Windows 10 / 11 家庭版开启组策略编辑器(gpedit.msc)

斐夷所非

已于 2024-08-21 22:37:30 修改

阅读量1.3k

点赞数 12

分类专栏： Windows 文章标签： windows

于 2024-08-20 18:09:09 首次发布

本文链接：https://blog.csdn.net/u013669912/article/details/141362854

版权

Windows 专栏收录该内容

6 篇文章 1 订阅

订阅专栏

问题提示：Windows 找不到文件 ‘gpedit.msc’。请确定文件名是否正确后，再试一次。

方法一：批处理开启组策略

dir 命令遍历系统盘 servicing 目录，查找有关组策略的配置包，找到后导入 txt 文件，然后调用 dism 命令安装组策略包。

1. 复制如下代码到新建文本文档（任选其一）

Script 1

@echo off
pushd "%~dp0"

rem List all relevant .mum files and save to List.txt
dir /b %SystemRoot%\servicing\Packages\Microsoft-Windows-GroupPolicy-ClientExtensions-Package~3*.mum > List.txt
dir /b %SystemRoot%\servicing\Packages\Microsoft-Windows-GroupPolicy-ClientTools-Package~3*.mum >> List.txt

rem add each package from List.txt to DISM
for /f %%i in ('findstr /i . List.txt 2^>nul') do (
    dism /online /norestart /add-package:"%SystemRoot%\servicing\Packages\%%i"
)

pause

Script 2

@echo off

>nul 2>&1 "%SYSTEMROOT%\system32\cacls.exe" "%SYSTEMROOT%\system32\config\system"
REM --> If error flag set, we do not have admin.
if '%errorlevel%' NEQ '0' (
echo Requesting administrative privileges...
goto UACPrompt
) else ( goto gotAdmin )
:UACPrompt
echo Set UAC = CreateObject^("Shell.Application"^) > "%temp%\getadmin.vbs"
echo UAC.ShellExecute "%~s0", "", "", "runas", 1 >> "%temp%\getadmin.vbs"
"%temp%\getadmin.vbs"
exit /B
:gotAdmin
if exist "%temp%\getadmin.vbs" ( del "%temp%\getadmin.vbs" )
pushd "%CD%"
CD /D "%~dp0"

pushd "%~dp0"

dir /b %SystemRoot%\servicing\Packages\Microsoft-Windows-GroupPolicy-ClientExtensions-Package~3*.mum >List.txt
dir /b %SystemRoot%\servicing\Packages\Microsoft-Windows-GroupPolicy-ClientTools-Package~3*.mum >>List.txt

for /f %%i in ('findstr /i . List.txt 2^>nul') do dism /online /norestart /add-package:"%SystemRoot%\servicing\Packages\%%i"
pause

2. 将文本文档另存编码为 `ANSI` 的批处理文件 XXX.bat

极少数计算机另存编码为 UTF-8 运行异常。

在这里插入图片描述

3. 以管理员身份运行批处理文件

提示“系统找不到指定的路径”，无需理会，等待批处理执行完毕即可。

系统找不到指定的路径。

部署映像服务和管理工具
……

正在处理 1 (共 1) - 正在添加程序包 Microsoft-Windows-GroupPolicy-ClientTools-Package~31bf3856ad364e35~amd64~zh-CN~10.0.19041.3693
[==========================100.0%==========================]
操作成功完成。
……

正在处理 1 (共 1) - 正在添加程序包 Microsoft-Windows-GroupPolicy-ClientTools-Package~31bf3856ad364e35~amd64~zh-CN~10.0.19041.3758
[==========================100.0%==========================]
操作成功完成。
……

正在处理 1 (共 1) - 正在添加程序包 Microsoft-Windows-GroupPolicy-ClientTools-Package~31bf3856ad364e35~amd64~~10.0.19041.3693
[==========================100.0%==========================]
操作成功完成。
……

正在处理 1 (共 1) - 正在添加程序包 Microsoft-Windows-GroupPolicy-ClientTools-Package~31bf3856ad364e35~amd64~~10.0.19041.3758
[==========================100.0%==========================]
操作成功完成。

请按任意键继续. . .

