如何在 Windows 上重置組策略設置

組策略對象 (GPO) 是一個方便的工具，用於在 Windows 中微調用戶和操作系統環境。域 GPO（如果計算機是 Active Directory 域的成員）和本地組策略（這些設置在計算機本地配置）都可以應用於計算機和用戶。由於某些 GPO 設置的配置不正確（通常與安全相關），您可能會在運行應用程序或工具時遇到各種問題、操作系統錯誤（甚至無法在本地登錄 Windows）等。如果您不知道哪個 GPO 設置導致問題，可以將 Windows 組策略設置重置為默認值。

內容：

• 如何使用 Gpedit.msc 重置特定的本地組策略選項
• 在 Windows 上使用 CMD 將所有組策略設置重置為默認值
• 在 Windows 中將本地安全策略設置重置為默認值
• 如果無法登錄 Windows，如何重置本地 GPO 設置
• 清除 Windows 中應用域的組策略設置
• 如何恢復默認域組策略

如何使用 Gpedit.msc 重置特定的本地組策略選項

圖形本地組策略編輯器控制台（gpedit.msc) 用於配置本地計算機上的 GPO 設置。此控制台僅適用於 Windows 10 和 11 的專業版、企業版和教育版。

提示。您還可以在 Windows 家庭版上安裝 gpedit.msc 控制台。

打開gpedit.mscMMC 管理單元並導航至所有設置部分 （本地計算機策略->計算機配置->管理模板）。本部分包含可用於在計算機上安裝的管理 (admx) GPO 模板中進行配置的所有選項。按“狀態”列對策略進行排序以查找所有配置的設置（帶有殘疾人或者啟用狀態）。

要禁用特定的組策略參數，您必須將其狀態更改為未配置。

• 您可以使用 LGPO.exe 工具備份當前的本地 GPO 設置。
• GPResult 命令可用於生成 HTML 報告，其中包含計算機上所有應用的本地和域策略設置的列表：gpresult /h c:PSGPRreport.html

同樣的方法，你也可以重新設置一下用戶配置本地 GPO 編輯器的部分。

這是在 Windows 中查找和撤消應用的本地組策略設置的最簡單方法

但是，不正確的組策略 GPO 設置可能會阻止 gpedit.msc 管理單元（或其他程序和工具）運行，可能會阻止您本地登錄到計算機，可能會撤銷您的本地管理員權限等。在這種情況下，您需要重置計算機上本地文件中的所有 GPO 設置。

在 Windows 上使用 CMD 將所有組策略設置重置為默認值

Windows 將本地組策略設置存儲在註冊表.pol文件。用戶和計算機的策略設置存儲在單獨的 POL 文件中。

• 計算機設置（計算機配置部分）存儲在%SystemRoot%System32GroupPolicyMachineregistry.pol
• 用戶設置（用戶配置部分）存儲在%SystemRoot%System32GroupPolicyUserregistry.pol

如果您從 gpedit.msc 控制台啟用本地 GPO 中的某些選項，您所做的任何更改都將保存到Registry.pol 文件中。當組策略設置更新時（使用gpupdate /force命令或按時間表）。

• 當您啟動計算機時，註冊表設置將從MachineRegistry.pol文件到HKEY_LOCAL_MACHINE（HKLM）蜂巢；
• 用戶設置是從UserRegistry.pol文件到 HKEY_CURRENT_USER(HKCU) 用戶登錄 Windows 時的註冊表配置單元。

因此，要刪除當前的本地組策略設置，必須刪除 GroupPolicy 和 GroupPolicyUsers 文件夾中的Registry.pol 文件。您可以從命令提示符刪除Registry.pol文件並重置當前的GPO設置：

RD /S /Q "%WinDir%System32GroupPolicyUsers"
RD /S /Q "%WinDir%System32GroupPolicy"

更新組策略中的設置以重置註冊表中的舊設置：

gpupdate /force

這些命令將重置“計算機配置”和“用戶配置”部分中的所有本地組策略設置。

打開gpedit.msc控制台並確保所有策略都設置為“未配置'。運行 gpedit.msc 控制台後，GroupPolicyUsers和GroupPolicy目錄將自動重新創建。

本地安全策略配置在單獨的secpol.mscMMC 控制台。如果要將本地 Windows 安全策略設置重置為默認值，請運行以下命令：

 secedit /configure /cfg %windir%infdefltbase.inf /db defltbase.sdb /verbose

警報]%windir%infdefltbase.inf文件是包含 Windows 默認本地安全設置的模板。 [/警報]

