ГлавнаяРазноеРедактирование реестра gpo отмена

Редактирование реестра запрещено администратором системы, что делать? Редактирование реестра gpo отмена


Отменяем действие групповых политик на локальном компьютере

Отменяем действие групповых политик на локальном компьютере

Групповые политики — это основной инструмент управления пользователями в домене. С их помощью администратор может настраивать практически любые параметры рабочей среды пользователя. Все, начиная от запрета на запуск определенных программ и заканчивая рисунком на рабочем столе можно задать через групповые политики. Управление политиками осуществляется на уровне домена и только члены группы администраторов домена или предприятия имеют к ним доступ.

А можно ли отменить действие групповых политик на компьютере, не будучи при этом администратором домена? Сегодня мы попробуем это выяснить. В качестве подопытного возьмем компьютер с установленной на нем Windows 7, являющийся членом домена. Все действия будем проводить под обычной учетной записью, не имеющей в домене никаких административных полномочий.

За применение групповых политик на локальном компьютере в Windows 7 отвечает служба Group Policy Client (gpsvc). Ее состояние можно посмотреть прямо в Диспетчере задач, на вкладке Службы.

 

Или в оснастке Службы (Services).

 

Первое что приходит в голову — просто остановить службу и установить режим запуска в Disabled. Но не все так просто, как кажется. Служба gpsvc запускается от имени локальной системы, и не остановить, не изменить параметры запуска ее из графической оснастки мы не сможем.

 

Как вариант можно с помощью утилиты psexec запустить командную консоль от имени системы и затем остановить службу командой net stop gpsvc

 

Но решение это временное. Хотя служба и остановлена, изменить параметры ее запуска мы все равно не сможем, и при следующей перезагрузке она будет запущена. Чтобы изменить режим запуска службы нам потребуется правка реестра.

Настройки службы находятся в разделе HKLM\SYSTEM\CurrentControlSet\Services\gpsvc. По умолчанию изменение параметров этого раздела запрещено, так что прежде чем приступать к его редактированию, нам необходимо получить на это права. Кликаем правой клавишей мыши на разделе и выбираем пункт «Разрешения».

 

Первым делом нам надо изменить владельца раздела. Для этого идем в дополнительные параметры безопасности и выбираем владельцем свою учетную запись.

 

После чего даем себе полные права и, на всякий случай, удаляем всех из списка доступа.

 

Теперь можно вернуться к настройкам службы. За режим запуска отвечает параметр Start. По умолчанию он равен 2, что означает режим запуска Авто. Для отключения службы ставим 4.

 

И еще. Отключив таким образом службу клиента групповой политики, вы  периодически будете получать в трее уведомления о недоступности службы Windows.

 

Чтобы этого избежать, можно удалить (предварительно сохранив) раздел реестра HKLM\SYSTEM\CurrentControlSet\Control\Winlogon\Notifications\Components\GPClient

 

Таким вот нехитрым способом можно отключить действие групповых политик. При этом совсем не обязательно обладать административными правами в домене, достаточно лишь входить в группу локальных администраторов на компьютере. Правда такой номер может пройти только на компьютерах с Windows 7 или Vista. В более ранних ОС службы gpsvc нет, а за применение групповых политик отвечает служба Winlogon.

Да, чуть не забыл. Все действия, описанные в статье, я проводил исключительно в познавательных целях 🙂  Делать подобное в сети предприятия крайне не рекомендуется, кое где за это могут и уволить. И перед любым вмешательством в реестр обязательно делайте его резервную копию, чтобы в случае чего оперативно откатить изменения.

windowsnotes.ru

Настройка ключей реестра с помощью групповых политик

Настройки большинство приложений и множество тонких настроек Windows не предполагают централизованного управления средствами групповых политик (GPO), но часто имеют возможность настройки своих параметров через реестр. В этой статье мы рассмотрим, как с помощью групповых политик централизованно управлять, создавать, изменять значение и удалять произвольные ключи реестра на компьютерах домена.

Классические групповые политики не предполагают встроенной возможности управления произвольным ключом реестра. Поэтому администраторам для централизованного назначения ключей реестра через GPO приходилось использовать такие трудоемкие методы, как создание собственных административных (.adm / .admx) шаблонов GPO (пример GPO на admx шаблоне для Google Chrome) или сценариев для Logon скриптов.

