如何在 Windows 上重置组策略设置

组策略对象 (GPO) 是一个方便的工具，用于在 Windows 中微调用户和操作系统环境。域 GPO（如果计算机是 Active Directory 域的成员）和本地组策略（这些设置在计算机本地配置）都可以应用于计算机和用户。由于某些 GPO 设置的配置不正确（通常与安全相关），您可能会在运行应用程序或工具时遇到各种问题、操作系统错误（甚至无法在本地登录 Windows）等。如果您不知道哪个 GPO 设置导致问题，可以将 Windows 组策略设置重置为默认值。

如何使用 Gpedit.msc 重置特定的本地组策略选项

图形本地组策略编辑器控制台（

gpedit.msc

) 用于配置本地计算机上的 GPO 设置。此控制台仅适用于 Windows 10 和 11 的专业版、企业版和教育版。

提示。您还可以在 Windows 家庭版上安装 gpedit.msc 控制台。

打开

gpedit.msc

MMC 管理单元并导航至所有设置部分（本地计算机策略 -> 计算机配置 -> 管理模板）。本部分包含可用于在计算机上安装的管理 (admx) GPO 模板中进行配置的所有选项。按“状态”列对策略进行排序，以查找所有已配置的设置（具有禁用或启用状态）。

要禁用特定组策略参数，您必须将其状态更改为未配置。

• 您可以使用 LGPO.exe 工具备份当前的本地 GPO 设置。

• GPResult 命令可用于生成 HTML 报告，其中包含计算机上所有应用的本地和域策略设置的列表：

  gpresult /h c:\PS\GPRreport.html

以同样的方式，您可以重置本地 GPO 编辑器的用户配置部分中的设置。

这是在 Windows 中查找和撤消应用的本地组策略设置的最简单方法

但是，不正确的组策略 GPO 设置可能会阻止 gpedit.msc 管理单元（或其他程序和工具）运行，可能会阻止您在本地登录计算机，可能会撤销您的本地管理员权限等。在这种情况下，您需要重置计算机上本地文件中的所有 GPO 设置。

在 Windows 上使用 CMD 将所有组策略设置重置为默认值

Windows 将本地组策略设置存储在 Registry.pol 文件中。用户和计算机的策略设置存储在单独的 POL 文件中。

• 计算机设置（计算机配置部分）存储在

  %SystemRoot%\System32\GroupPolicy\Machine\registry.pol

• 用户设置（用户配置部分）存储在

  %SystemRoot%\System32\GroupPolicy\User\registry.pol

如果您从 gpedit.msc 控制台启用本地 GPO 中的某些选项，您所做的任何更改都将保存到Registry.pol 文件中。当组策略设置更新时（使用

gpupdate /force

命令或按时间表）。

• 当您启动计算机时，注册表设置将从

  \Machine\Registry.pol

  文件到

  HKEY_LOCAL_MACHINE

  （HKLM）蜂巢；

• 用户设置是从

  \User\Registry.pol

  文件到

   HKEY_CURRENT_USER

  (HKCU) 用户登录 Windows 时的注册表配置单元。

因此，要删除当前的本地组策略设置，必须删除 GroupPolicy 和 GroupPolicyUsers 文件夹中的Registry.pol 文件。您可以从命令提示符删除Registry.pol文件并重置当前的GPO设置：

RD /S /Q "%WinDir%\System32\GroupPolicyUsers"
RD /S /Q "%WinDir%\System32\GroupPolicy"

