bash dcgpofix /target:both`.Soms ziet u een foutmelding over incompatibele schemaversies. Dit gebeurt als het schema in uw Active Directory niet gesynchroniseerd is. U kunt /ignoreschemade reset forceren door de volgende opdracht toe te voegen, maar wees voorzichtig: `bash dcgpofix /ignoreschema /target:Domain`.Let op: deze methoden zetten het standaardbeleid van het domein terug. Maak eerst een back-up van eventuele aanpassingen, anders loopt u het risico belangrijke configuraties te verliezen.
Samenvatting
Het herstellen van mislukte GPO’s kan een behoorlijk proces zijn, vooral als beleidsregels door elkaar lopen of als je bent buitengesloten. Bestanden verwijderen, commando’s uitvoeren en soms opstarten in de herstelmodus is niet leuk, maar het werkt vaak wel. Zorg ervoor dat je een back-up maakt van alle belangrijke gegevens voordat je met systeembestanden gaat rommelen, want Windows maakt het natuurlijk altijd net iets ingewikkelder dan nodig. Hopelijk brengt een van deze trucs alles weer in orde, zodat je systeem weer als nieuw aanvoelt.
Samenvatting
- Gebruik deze optie
gpedit.mscom het beleid handmatig te wijzigen naar ‘Niet geconfigureerd’. - Verwijder de registry.pol-bestanden en voer de opdracht uit
gpupdate /forceom het beleid systeembreed te resetten. - Voer
seceditopdrachten uit om de beveiligingsinstellingen te herstellen. - Start op in de herstelmodus om GPO-bestanden te verwijderen als u bent uitgelogd.
- Gebruik dit
dcgpofixvoor resets op domeinniveau.
Uiteindelijk is het best vreemd dat Windows deze beleidsregels gescheiden houdt van al het andere, waardoor het resetten een beetje een raadsel is. Maar na het een paar keer gedaan te hebben, voelt het minder als zwarte magie. Ik hoop dat dit iemand urenlang frustratie bespaart.