В Windows Server 2008 Microsoft представила расширение групповых политик под названием предпочтения групповых политик (Group Policy Preferences — GPP). GPP в том числе позволяет управлять параметрами реестра, т.е. добавлять ключи и значения, а также удалять или изменять их. Рассмотрим эти возможности подробнее.

Допустим, нам нужно на всех ПК в определенном OU отключить автоматическое обновление драйверов путем модификации ключа SearchOrderConfig в ветке реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\DriverSearching. Есть два варианта задания ключа реестра на целевых компьютерах: с помощью встроенного в консоль GPP браузера реестра на удаленных компьютерах или вручную, путем ручного указания ветки и ключа. Сначала рассмотрим первый способ:

  1. Откройте консоль Group Policy Management Console (gpmc.msc)
  2. Создайте новую (или отредактируйте существующую) GPO, назначьте ее на нужный контейнер (OU) в AD и перейдите в режим ее редактирования
  3. Разверните раздел GPO Computer (или User) Configuration -> Preferences -> Windows Settings -> Registry и в контекстном меню выберите пункт New -> Registry Wizard
  4. Мастер Registry Wizard позволяет подключиться к реестру на удаленной машине и выбрать уже существующий ключ реестра
  5. Укажите удаленный компьютер, к которому нужно подключиться и выбрать существующий ключ и ветку реестра.Примечание. Если при подключении появится ошибка The network path was not found, скорее всего компьютер отключен, либо на нем не включена служба Remote Registry (Удаленный реестр). Чтобы вручную включить службу, на данном компьютере нужно выполнить команды:sc config remoteregistry start= demandnet start remoteregistry

  6. С помощью браузера удалённого реестра выберите ключ или ключи реестра, которые вы хотите задать через GPO.Примечание. Данный браузер позволяет на удаленных ПК выбирать ключи только из веток HKEY_LOCAL_MACHINE и HKEY_USERS. Если нужно задать ключи, содержащиеся в других ветках реестра, придется на удаленной машине установить RSAT (RSAT для Win 7, RSAT для Win1). Затем на данном ПК запустить консоль gpmc.msc и по аналогичной процедуре указать искомые ключи.
  7. В нашем примере мы хотим импортировать в GPP только один ключ — SearchOrderConfig
  8. Указанный ключ импортируется в консоль GPP, в дальнейшем можно изменить его значение и желаемое действие с ним (рассмотрим чуть ниже).
  9. На этом создание политики GPP закончено и через некоторое время данный ключ должен создастся на всех компьютерах, попадающих под действие этой политики (если политика не отрабатывает на клиенте, для диагностики можно воспользоваться утилитой gpresult)

Создать, удалить или обновить значение ключа реестра с помощью GPP можно и путем ручного указания ветки реестра и значения ключа.

  1. Для этого выберите пункт New->Regisrty Item
  2. В полях Hive, Key Path, Value Name, Value type, Value data нужно указать соответственно раздел реестра, ветку, имя, тип и требуемое значение ключа.
  3. По умолчанию ключ устанавливается в режиме Update.

Доступны 4 вида операции с ключами.

  • Create – создает ключ реестра. Если параметр уже имеется, его значение не меняется.
  • Update (По-умолчанию) – если параметр уже имеется, его значение обновляется в соответствии с указанным в GPP. Если ключ отсутствует – он создается
  • Replace — если элемент реестра уже существует, он удаляется и создается заново (применяется редко)
  • Delete – ключ удаляется

На вкладке Common есть еще ряд полезных опций:

  • Run in logged-on user’s security context (user policy option) — ключ создается в контексте текущего пользователя (возможно только для GPP в пользовательском разделе политик). В том случае, если у пользователя нет прав администратора – записать в системные ветки реестра не удастся
  • Remove this item when it is no longer applied – если политика перестает действовать на клиента, ключ автоматически удаляется
  • Apply once and do not reapply – политика для каждого ПК применяется только один раз. В дальнейшем переприменяться не будет
  • Item-level targeting – возможность более точного таргетирования политики на клиентов

Вот так как выглядит результирующей отчет с настройками политик в консоли GPMC.

Примечание. В Windows XP и Windows Server 2003 (уже снятых с поддержки), раздел GPP в редакторе политик отсутствует, и следовательно не применяется. Чтобы добавить функционал GPP в эти ОС, необходимо установить обновление KB943729 (клиентские расширения предпочтений групповых политик).

winitpro.ru

Как запретить/разрешить доступ к редактору реестра?

В этой статье я опишу как запретить или разрешить доступ к средствам редактирования реестра.

