Не удалось открыть объект групповой политики на этом компьютере.

Системные администраторы обязаны обеспечить для пользователей и компьютеров безопасные настройки, которыми можно централизовано управлять и развертывать. Обычно вся конфигурация определяется, обновляется и распространяется непосредственно при помощи объектов групповой политики. Объекты групповой политики позволяют рационально управлять всей инфраструктурой предприятия, начиная от незначительных подразделений и групп и заканчивая сайтами и доменами.

Причины ошибки

Наиболее вероятной причиной проблемы послужило повреждение файла . Не могу утверждать это гарантийно, но в моём Журнале событий промелькнула характерная ошибка с характерным ИД события. Файл, напомню, хранит в себе информацию по настройкам политик, связанных с настройками реестра, в т.ч. административные шаблоны, политики контроля за приложениями и ещё кое-что. Срисовать содержимое ошибки-события не удалось, так как у меня по несчастливой на этот раз случайности настроена регулярная очистка Журнала. Что же послужило изначально причиной повреждения самого файла, сказать уже не могу. Однако, думаю, после дальнейших манипуляций ваши проблемы также закончатся.

Оснастка Управление групповой политикой

Оснастка «Управление групповой политикой»устанавливается на сервер вместе с ролью«Доменные службы Active Directory»(AD DS). Но если не удается ее найти, то всегда данную оснастку можно заново установить. Для того чтобы повторно установить текущую оснастку, в«Диспетчере сервера», в узле«Сводка компонентов»перейдите по ссылке«Добавить компонент». Выберите компонент«Управление групповой политикой»в диалоговом окне«Мастер добавления компонентов»и следуйте инструкциям мастера. По завершению установки закройте мастер установки.

Также есть альтернативный способ установки данного компонента – использование командной строки и утилиты управления конфигурацией сервера. В командной строке, запущенной с правами администратора введите ServerManagerCmd -install gpmc. При желании можно вывести результат установки в xml файл, используя параметр–resultPath.

Для того чтобы открыть оснастку «Управление групповой политикой» (рисунок 4), выполните любое из следующих действий:

Рисунок 4. Оснастка «Управление групповой политикой»

Содержимое оснастки «Управление групповой политикой»предоставляет множество средств, предназначенных для обеспечения централизованного управления инфраструктурой организации.

Но интерфейс данной оснастки можно изменить, используя функционал редактирования параметров пользовательского интерфейса. Для того чтобы изменить отображение некоторых элементов оснастки, откройте меню «Вид»и выберите команду«Параметры». В диалоговом окне«Параметры»можно настроить элементы, параметры которых располагаются в следующих вкладках:

  • Вкладка «Столбцы». На этой вкладке можно изменить отображение и порядок столбцов для основных таблиц текущей оснастки, а именно:«Наследование групповой политики»,«Начальные объекты групповой политики»,«Объекты групповой политики»,«Связанные объекты групповой политики»и«Фильтры WMI». Достаточно просто выбрать из раскрывающегося списка редактируемую таблицу, в поле«Столбцы отображаются в следующем порядке»снять флажки с наименований лишних столбцов и установить их порядок, используя кнопки«Вверх»или«Вниз». Также можно изменять порядок столбцов непосредственно из таблицы, меняя их местами так, как удобно. Для того чтобы изменения были сохранены при повторном открытии оснастки, в окне параметров установите флажок«Сохранять порядок и размеры изменяемых столбцов»(рисунок 5).

Рисунок 5. Вкладка «Столбцы» параметров оснастки

  • Вкладка «Отчет» (рисунок 6). Используя эту вкладку, можно изменить папку, которая используется по умолчанию для расположения ADM-файлов. Следует помнить, что изменения, которые проводятся на данной вкладке, будут распространяться только на устаревшие ADM-файлы, а расположение файлов ADMX, которые используются в операционных системах Windows Vista и Windows 7 останется без изменений. Если переключатель будет установлен на параметре«По умолчанию», то поиск файлов ADM изначально будет проводиться в папке Windows и в том случае, если файл не будет найден, консоль GPMC будет просматривать папку объектов групповой политики (GPO), находящуюся в папке Sysvol. Если установить переключатель на параметр«настраиваемое», то консоль GPMC изначально будет искать файлы adm в той папке, которая будет указана, а затем в расположениях по умолчанию.

Рисунок 6. Вкладка «Отчет» параметров оснастки

  • Вкладка «Общие» (рисунок 7). На вкладке«Общие»настраиваются параметры, которые распространяются на отображение лесов и доменов только с двухсторонними отношениями доверия, отображения имени контроллеров домена, а также для отображения диалогового окна подтверждения для различия между объектами групповой политики и связи этих объектов.

