Windows에서 사용자 및 시스템 설정을 구성하는 주요 도구 중 하나는 그룹 정책 개체(GPO)입니다. . 로컬(이러한 설정은 컴퓨터에서 로컬로 구성됨) 및 도메인 GPO(컴퓨터가 Active Directory 도메인에 가입된 경우)는 컴퓨터와 해당 사용자에게 적용할 수 있습니다. 그러나 일부 GPO 설정을 잘못 구성하면 다양한 문제가 발생할 수 있습니다. 그룹 정책 설정은 USB 장치, 공유 프린터 및 폴더의 연결을 차단하고, Windows Defender 방화벽 규칙에 따라 네트워크 액세스를 제한하고, SPR 또는 AppLocker 정책을 통해 설치 또는 실행하지 못하도록 앱 및 도구를 차단하고, 로컬 또는 원격 로그온을 제한할 수 있습니다. 컴퓨터.
컴퓨터에 로컬로 로그온할 수 없거나 적용된 GPO 설정 중 문제를 일으키는 것이 정확히 무엇인지 모르는 경우 스크립트를 사용하여 그룹 정책 설정을 기본값으로 재설정해야 합니다. "깨끗한" 상태에서는 그룹 정책 설정이 구성되지 않습니다.
이 문서에서는 로컬 및 도메인 그룹 정책의 설정을 기본값으로 재설정하는 몇 가지 방법을 보여줍니다. 이 가이드는 지원되는 모든 Windows 버전(Windows 7에서 Windows 10까지)과 모든 버전의 Windows Server(2008/R2, 2012/R2, 2016 및 2019)에서 GPO 설정을 재설정하는 데 사용할 수 있습니다.
로컬 그룹 정책 편집기(Gpedit.msc) 설정을 기본값으로 재설정하는 방법
이 방법은 로컬 그룹 정책 편집기 콘솔(gpedit.msc ) 구성된 모든 정책 설정을 비활성화합니다. 로컬 GPO 그래픽 편집기는 Pro, Enterprise 및 Education Windows 10 에디션에서만 사용할 수 있습니다.
도움말. Windows의 Home 버전에는 로컬 그룹 정책 편집기 콘솔(gpedit.msc)이 없습니다.
gpedit.msc 실행 MMC 스냅인을 클릭하고 모든 설정으로 이동합니다. 섹션(로컬 컴퓨터 정책 -> 컴퓨터 구성 -> 관리 템플릿 ). 이 섹션에는 로컬 관리 GPO 템플릿에서 구성에 사용할 수 있는 모든 설정 목록이 포함되어 있습니다. 상태 열을 기준으로 정책을 정렬하고 구성된 모든 정책을 찾습니다(사용 안 함 또는 사용 상태). 구성되지 않음 으로 전환하여 전체 또는 일부를 비활성화합니다. 상태.
사용자 구성에서 동일한 단계를 수행합니다. 부분. 따라서 관리 GPO 템플릿의 모든 설정에 대한 모든 설정을 비활성화할 수 있습니다.
팁 . 내장된 GPResult 도구를 사용하여 편리한 HTML 보고서 형식으로 적용된 모든 로컬 및 도메인 정책 설정 목록을 얻을 수 있습니다.gpresult /h c:\PS\GPRreport.html
Windows에서 그룹 정책을 재설정하는 위의 방법은 가장 간단한 경우에 적합합니다. 잘못된 GPO 구성은 더 심각한 문제를 유발할 수 있습니다. 예를 들어, gpedit.msc를 실행할 수 없음 스냅인 또는 모든 프로그램이나 앱, 관리자 권한 상실 또는 로컬 로그온 제한. 이러한 경우 컴퓨터의 로컬 파일에 저장된 GPO 설정을 재설정해야 합니다.
그룹 정책 파일 Registry.pol
Windows 그룹 정책 아키텍처는 특별한 Registry.pol을 기반으로 합니다. 파일. 이러한 파일은 구성된 GPO 설정에 해당하는 레지스트리 설정을 저장합니다. 사용자 및 컴퓨터 정책은 서로 다른 Registry.pol 파일에 저장됩니다.