Запретив доступ к редактированию реестра можно обезопасить компьютер от некоторого вида вирусов, которые лезут в реестр и творят там «тёмные» дела или от посторонних пользователей.

Ну а теперь я перейду к описанию способов запрета или разрешения запуска средств редактора реестра.

Способ 1 — Административные шаблоны

Для того чтобы запретить или разрешить доступ к средствам редактирования реестра через административные шаблоны необходимо:

  1. Открыть Групповую политику (введя в диалоговое окно Выполнить команду gpedit.msc)
  2. В разделе Конфигурация пользователя перейти к Административные шаблоны→Система
  3. В правой части окна найти строку «Сделать недоступными средства редактирования реестра» или «Запретить доступ к средствам редактирования реестра«

4. И нажав правой кнопкой по найденной строке выбрать в контекстном меню Изменить. После чего откроется окно:

Откроется окно в котором Вам нужно будет выбрать один из параметров, Включено — запрещает редактирование реестра, Отключено — разрешает. После того как Вы установили нужный Вам параметр, нажимаете ОК и закрываете все открытые окна. Перезагружаете компьютер. Готово.

С первым способом разобрались теперь переходим ко второму.

Способ 2 — Запрет/разрешение запуска средств редактирования реестра с помощью самого реестра
  1. Запускаете редактор реестра
  2. В открывшемся окне переходим к ветке реестра: HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
  3. Создаете параметр типа DWORD и называете его DisableRegistryTools
  4. Присваиваете ему значение: 1 — запрещает вызов редактора реестра, 0 — разрешает.

Данный способ не запрещает полностью редактирование реестра, а только не дает запустить regedit.exe, другие программы редактирующие реестр игнорируют этот параметр.

Способ 3 — Запрет/разрешение запуска средств редактирования реестра с помощью «reg-файла»
  1. Создаете reg-файл со следующим содержимым представленным ниже для запрета или запуска редактора реестра:
  • Запрет запуска

Windows Registry Editor Version 5.00 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] «NoDriveTypeAutoRun»=dword:00000091 «RestrictRun»=dword:00000001 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\RestrictRun] «1»=»regedit.exe» 

  • Снятие запрета запуска

Windows Registry Editor Version 5.00 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] «NoDriveTypeAutoRun»=dword:00000091 «RestrictRun»=dword:00000000

На этом все! Надеюсь информация оказалась полезной!

hsp.kz

Как разрешить редактирование рееста если оно запрещено администратором системы

14 янв. 2013 г. в 14:41

Сообщение «Редактирование реестра запрещено администратором системы» появляется при заражении компьютера вирусом. Вирус записывает в ключи реестра информацию для автозапуска и блокирует доступ чтобы никто не мог найти и удалить его записи.

Доступ блокируется только для стандартной Windows программы — «RegEdit» и ничто не мешает скачать альтернативный редактор. Рекомендую использовать «RegOrganizerPortable». Загрузить её лучше с официального сайта разработчика — www.chemtable.com.

Чтобы снять запрет на редактирование реестра необходимо удалить параметр «DisableRegistryTools» в ключе:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

Другой способ снятия запрета редактирования

Ещё один вариант снятия запрета на редактирование реестра — воспользоваться редактором локальной групповой политики. Чтобы получить к нему доступ запустите файл «gpedit.msc». Сделать это можно через кнопку «Пуск > Выполнить».

В открывшемся окне найдите пункт «Запретить доступ к средствам редактирования реестра». Раздел, в котором он находится указан на изображении.

Если этот параметр включен, а пользователь попытается запустить «RegEdit.exe», будет выведено сообщение о том, что выполнение дейстия запрещено.

Чтобы запретить пользователям использовать другие средства администрирования, используйте параметр «Выполнять только указанные приложения Windows».

realadmin.ru

Редактирование Реестра Запрещено Администратором Системы — Kompsekret

Бывает так, что при попытке запуска редактора реестра («Пуск» => «Выполнить» => regedit), появляется сообщение «Редактирование реестра запрещено администратором системы».

Такая ошибка чаще всего возникает при заражении компьютера вирусами, которые отключают редактор реестра для того чтобы нельзя было их оттуда удалить.

Как включить редактирование реестра? Существует несколько способов, которые мы далее и рассмотрим.

Способ 1. Использование Программы XP Tweaker.

Один из самых простых способов справиться с этой проблемой — использовать программу XP Tweaker. Программа на русском языке и, даже, не требует инсталляции.