Рисунок 7. Вкладка «Общие» параметров оснастки

Что делать, если компьютер пишет «служба клиент групповой политики… »

К сожалению, однозначно диагностировать причину возникновения данной проблемы практически невозможно, поэтому целесообразно сразу приступить к поиску подходящего метода ее устранения, используя всем известный "метод перебора".

Вариант 1

Если проблема касается какой-то конкретной учётной записи и минует все остальные (т.е. с другим логином и паролем юзер может спокойно пользоваться системой), то следует предпринять следующие действия:

  • Для начала не лишним будет проверить систему на наличие ошибок: сделать это можно командой «sfc/scannow».
  • Далее нажмите комбинацию клавиш «WIN+R» и введите и выполните команду «regedit».
  • В открывшемся окне редактора реестра перейдите по пути «HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList».
  • В папке «ProfileList» будут находиться все актуальные учётные записи: найдите проблему, просматривая каждую папку и обращая внимание на файл «ProfileImagePath», значение которого содержит наименование проблемной учётной записи и путь её нахождения. Проверьте, соответствует ли указанный там путь действительному.
  • У папки, где хранятся данные о "проблемной" учётной записи, имя будет «» (примерное содержание).
  • Соответственно, переименуйте данную папку (удалив расширение «.bak»), и перезагрузите компьютер для вступления в силу всех изменений.

Если данный метод не решил проблему со входом в систему Windows, переходим к следующему варианту.

Вариант 2

Второй способ заключается в создании новой учётной записи и в переносе из неё определённого файла в проблемную учётную запись. Для этого потребуется:

Возможна ситуация, когда после выбора данных параметров не произойдёт ровным счётом ничего — это может указывать на наличие вирусной активности в системе, что и могло, в конечном итоге, привести к возникновению рассматриваемой проблемы.

  • Здесь же, в Безопасном режиме, откройте «Панель управления» — «Учётные записи пользователей» — «Управление другой учётной записью».
  • Кликните по кнопке «Создание новой учётной записи», укажите имя и обязательно наделите новую учётную запись правами администратора.

В завершение нажмите «ОК» и перезагрузите компьютер.

Далее на этапе выбора учётной записи обратите внимание на только что созданную учётку и дождитесь завершения настройки рабочего стола, после чего потребуется:

Вариант 3

Данный способ по смыслу и конечному результату схож с вышепредложенным, но подразумевает выполнение некоторых альтернативных шагов.

Итак, вариант №3 можно применить даже в том случае, если пользователю не удаётся зайти в Безопасный режим.

Для его осуществления может потребоваться загрузочный носитель с образом операционной системы (если не удастся использовать встроенные средства восстановления системы).

  • Включите компьютер, нажмите и удерживайте клавишу «F8» до появления окна «Дополнительные варианты загрузки».
  • В открывшемся списке возможных сценариев выберите раздел «Устранение неполадок компьютера».
  • В первых шагах системой будет предложено выбрать язык и раскладку клавиатуры, а также ввести логин и пароль учётной записи администратора.
  • После ввода и подтверждения данных появится окно «Параметры восстановления системы», в котором необходимо выбрать последнюю строку «Командная строка».
  • Перед вами откроется консоль, в которой выполните две команды: «net user UserName /add» и «net localgroup администраторы UserName /add» (в зависимости от ОС может потребоваться ввести вторую команду полностью на английском, то есть «net localgroup administrators username /add»).

Далее необходимо повторить действия по копированию файла «», подробно описанные в предыдущем методе устранения неисправности.

Вариант 4

Заключительный способ — хороший альтернативный вариант в тех ситуациях, когда проблемная учётная запись является административной.

Первые шаги выполняются аналогично: требуется запустить командную строку, лучше если сделать это через средства восстановления системы.

После запуска командной строки и открытия консоли необходимо выполнить команду «secedit /configure /cfg %windir%\inf\ /db /verbose», предназначение которой в сбросе локальной политики безопасности Windows.

Устанавливаем редактор на Windows Home

Теперь разберемся с домашней версией «десятки». В ней нет локальных политик по умолчанию, то есть нет редактора с доступным графическим интерфейсом. Все изменения, которые доступны в редакторе, нужно делать через реестр. А это менее наглядно и неудобно.

Но попробуем установить редактор на Home-версию. Для этого запускаем командную строку от имени администратора. Здесь подробно описано, как это сделать.

Нам нужно прописать по очереди две команды:

  • FOR %F IN («%SystemRoot%\servicing\Packages\Microsoft-Windows-GroupPolicy-ClientTools-Package~*.mum») DO (DISM /Online /NoRestart /Add-Package:»%F»)
  • FOR %F IN («%SystemRoot%\servicing\Packages\Microsoft-Windows-GroupPolicy-ClientExtensions-Package~*.mum») DO (DISM /Online /NoRestart /Add-Package:»%F»)
Устанавливаем редактор на Windows Home

Кому-то легче будет создать текстовый файл, скопировать обе команды и сохранить его под любым именем с расширением .bat. Затем данный файл запустить от имени администратора и дождаться выполнения команд.