另請閱讀：如何在登錄/不登錄的情況下將本地組策略設置重置為默認值

重新啟動計算機。

這應該會重置存儲在HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem註冊表項。

UAC 設置也存儲在此註冊表項中。

如果之前的方法不起作用，請嘗試手動重命名本地安全策略基本檢查點文件：

ren %windir%securitydatabaseedb.chk edb_old.chk

更新組策略設置：

gpupdate /force

使用 shutdown 命令重新啟動 Windows：
Shutdown –f –r –t 0

如果無法登錄 Windows，如何重置本地 GPO 設置

如果無法本地登錄到 Windows，或者無法打開命令提示符（例如，如果應用程序被 AppLocker 或軟件限制策略阻止），則可以通過從 Windows 安裝介質（可啟動 USB 閃存驅動器）、任何 LiveCD 啟動或使用 Window 恢復環境 (WinRE) 來刪除Registry.pol 文件。

1. 從任何 Windows 安裝介質啟動計算機並打開命令提示符 (Shift+F10）；
2. 運行命令：
   diskpart
3. 然後顯示計算機上的捲列表：
   list volume
   在這種情況下，驅動器盤符C：分配給系統驅動器。您的情況下，驅動器號可能有所不同。因此，需要在系統驅動器的上下文中執行以下命令（例如，D: 或 C:）；
4. 關閉磁盤部分：
   exit
5. 運行以下命令：
   RD /S /Q C:WindowsSystem32GroupPolicy
RD /S /Q C:WindowsSystem32GroupPolicyUsers
6. 重新啟動計算機並檢查所有本地組策略設置是否已重置為其默認狀態。

清除 Windows 中應用域的組策略設置

如果計算機是 Active Directory 域的一部分，則可以使用域 GPO 配置其設置。

所有應用的域GPO的registry.pol文件都緩存在%windir%System32GroupPolicyDataStore SysVolcontoso.comPolicies。每個策略將其文件存儲在一個單獨的目錄中，該目錄的名稱包含域策略的 GUID。

當您從域中刪除計算機時，域組策略的registry.pol 文件應自動從計算機中刪除。有時，計算機已離開域，但域 GPO 設置仍應用於該計算機。

在這種情況下，您應該清除計算機上的域組策略緩存。您可以使用以下 BAT 腳本：

DEL /S /F /Q “%ALLUSERSPROFILE%MicrosoftGroup PolicyHistory*.*”
REG DELETE HKLMSOFTWAREMicrosoftWindowsCurrentVersionGroup Policy /f
REG DELETE HKLMSoftwarePoliciesMicrosoft /f
REG DELETE HKLMSOFTWAREMicrosoftWindowsCurrentVersionPolicies /f
REG DELETE HKCUSOFTWAREMicrosoftWindowsCurrentVersionPolicies /f
REG DELETE HKCUSoftwarePoliciesMicrosoft /f
REG DELETE "HKCUSoftwareMicrosoftWindowsCurrentVersionGroup Policy Objects" /f
DEL /F /Q C:WINDOWSsecurityDatabasesecedit.sdb
klist purge
gpupdate /force
exit

另請注意，C:ProgramDataMicrosoftGroup PolicyHistory文件夾包含已應用於計算機的組策略首選項設置。

如果您已檢查過如果不再應用此項目，請將其刪除GP Preferences 項選項中的選項，則該文件夾中的 GPO 緩存將允許您在禁用該策略後恢復到之前的狀態。

如何恢復默認域組策略

域中有兩個具有已知 GUID 的默認 GPO：

• 默認域策略 {31B2F340-016D-11D2-945F-00C04FB984F9}
• 默認域控制器策略 {6AC1786C-016F-11D2-945F-00C04FB984F9}

根據 Microsoft 的指導方針，不應編輯這些 GPO。建議您在組策略管理控制台中創建這些策略的副本（gpmc.msc）並根據需要修改設置。

使用內置的dcgpofix.exe用於將這些 GPO 恢復為其默認設置的工具。

在 DC 上打開提升的命令提示符並運行以下命令：

dcgpofix /target:Domain– 重置默認域 GPO

dcgpofix /target:DC– 重置默認域控制器 GPO

或者立即重置兩個默認 GPO：

dcgpofix /target:both

可能會出現錯誤：

The Active Directory schema version for this domain and the version supported by this tool do not match. The GPO can be restored using the /ignoreschema command-line parameter. However, it is recommended that you try to obtain an updated version of this tool that might have an updated version of the Active Directory schema. Restoring a GPO with an incorrect schema might result in unpredictable behavior.

在這種情況下，您必須添加/忽略模式強制重置默認 GPO 的選項：

dcgpofix /ignoreschema /target:Domain

提示。上述方法允許您重置所有版本的 Windows 中的組策略設置。使用組策略編輯器所做的任何設置都將被重置。但是，使用 regedit.exe、REG 文件、PowerShell 或域註冊表 GPP 直接對註冊表所做的更改不會重置。