Скачать Программу >>

1. Скачиваем, распаковываем архив в отдельную папку и запускаем XPTweaker.exe

2. Выбираем в меню «Защита» вкладку «Система».

3. Убираем галочку напротив пункта «Запретить редактирование реестра». Если галочки нет, то ставим ее и жмем «Применить», затем убираем и опять жмем «Применить».

4. Закрываем программу и запускаем редактор реестра.

Способ 2. Выполнение Команды.

Второй простой способ включить редактирование реестра — выполнить команду:

REG DELETE HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /f

1. Копируем вышеуказанную строчку.

Нажимаем «Пуск» => «Выполнить» => Вставляем скопированную команду => «ОК».

Способ 3. Использование Групповой Политики.

Есть еще один способ решить проблему «Редактирование реестра запрещено администратором системы» — это использовать Групповую Политику.

1. «Пуск» => «Выполнить» => gpedit.msc => «ОК».

2. Откроется окно «Групповая политика». В левом окне находим и разворачиваем «Конфигурация пользователя», далее «Административные шаблоны»,  затем «Система»/

3. В правой части окна находим параметр «Сделать недоступными средства редактирования реестра».

4. Щелкнув правой кнопкой мыши на этом параметре открываем «Свойства».

5. Указываем состояние диспетчера «Не задан» и жмем «ОК».

6. Все закрываем и перезагружаем компьютер.

kompsekret.ru

Редактирование реестра запрещено администратором системы, что делать?

Реестр является лакомым кусочком для компьютерных вирусов. В нем по сути, можно делать какие угодно выкрутасы с операционной системой. Естественно, запретить пользователю его редактирование будет логично. Ведь фактически любую программу, включая вирус, можно удалить\изменить в редакторе реестра.  Даже когда антивирусник удалит следы вредоносных программ, некоторые изменения операционной системы, включая запрет на редактирование реестра придётся исправлять вручную.

Редактирование реестра запрещено администратором системы. Чтобы включить заново редактор, есть несколько способов, мы рассмотри 2, а также я дам рекомендации по чистке реестра после того, как запустим.

Делаем следующее для начала. Открываем пуск, и там, где «найти программы и файлы» вбиваем следующее «gpedit.msc» без кавычек. Или же нажимаем комбинацию клавиш «Win+R» и вбиваем это же. После чего нажимаем «Enter»

Откроется редактор локальной групповой политики.  В левом столбце будет 2 заголовка «Конфигурация компьютера» и «Конфигурация пользователя». Нас интересует последнее, т.е. «Конфигурация пользователя». В ней есть пункт «Административные шаблоны», раскрываем его (не перепутайте с таким же пунктом выше). И нажимаем на строчку «Система»

В правом окне  опускаем ползунок вниз на строку «Запретить доступ к средствам редактирования реестра», жмем два раза на этой строчке, или нажимаем «изменить параметр политики»

Теперь вверху меняем переключатель на «Отключить» и жмем «ОК»

Пробуем теперь запустить редактор реестра. Нажимаем «WIN+R»  и вбиваем «regedit», после чего нажимаем «Enter» Реестр должен запуститься.

Редактирование реестра запрещено администратором системы. Второй способ, это запуск реестра альтернативными редакторами, например с автозагрузчика.

Ищем ветку «HKEY_CURRENT_USER» -«Software» - «Microsoft» - «Windows» - «CurrentVersion» - «Policies» - «System».

В параметре «REG_DWORD» с названием «DisableRegistryTools» нужно поменять значение с «1» на «0», или вообще удалить.

Эти способы должны решить нашу задачу. Реестр со временем захламляется, особенно после вирусов, и влияет на скорость работы операционной системы. Рекомендую навести порядок. Подробно об этом в статье «Чистка реестра windows 7»

Вместе с реестром вирусами очень часто отключается и «диспетчер задач», чтобы знать, как заново включить его, прочитайте статью «Почему диспетчер задач отключен администратором?»

pc-knowledge.ru

Редактирование реестра запрещено администратором, ошибка доступа

В реестре хранится множество параметров, которые используются системой при загрузке и в процессе своей работы. Благодаря этому, его можно использовать для настройки системы, для восстановления после сбоев и для борьбы с вредоносными программами.

Вход в реестр

Существует несколько способов запустить редактор реестра. Можно просто начать набирать в поиске название утилиты, но есть простой и универсальный способ, который работает в любой версии виндовс. Нужно просто нажать win+r и набрать в открывшемся окне regedit.