- 컴퓨터 설정(컴퓨터 구성 섹션 )는
%SystemRoot%\System32\GroupPolicy\Machine\registry.pol에 저장됩니다. - 사용자 설정(사용자 구성 섹션 )는
%SystemRoot%\System32\GroupPolicy\User\registry.pol에 저장됩니다.
시작하는 동안 Windows는 \Machine\Registry.pol의 내용을 가져옵니다. 시스템 레지스트리 하이브 HKEY_LOCAL_MACHINE에 (HKLM). \User\Registry.pol 파일의 내용 HKEY_CURRENT_USER로 가져옵니다. (HKCU) 사용자가 로그인할 때 하이브.
로컬 GPO 편집기 콘솔을 열면 Registry.pol 파일의 내용이 로드되어 사용자에게 친숙한 그래픽 방식으로 표시됩니다. GPO 편집기를 닫으면 변경 사항이 Registry.pol 파일에 저장됩니다. 컴퓨터에서 그룹 정책 설정을 업데이트할 때(gpupdate /force 명령 또는 일정에 따라), 새 설정이 레지스트리에 적용됩니다.
로컬 GPO에 대한 모든 현재 설정을 제거하려면 GroupPolicy 및 GroupPolicyUsers 폴더에서 Registry.pol 파일을 제거해야 합니다.
Windows 10/Windows Server 2016에서 모든 로컬 그룹 정책 설정을 한 번에 재설정
모든 현재 로컬 그룹 정책 설정을 강제로 다시 설정하려면 Registry.pol 파일을 삭제해야 합니다. 정책 구성 파일이 있는 디렉터리를 완전히 삭제할 수 있습니다. 다음 명령을 사용하여 이를 수행할 수 있으며 관리자 권한 명령 프롬프트에서 실행합니다.
RD /S /Q "%WinDir%\System32\GroupPolicyUsers"
RD /S /Q "%WinDir%\System32\GroupPolicy"
RD.exe 명령이 제거되었으므로 RMDIR.exe 디렉토리를 제거하려면 명령을 사용해야 합니다. 그런 다음 깨끗한 GPO를 적용하여 레지스트리에서 이전 GPO 설정을 재설정해야 합니다.
gpupdate /force
이 명령은 컴퓨터 구성 및 사용자 구성 섹션의 모든 로컬 그룹 정책 설정을 재설정합니다.
gpedit.msc를 엽니다. 모든 정책이 구성되지 않음 상태. gpedit.msc 콘솔 실행 후 GroupPolicyUsers 삭제 및 GroupPolicy 폴더는 빈 Registry.pol 파일과 함께 자동으로 생성됩니다.
다음에 그룹 정책을 변경할 때 Windows는 새 설정으로 새 Registry.pol 파일을 만듭니다.
Windows에서 로컬 보안 정책 설정을 기본값으로 재설정
로컬 보안 정책 별도의 mmc 콘솔에서 구성됩니다 – secpol.msc . 컴퓨터 문제가 로컬 보안 설정의 "나사를 조여서" 발생한 경우 Windows 및 관리자 권한에 대한 로컬 액세스 권한이 여전히 있는 경우 보안 정책 설정을 기본값으로 재설정하는 것이 좋습니다. 그렇게 하려면 cmd.exe를 엽니다. 관리자로 다음 명령을 실행하십시오.
- Windows 10, Windows 8.1/8 및 Windows 7:
secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb /verbose - Windows XP:
secedit /configure /cfg %windir%\repair\secsetup.inf /db secsetup.sdb /verbose
컴퓨터를 다시 시작하십시오.
