Что такое клиент групповой политики

Владельцу домена при настройке параметров рабочей среды пользователя приходится сталкиваться с таким инструментом, как групповая политика. Если говорить простым языком, она представляет собой набор настроек операционной среды Windows, от установки обоев рабочего стола до запрета на загрузку и запуск программного обеспечения. Доступ и управление групповой политикой осуществляется администратором домена и членами его группы.

Групповые политики очень популярны на крупных предприятиях, сотрудники которых используют определенную зону информационной сети в рамках одного сетевого узла. Они позволяют снизить расходы на интернет-ресурсы и обслуживание компьютеров сети, повысить производительность, удобство пользователей и уровень безопасности, настроить большинство параметров рабочей среды Windows одновременно.

Иногда, вследствие ошибки реестра, при включении компьютера запуск Windows блокируется и появляется системное сообщение, что «Клиент групповой политики» препятствует входу в систему. Появляется необходимость в его отключении.

Вход в безопасный режим

Все манипуляции с сервисом «Клиент групповой политики» проводятся в безопасном режиме. Для входа в безопасный режим потребуется:

  • включить компьютер;
  • до загрузки системы нажать на клавиатуре клавишу «F8»;
  • в открывшемся меню выбрать строку «Безопасный режим»;
  • перейти в него нажатием клавиши «Enter».

Проверка состояния службы «Group Policy Client»

Когда «Клиент групповой политики» не запускается, целесообразно проверить состояние службы «Group Policy Client (gpsvc)», которая отвечает за его параметры, определяемые администраторами для локальных компьютеров с ОС Windows 7. Выяснить, работает сервис «gpsvc» или нет, можно через диспетчера задач. Это можно сделать следующим образом:

  • щелкнуть правой кнопкой мыши на системном трее;
  • в функциональном меню выбрать строку «Запустить диспетчер задач»;
  • переключиться на вкладку «Службы»;
  • найти сервис «gpsvc»;
  • посмотреть его состояние (работает или остановлено).

Можно воспользоваться и другим способом:

  • зайти в главное меню, воспользовавшись кнопкой «Пуск»;
  • внизу в строке поиска ввести запрос «Службы»;
  • запустить оснастку «Службы»;
  • найти сервис «gpsvc»;
  • проверить его состояние.

Остановить работу сервиса «gpsvc» через диспетчера задач или оснастку «Службы» не получится, поскольку он запускается от имени локальной сети и никакие изменения в параметры его запуска внести нельзя.

Утилита «PsExec»

Временно остановить сервис «gpsvc», отвечающий за параметры сервиса «Клиент групповой политики», поможет утилита «PsExec», позволяющая выполнять команды на удаленном компьютере. Она не требует установки, достаточно скопировать загрузочный файл программы в системную папку «System 32» и запустить его через командную строку. Для отключения службы «gpsvc» необходимо:

  • воспользовавшись утилитой «PsExec», запустить командную строку от учетной записи администратора;
  • ввести команду следующего вида «net stop gpsvc»;
  • сервис будет остановлен.

Не стоит забывать, что это временная мера. При перезагрузке системы сервис «gpsvc» вновь запустится. Для полного его отключения потребуется изменить параметры запуска, что потребует обязательной правки реестра.

Экспорт ветки реестра или создание ее резервной копии

Прежде чем менять какие-либо параметры реестра, необходимо осуществить экспорт того раздела или подраздела, в который будут вноситься изменения. Создание резервной копии потребует выполнения следующих шагов:

  • войти в систему под учетной записью администратора;
  • клавишами «Win+R» вызвать диалоговое окно «Выполнить»;
  • в строку ввести команду «regedit»;
  • нажать клавишу «Enter»;
  • пользуясь проводником, найти и выбрать нужный подраздел реестра;
  • вызвать функциональное меню, кликнув по подразделу правой кнопкой мыши;
  • использовать функцию «Экспортировать»;
  • в новом окне указать место для хранения файла и его имя;
  • важно обратить внимание на расширение файла, оно должно быть «.reg»;
  • нажать на кнопку «Сохранить».
Читайте также:  Прошивка принтера самсунг ml 2160

В случае повреждения ветки реестра, отвечающей за настройки сервиса «Клиент групповой политики», для ее восстановления просто потребуется запустить резервный файл.