Дальше останется нажать на ок. Это позволит зайти в реестр в Windows 7, 8,1 и 10.

Ошибка — редактирование реестра запрещено администратором

Однако, в некоторых случаях, при попытке запустить редактор, пользователь получает сообщение с текстом – редактирование реестра запрещено администратором:

Этому может быть несколько причин, редактирование могло быть действительно запрещено одним из администраторов, либо это сделал вирус, чтобы его было сложнее найти у устранить.

Есть несколько способов устранить подобный сбой и включить реестр.

Используем редактор групповых политик

Этот метод доступен только обладателям профессиональных версий системы, если у пользователя установлена не такая, то следует перейти к следующим разделам. Для начала также следует нажать на  Win+R и написать в открывшемся окне gpedit.msc.

В появившемся окне необходимо проследовать по маршруту Конфигурация пользователя — Административные шаблоны — Система.

Здесь следует найти переменную Запретить доступ к средствам редактирования реестром, дважды кликнуть по ней, а в новом окне выключить ее использование.

Останется только перезагрузить компьютер, после чего можно приступать к редактированию.

Утилита AVZ

Можно воспользоваться для решения проблемы и утилитой, которую можно найти на официальном сайте http://www.z-oleg.com/. После загрузки надо нажать на нее ПКМ и запустить от имени администратора. В самой программе потребуется нажать на файл, далее выбрать восстановление системы. Далее нужно отметить галочкой разблокировку реестра.

После, останется только нажать внизу окна на кнопку «Выполнить отмеченные команды» и дождаться окончания процесса.

Решение от компании Symantec

Производитель антивирусного ПО выпустил свой фикс, который помогает устранить данную проблему. Нужно только зайти на их сайт и скачать файл, сделать это можно по ссылке http://securityresponse.symantec.com/avcenter/UnHookExec.inf. Дальше потребуется кликнуть правой кнопкой мыши по загруженному файлу и установить его, после чего, доступ разблокируется.

Используем командную строку

Для начала потребуется запустить командную строку от имени администратора, сделать это можно через поиск – написать cmd, в списке кликнуть ПКМ на нужном пункте или воспользоваться комбинацией Win+X (в новых версиях системы), как было описано выше.

В ней следует ввести и выполнить оператор reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System» /t Reg_dword /v DisableRegistryTools /f /d 0 .

Если консоль недоступна, то следует скопировать этот код в блокнот, после чего сохранить файл с расширением .bat, после чего, его потребуется выполнить от имени администратора.

Ошибка доступа к разделам реестра

В некоторых случаях, может получиться так, что пользователь не имеет доступа только к определенным разделам реестра.

Стоит заметить, что отменить изменения в реестре нельзя, если заранее не была создана копия. Поэтому стоит очень внимательно выполнять следующие инструкции.

Смена владельца

Для начала можно попробовать сменить владельца. В этом случае необходимо встать на тот раздел, редактирование которого не удается и щелкнуть по нему правой кнопкой мыши, после чего выбрать разрешения.

В открывшемся окне нужно нажать на дополнительно, а в следующем, щелкнуть по кнопке изменить в самом верху.

Затем следует ввести нужное имя и кликнуть на «Проверить имена»

В следующих двух окнах придется кликнуть на ОК, после чего учетная запись будет добавлена во владельцы и пользователь сможет редактировать нужный раздел.

Возвращаем исходные настройки

После внесения нужных изменений стоит вернуть все как было и убрать лишних пользователей, чтобы они случайно ничего не отредактировали. Для этого стоит зайти на вкладку безопасности и удалить там добавленные учетные записи.

Вносим изменения от имени системы

Даже у администратора нет доступа ко всем разделам, чтобы редактировать или удалять некоторые из них потребуются системные права. Для начала следует скачать и установить утилиту https://docs.microsoft.com/ru-ru/sysinternals/downloads/psexec, после этого нужно запустить командную строку от имени администратора и ввести команду PsExec -s -i RegEdit. Дальше можно вносить изменения.

Не удалось отобразить текущего владельца

В этом случае также можно попробовать запуск от имени системы. Если не помогло, то можно скачать программу по ссылке http://dsrt.dyndns.org/uvs.htm, в ней выбрать «Запустить под LocalSystem», меню «Запустить» -> «Редактор реестра», что также может помочь. Если ничего из этого не помогло, то придется воспользоваться лайв сиди — загрузиться и отредактировать с него, также можно сбросить систему до заводских настроек.

composs.ru