更新组策略中的设置以重置注册表中的旧设置：

gpupdate /force

这些命令将重置“计算机配置”和“用户配置”部分中的所有本地组策略设置。

打开

gpedit.msc

控制台并确保所有策略均设置为“未配置”。运行 gpedit.msc 控制台后，

GroupPolicyUsers

和

GroupPolicy

目录将自动重新创建。

在 Windows 中将本地安全策略设置重置为默认值

本地安全策略在单独的

secpol.msc

MMC 控制台。如果要将本地 Windows 安全策略设置重置为默认值，请运行以下命令：

secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb /verbose

这

%windir%\inf\defltbase.inf

文件是包含 Windows 默认本地安全设置的模板。

重启你的电脑。

这应该会重置存储在

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System

注册表项。

UAC 设置也存储在此注册表项中。

如果之前的方法不起作用，请尝试手动重命名本地安全策略基本检查点文件：

ren %windir%\security\database\edb.chk edb_old.chk

更新组策略设置：

gpupdate /force

使用 shutdown 命令重新启动 Windows：

Shutdown -f -r -t 0

如果无法登录 Windows，如何重置本地 GPO 设置

如果您无法本地登录到 Windows，或者无法打开命令提示符（例如，如果应用程序被 AppLocker 或软件限制策略阻止），则可以通过从 Windows 安装介质（可启动 USB 闪存驱动器）、任何 LiveCD 启动或使用 Window 恢复环境 (WinRE) 来删除Registry.pol 文件。

1. 从任何 Windows 安装介质启动计算机并打开命令提示符 (

   Shift+F10

   ）；

2. 运行命令：

   diskpart

3. 然后显示计算机上的卷列表：

   list volume

   在这种情况下，驱动器号C:\ 被分配给系统驱动器。您的情况下，驱动器号可能有所不同。因此，需要在系统驱动器的上下文中执行以下命令（例如，D:\ 或 C:\）；

4. 关闭磁盘部分：

   exit
   

5. 运行以下命令：

   RD /S /Q C:\Windows\System32\GroupPolicy
   RD /S /Q C:\Windows\System32\GroupPolicyUsers

   

6. 重新启动计算机并检查所有本地组策略设置是否已重置为其默认状态。

清除 Windows 中应用域的组策略设置

如果计算机是 Active Directory 域的一部分，则可以使用域 GPO 配置其设置。

所有应用的域GPO的registry.pol文件都缓存在%windir%\System32\GroupPolicy\DataStore\SysVo中

当您从域中删除计算机时，域组策略的registry.pol 文件应自动从计算机中删除。有时，计算机已离开域，但域 GPO 设置仍应用于该计算机。

在这种情况下，您应该清除计算机上的域组策略缓存。您可以使用以下 BAT 脚本：

DEL /S /F /Q “%ALLUSERSPROFILE%\Microsoft\Group Policy\History\*.*”
REG DELETE HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy /f
REG DELETE HKLM\Software\Policies\Microsoft /f
REG DELETE HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies /f
REG DELETE HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies /f
REG DELETE HKCU\Software\Policies\Microsoft /f
REG DELETE "HKCU\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects" /f
DEL /F /Q C:\WINDOWS\security\Database\secedit.sdb
klist purge
gpupdate /force
exit

另请注意，

C:\ProgramData\Microsoft\Group Policy\History

文件夹包含已应用于计算机的组策略首选项设置。

如果您在 GP 首选项选项中选中了如果不再应用此项目，则将其删除选项，则此文件夹中的 GPO 缓存将允许您在禁用该策略后恢复到之前的状态。

如何恢复默认域组策略

域中有两个具有已知 GUID 的默认 GPO：

• 默认域策略

  {31B2F340-016D-11D2-945F-00C04FB984F9}

• 默认域控制器策略

  {6AC1786C-016F-11D2-945F-00C04FB984F9}

根据 Microsoft 的指南，不应编辑这些 GPO。建议您在组策略管理控制台中创建这些策略的副本（

gpmc.msc

）并根据需要修改设置。

使用内置的 dcgpofix.exe 工具将这些 GPO 恢复为其默认设置。

在 DC 上打开提升的命令提示符并运行以下命令：

dcgpofix /target:Domain

- 重置默认域 GPO

dcgpofix /target:DC

- 重置默认域控制器 GPO

或者立即重置两个默认 GPO：

dcgpofix /target:both

可能会出现错误：

The Active Directory schema version for this domain and the version supported by this tool do not match. The GPO can be restored using the /ignoreschema command-line parameter. However, it is recommended that you try to obtain an updated version of this tool that might have an updated version of the Active Directory schema. Restoring a GPO with an incorrect schema might result in unpredictable behavior.

在这种情况下，您必须添加 /ignoreschema 选项以强制重置默认 GPO：

dcgpofix /ignoreschema /target:Domain

提示。上述方法允许您重置所有版本的 Windows 中的组策略设置。使用组策略编辑器所做的任何设置都将被重置。但是，使用 regedit.exe、REG 文件、PowerShell 或域注册表 GPP 直接对注册表所做的更改不会重置。