Служба «Клиент групповой политики» и ее отключение через реестр

После выполнения экспорта и создания резервной копии нужной ветки реестра можно приступить непосредственно к изменению ее параметров. Это потребует последовательного выполнения следующего алгоритма действий:

  • запустить реестр Windows, воспользовавшись командой «regedit», указав ее в диалоговом окне программы «Выполнить»;
  • найти подраздел «gpsvc», отвечающий за настройки службы «Клиент групповой политики», по следующему пути — HKLMSYSTEMCurrentControlSetServices;
  • прежде чем приступить к редактированию, следует получить на это права;
  • в проводнике щелкнуть правой кнопкой мыши на подразделе «gpsvc»;
  • в функциональном меню найти и выбрать пункт «Разрешения»;
  • кликнуть по строке «Дополнительно»;
  • в новом окне переключиться на вкладку «Владелец»;
  • выбрать свою учетную запись;
  • подтвердить изменения нажатием на кнопку «Ок»;
  • в блоке «Безопасность» поставить флажок в чекбоксе напротив пукнта «Полный доступ»;
  • подтвердить свои действия еще одним нажатием на кнопку «Ок»;
  • перейти к настройкам службы;
  • кликнуть мышкой по параметру «Start»;
  • заменить значение «2» на «4».
  • сохранить внесенные изменения;
  • перезагрузить компьютер.

Удаление сообщения о недоступности служб Windows в системном трее

После того как удалось службу «Клиент групповой политики» отключить, в системном трее будет постоянно появляться предупреждение о недоступности служб Windows. Избежать этого можно, удалив ветку реестра «HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlWinlogonNotificationsComponentsGPClient» следующим образом:

  • запустить редактор реестра Windows;
  • найти нужную ветку;
  • изменить владельца и права на нее;
  • через функцию «Экспортировать» создать ее резервный файл;
  • удалить ветку реестра.

После проведения таких манипуляций системное сообщение больше не будет высвечиваться в панели задач.

Откат системы

В некоторых случаях при блокировке входа в систему и появления сообщения, что «Клиент групповой политики» препятствует ее запуску, поможет откат ОС Windows до ее рабочих параметров, используя точку восстановления. Такая мера доступна для более поздних версий Windows. Для выполнения отката системы потребуется:

  • нажать кнопку «Пуск»;
  • перейти к строке «Все программы»;
  • зайти в каталог «Стандартные»;
  • открыть папку «Служебные»;
  • запустить компонент «Восстановление системы»;
  • откроется новое окно мастера восстановления параметров системы;
  • если рекомендованная точка восстановления не подходит, кликнуть мышкой по строке «Выбрать другую точку восстановления»;
  • для продолжения восстановления нажать кнопку «Далее»;
  • в появившемся окне отметить пункт «Отображать точки восстановления старше 5 дней»;
  • выбрать нужную точку и щелкнуть по кнопке «Далее»;
  • нажатием на кнопку «Готово» запустить процесс восстановления;
  • дождаться окончания процесса.

Отключение действий групповых политик возможно несколькими способами, но самым действенным из них будет изменение значения некоторых параметров ветки реестра. Главное, не забыть создать резервный файл нужного подраздела, чтобы в случае неудавшихся манипуляций вернуться к исходным настройкам.

При попытке войти в свою учётную запись в ОС Виндовс пользователь может внезапно столкнуться с сообщением «Клиент групповой политики препятствует входу в систему» и надписью «Отказано в доступе». Обычно это происходит после очередного обновления системы, установки или удаления какого-либо софта, или из-за деятельности зловредов, нарушающих целостность системного реестра. Ниже разберём причины данной дисфункции, а также расскажем, как её исправить.

Скриншот об ошибке препятствия службы при входе в систему

Почему служба «Клиент групповой политики» блокирует вход в систему

«Групповая политика» — это утилита управления учетными записями Виндовс, определяющая условия использования пользовательского аккаунта в определённой группе. Такая группа может быть стандартной или ограниченной, группой администраторов или гостей, любой другой группой, созданной ответственным лицом. Групповая политика активируется при входе пользователя в систему, и напрямую зависит от группы, к которой он принадлежит.

При запуске системы пользователь может однажды встретиться с сообщением о препятствовании групповыми политиками входа в систему. В некоторых случаях ещё можно войти в систему как администратор, в других случая доступ к системе оказывается заблокирован.