보안 정책에 여전히 문제가 있는 경우 로컬 보안 정책 데이터베이스 %windir%\security\database\edb.chk의 체크포인트 파일 이름을 수동으로 변경해 보십시오.
ren %windir%\security\database\edb.chk edb_old.chk
다음 명령을 실행합니다.gpupdate /force
종료 명령을 사용하여 Windows를 다시 시작합니다.Shutdown –f –r –t 0
로그인하지 않고 로컬 GPO 설정 재설정
Windows 부팅/로그인이 불가능하거나 GPSVC 서비스가 실행되고 있지 않거나 로컬 관리자 권한이 없거나 명령 프롬프트를 열 수 없는 경우(예:Applocker/SRP 정책에 의해 앱이 차단됨) Windows 설치 디스크, USB 플래시 드라이브 또는 LiveCD에서 컴퓨터를 제거하고 설치된 Windows 이미지 외부에서 로컬 GPO를 재설정합니다.
- Windows 설치 미디어에서 컴퓨터를 부팅하고 명령 프롬프트를 엽니다(
Shift+F10); - 명령 실행:
diskpart - 그런 다음 컴퓨터의 볼륨 목록을 표시합니다.
list volume
이 경우 시스템 볼륨에 할당된 드라이브 문자는 시스템 드라이브 C:\에 해당합니다. . 그러나 때때로 일치하지 않을 수 있습니다. 따라서 아래 명령은 시스템 드라이브(예:D:\ 또는 C:\)의 컨텍스트에서 실행되어야 합니다. - diskpart 닫기:
exit - 다음 명령을 하나씩 실행합니다.
RD /S /Q C:\Windows\System32\GroupPolicy
RD /S /Q C:\Windows\System32\GroupPolicyUsers - 일반 모드에서 컴퓨터를 다시 시작하고 로컬 그룹 정책 설정이 기본 상태로 재설정되었는지 확인합니다.
도메인 적용 GPO 설정을 지우고 제거하는 방법
도메인 그룹 정책에 대한 몇 마디. 컴퓨터가 Active Directory 도메인에 가입된 경우 일부 설정은 도메인 기반 GPO에 의해 설정됩니다.
적용된 모든 도메인 그룹 정책의 registry.pol 파일은 %windir%\System32\GroupPolicy\DataStore\0\SysVol\contoso.com\Policies 디렉터리에 저장됩니다. . 각 정책은 도메인 정책 GUID가 있는 별도의 폴더에 저장됩니다. 컴퓨터가 AD 도메인을 떠난 후 컴퓨터에 있는 도메인 그룹 정책의 registry.pol 파일이 삭제되고 시작 시 레지스트리에 로드되지 않습니다. 그러나 때때로 도메인에서 컴퓨터를 제거하더라도 GPO 설정이 컴퓨터에 계속 적용될 수 있습니다.
다음 레지스트리 키는 이러한 registry.pol 파일에 해당합니다.
- HKLM\Software\Policies\Microsoft
- HKCU\Software\Policies\Microsoft
- HKCU\Software\Microsoft\Windows\CurrentVersion\그룹 정책 개체
- HKCU\Software\Microsoft\Windows\CurrentVersion\Policies
클라이언트에서 사용된 적용된 도메인 GPO의 버전 기록은 다음 레지스트리 키에 있습니다.
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\그룹 정책\기록\
- HKCU\Software\Microsoft\Windows\CurrentVersion\그룹 정책\기록\
적용된 도메인 GPO의 로컬 캐시는 C:\ProgramData\Microsoft\Group Policy\History에 저장됩니다. . 다음 명령을 사용하여 이 디렉터리의 파일을 삭제합니다.:
DEL /S /F /Q “%PROGRAMDATA%\Microsoft\Group Policy\History\*.*”
도메인 GPO 설정을 강제로 제거해야 하는 경우 %windir%\System32\GroupPolicy\DataStore\0\SysVol\contoso.com\Policies를 정리해야 합니다. 디렉토리를 삭제하고 지정된 레지스트리 키를 삭제합니다(삭제된 파일 및 레지스트리 항목을 백업하는 것이 좋습니다!!!) .
gpupdate /force /boot