После установки пакетов редактора попробуйте его открыть. Воспользуйтесь любым вышеописанным способом.

Обратите внимание! Многие параметры, даже при успешной установке редактора, будут недоступны в Home версии.

Осуществление контроля над внешними устройствами

Еще одним способом защиты компьютера от различного вида угроз является установка уровня доступа для различных классов устройств после их установки:

  • запрет на чтение с устройств позволяет уменьшить риск заражения компьютера принесенными «извне» вредоносными программами;
  • запрет на запись, наоборот, не позволит сотруднику вынести за периметр предприятия внутренние документы;
  • запрет на выполнение с внешних устройств позволяет снизить риски заражения компьютера при запуске приложений.

Для настройки доступа к различным видам устройств нужно в редакторе групповых политик открыть раздел «Конфигурация компьютера — Административные шаблоны — Система — Доступ к съемным запоминающим устройствам». Краткое описание политик управления автозапуском приведено в таблице 3. Политики доступа к каждому из классов устройств в таблице объединены в одну группу.

Рисунок 30. Раздел «Доступ к съемным запоминающим устройствам»

Таблица 3. Политики доступа к съемным запоминающим устройствам

Параметр политики Описание
Съемные запоминающие устройства всех классов: Запретить любой доступ (All Removable Storage classes: Deny all access) Когда политика включена, то запрещается доступ для чтения и записи к любым устройствам, определенным как устройства, использующие съемные носители. Политика имеет приоритет перед любыми параметрами политики в этом разделе.
Все съемные носители: Разрешать прямой доступ в удаленных сеансах (All Removable Storage: Allow direct access in remote sessions) Политика позволяет под учетной записью обычного пользователя обращаться к съемному носителю в рамках удаленного сеанса.
Компакт-диски и DVD-диски: Запретить выполнение, Запретить чтение, Запретить запись (CD and DVD: Deny execute access, Deny read access, Deny write access) Данные политики позволяют запретить выполнение приложений, чтение и запись с CD- и DVD-дисков.
Специальные классы: Запретить чтение, Запретить запись (Custom Classes: Deny read access, Deny write access) Данные политики позволяют запретить чтение и запись с нестандартных устройств.
Накопители на гибких дисках: Запретить выполнение, Запретить чтение, Запретить запись (Floppy Drives: Deny execute access, Deny read access, Deny write access) Данные политики позволяют запретить выполнение приложений, чтение и запись с гибких дисков.
Съемные диски: Запретить выполнение, Запретить чтение, Запретить запись (Removable Disks: Deny execute access, Deny read access, Deny write access) Данные политики позволяют запретить выполнение приложений, чтение и запись со съемных дисков.
Ленточные накопители: Запретить выполнение, Запретить чтение, Запретить запись (Tape Drives: Deny execute access, Deny read access, Deny write access) Данные политики позволяют запретить выполнение приложений, чтение и запись с ленточных накопителей.
WPD-устройства: Запретить выполнение, Запретить чтение, Запретить запись (WPD Devices: Deny execute access, Deny read access, Deny write access) Данные политики позволяют запретить выполнение приложений, чтение и запись со съемных дисков в устройствах WPD (Windows Portable Device), например, проигрыватели мультимедиа, мобильные телефоны, устройства под управлением ОС Windows CE.

Запрет любого доступ для всех видов устройств выполняется следующим образом. В редакторе групповой политики выбираем политику «Съемные запоминающие устройства всех классов: Запретить любой доступ», устанавливаем режим «Включить» и нажимаем кнопку «Ок».

Рисунок 31. Политика запрета доступа для всех съемных устройств

Далее следует запретить доступ к съемным устройствам при удаленных сеансах. Для этого в правой части окна выбираем политику «Все съемные носители: Разрешать прямой доступ в удаленных сеансах», устанавливаем режим «Включить» и нажимаем кнопку «Ок».

Рисунок 32. Политика для запрета доступа для всех съемных устройств

После применения доступ для всех описанных классов устройств будет заблокирован.

Если нам нужно запретить для конкретного класса устройств запретить выполнение, запись или чтение нам нужно включить соответствующую политику. Например, чтобы запретить чтения со съемных дисков, в редакторе групповой политики выбираем политику «Съемные диски: Запретить чтение», устанавливаем режим «Включить» и нажимаем кнопку «Ок».

Рисунок 33. Политика для запрета чтения со съемных устройств

Отключение доступа ко всем классам устройств производится аналогично.

Читайте также:  Запись звука Windows 10 — как записать голос с микрофона