Читайте также:  Ремонт принтера canon pixma ip1000 своими руками

Инструмент отвечающий за вход в систему («Winlogon») связан со службой групповых политик «GPSVC» (аббревиатура от «Group Policy Service»). После запуска системы сервис групповой политики реализует себя в отдельном процессе SVCHOST. При возникновении каких-либо проблем в работе данного процесса пользователь видит ошибку «Клиент групповой политики препятствует входу в систему…».

Причины дисфункции таковы:

  • Наличие некорректных данных в системном реестре (в том числе из-за его повреждения);
  • Некорректная установка системных обновлений;
  • Установка и деятельность программ, способных нарушить целостность системного реестра (в том числе вирусных);
  • Неправильное отключение PC;
  • Вход в систему под не административным (гостевым) аккаунтом в ситуации, когда ряд приложений или драйверов были ранее установлены в системе с административными привилегиями.

Ниже разберём, как решить возникшую проблему Служба «Клиент групповой политики» препятствует входу в систему.

Как исправить отказ в доступе

Давайте перечислим способы, позволяющие избавиться от ошибки «Групповая политика препятствует входу в систему».

Отредактируйте системный реестр

  • Нажмите Win+R, введите там regedit , нажмите Энтер. Перейдите по пути:

В панели справа поищите параметр «GPSvcGroup». Если его там нет, кликните правой клавишей мышки на пустом месте правого поля, кликните на «Создать» — «Мультистроковой параметр» и дайте ему имя (переименуйте) на GPSvcGroup .

    Если он там есть (или вы его создали), кликните ПКМ на данном параметре, выберите «Изменить», скопируйте значение GPSvc в поле «Значения» и нажмите на «Ок»;

Введите указанное значение

  • Вновь нажмите ПКМ на пустое место справа, выберите «Создать» – «Раздел», и дайте ему название GPSvcGroup.
  • Кликните на новосозданной папке GPSvcGroup, затем кликните ПКМ на пустом месте справа, выберите создать «Параметр DWORD» и назовите его AuthenticationCapabilities.
  • Нажмите ПКМ на AuthenticationCapabilities, выберите «Изменить», активируйте «Десятичная», введите 12320 и нажмите на «Ок».
  • Создайте другой параметр DWORD с именем CoInitializeSecurityParam и установите ему значение 1 .
  • Создайте перечисленные параметры

  • Перезагрузите ваш ПК и попытайтесь выполнить вход в оригинальный аккаунт.
  • Перезапустите службу групповых политик

    • Нажмите на Win+R, введите там services.msc . Найдите в перечне служб « Клиент групповой политики », дважды кликаем на ней, устанавливаем тип запуска на «Автоматически», сохраняем изменения;
    • Запускаем командную строку, там набираем:

    И нажимаем ввод. После завершения процедуры перезагружаем ПК, это может помочь устранить ошибку «Клиент групповой политики препятствует входу в систему».

    Введите данную команду

    Проверьте систему на наличие зловредов

    Во многих случаях причинами рассматриваемой проблемы являются вирусные зловреды, изменяющие системные настройки под свои нужны. Используйте ДокторВеб Кюрейт, Trojan Remover, AdwCleaner и другие онлайн аналоги для борьбы со зловредами — 7 лучших антивирусов.

    Восстановите параметры безопасности

    Для реализации данной операции нам понадобится загрузочная флешка с нашей версией ОС. Загрузитесь с её помощью, выбираем внизу «Восстановление», запускаем командную строку, и там вводим:

    secedit /configure /cfg %windir%infdefltbase.inf /db defltbase.sdb /verbose

    Перезагрузите ваш ПК, это поможет исправить проблему отказано в доступе.

    Удалите файл NTUSER.DAT

    Перейдите в директорию C:Users, там найдите папку с названием вашего аккаунта, войдите в неё, и удалите там файл NTUSER.DAT , отвечающий за хранение настроек пользовательского профиля. Если ваш аккаунт повреждён, вы можете попробовать удалить данный файл, перезагрузить ваш ПК, и попытаться войти в систему.

    Удалите указанную папку

    Выполните системное восстановление

    Переход к ранее стабильной точке работы вашего ПК (откат системы) является хорошей альтернативой для восстановления её работоспособности. При запуске системы быстро жмите на F8 и выберите «Загрузка последней удачной конфигурации». Это может помочь решить проблему отказано в доступе клиенту групповых политик.

    Если же доступ к системе вовсе не возможен, попробуйте загрузиться с флешки с имеющейся на ней образом Виндовс 10, и после выбора языка кликнуть слева внизу на «Восстановление системы». В дополнительных параметрах необходимо будет вновь выбрать опцию «Восстановление системы», что позволит системе выполнить откат до прежней стабильной точки восстановления.

    Читайте также:  Ddr2 4gb 800mhz intel

    Заключение

    Появление рассматриваемого в статье сообщения обычно сигнализирует о наличии проблем со службой групповых политик «GPSVC», актуализированной в процессе SVCHOST. Выполните перечисленные выше советы, что позволит решить ошибку «Служба «Клиент групповой политики» препятствует входу в систему» на вашем ПК.

    В этой статье поговорим об очередной нестандартной задаче: вопросах отключения действия групповой политики на компьютере в составе домена Windows. Зачем, собственно, может понадобиться такая функция? Ответ на этот вопрос в каждом конкретном случае индивидуален. Это может быть желание регионального администратора ограничить применение к своему рабочему компьютеру ограничений, накладываемых групповыми политиками, и/или желание уйти из-под недремлющего ока безопасников (и удалить на своем компьютере антивирус или же некую программу контроля доступа к внешним носителям), либо же некая другая «важная» причина (например, отключен task manager). Целесообразность и потенциальные опасности отключения групповых политик на рабочей станции в домене мы обсуждать не будет. Попробуем лишь гипотетически разобраться: возможно ли отключить действие групповых политик на машине Windows.

    Отвечаю: да можно сделать так, чтобы на компьютер в домене не применялись групповые политики, и для этого совершенно не нужно иметь права domain/enterprise админа. Достаточно иметь права локального администратора на интересующей нас машине (а это в очередной раз говорит о том, что НЕЛЬЗЯ давать права администратора на рабочих станциях пользователям!).

    Указанный ниже текст относится к клиенту на базе Windows 7, но есть небезосновательные основания полагать, что и на других клиентских ОС методика будет работать.

    Все мы знаем, что за применение групповых политик в Windows 7 отвечает служба Group Policy Client (gpsvc), поэтому логичное действие просто отключить эту службу. Это можно сделать, загрузившись в безопасном режиме или, запустив cmd от имени system

    и выполнив команду

    Но проблема в том, что через некоторое время, система сама запустит эту службу, и вы с этим поделать ничего не сможете.

    Но есть более оригинальное решение: совсем запретить системе доступ к этой службе, в результате у нее просто не будет прав на ее запуск. Как вы помните, параметры всех служб хранятся в реестре, и наша задача – забрать права у System целиком на службу групповых политик.

    • открываем редактор реестра regedit.exe
    • Находим ветку HKLMSYSTEMCurrentControlSetservicesgpsvc (это как раз ветка службы Group Policy Client)
    • Правой кнопкой жмем по ветке gpsrv и выбираем Permissions, затем идем на вкладку Owner и делаем себя владельцем ветки
    • Затем на вкладке Permissions удаляем права у всех, кроме своей учетной записи, в результате права будут выглядеть так
    • Затем меняем тип запуска службы Group Policy Client на «Disabled», это можно сделать, изменив значение ключа Start с 2 на 4
    • Перезагружаемся и проверяем, что после загрузки групповые политики больше не применяются.

    Но есть одна проблема: при таком отключении в трее будет периодически выскакивать окно с текстом: Failed to connect to a Windows service. Windows could not connect to the Group Policy Client Service. This problem prevents standard users from logging on to the system.
    As an administrative user, you can review the System Event Log for details about why the service didn’t respond.

    Но и это предупреждение можно отключить, для чего открываем редактор реестра:

    • Ищем ветку HKLMSYSTEMCurrentControlSetControlWinlogon NotificationsComponentsGPClient
    • Также становимся ее владельцем, и даем себе полные права на эту ветку
    • Делаем резервную копию данной ветки, после чего удаляем ее

    Вот так достаточно просто и быстро мы полностью отключили клиент групповых политик в Windows 7, в результате чего с компьютером можно делать что угодно. Но не дайте администраторам домена или службе компьютерной безопасности обнаружить себя, а то будет больно! 🙂