方法二：直接命令行开启组策略

以管理员身份打开 cmd，依次运行下面两行代码：

FOR %F IN ("%SystemRoot%\servicing\Packages\Microsoft-Windows-GroupPolicy-ClientTools-Package~*.mum") DO (DISM /Online /NoRestart /Add-Package:"%F")

FOR %F IN ("%SystemRoot%\servicing\Packages\Microsoft-Windows-GroupPolicy-ClientExtensions-Package~*.mum") DO (DISM /Online /NoRestart /Add-Package:"%F")

验证

重启后，按组合键 Win + R，输入

gpedit.msc

【确定】或回车，正常。

如果觉得操作麻烦，可以从下文中链接下载现成的批处理文件

Enable Group Policy Editor (gpedit.msc) in Windows 10 & 11 Home Edition

By Timothy Tibbetts

If you’re reading this, you already know Group Policy Editor does not work in Windows 10 or 11 Home Editions. Until now. We’d create a System Restore point before proceeding.

There are two possible ways to install Group Policy Editor in Windows 10 & 11 Home, but the batch file worked and simplified the process. We’d try this batch file (Method 1) before anything else because it’s simple enough for even a new computer user to do.

Method 1 - Batch File & PowerShell

Download Add Group Policy Editor to Windows 10 & 11 Home with PowerShell.

Right-click on gpedit-enabler.bat and click on “Run as administrator.”

You will see text scroll by and close the Windows when completed. If you see an error 740, you forgot to Run as administrator.

This tweak is included as part of MajorGeeks Registry Tweaks.

Method 2 - Manually Install

Method 2 works the same as Method 1; only you will download Microsoft.net manually.

Download Group Policy Editor for Windows 10 & 11 Home Edition. There are two files included: Setup.Exe and gpedit_enabler.bat.

Click on setup.exe and Microsoft.Net will need to be installed.

When completed, right-click on gpedit-enabler.bat and select Run as Administrator.

If you already have Group Policy Editor installed, you can Download just the enabler here.

Troubleshooting

If you couldn’t get Group Policy working, here are some troubleshooting steps.

1: Reboot

While a reboot might not be required, some users are reporting that Group Policy Editor works after rebooting. Go ahead; we’ll be right here.

2: Copy Some File and Folders

It appears that on 64-bit versions of Windows 10 Home that typing in gpedit.msc doesn’t work. Go to C:\Windows\SysWOW64 and copy the following folders and files to C:\Windows\System32 -GroupPolicy,GroupPolicyUsers, andgpedit.msc.

3: MMC Could Not Create the Snap-In Error

In rare cases, some people receive an “MMC Could Not Create the Snap-In” error when running gpedit.msc.Download this file from ITECHTICS and run either the 32-bit or 64-bit batch file.

You should now have a working Group Policy Editor in Windows 10 or 11 Home Edition.

via:

Enable Group Policy Editor (gpedit.msc) in Windows 10 & 11 Home Edition - MajorGeeks

https://www.majorgeeks.com/content/page/enable_group_policy_editor_in_windows_10_home_edition.html

注：机翻，未校。

第三方工具 Policy Plus

How to Apply Local Group Policy on Windows Home

如何在 Windows Home 上应用本地组策略

However, once the local Group Policy has been modified, the new settings are not immediately applied to the registry as they are in the Pro/Enterprise edition. Neither the gpupdate /force command nor a restart of the computer will help you to apply the Group Policy setting that you have set. This is because Windows Home Edition doesn’t have a GPO handler that applies the settings from the registry.pol file to the registry. For GPOs to be applied automatically, you will need to upgrade your edition of Windows from Home to Pro, but this is not always possible.
但是，一旦修改了本地组策略，新设置就不会立即应用于注册表，因为它们在 Pro/Enterprise Edition 中是相同的。无论是 gpupdate /force 命令还是重新启动计算机都无法帮助您应用已设置的组策略设置。这是因为 Windows Home Edition 没有将 registry.pol 文件中的设置应用于注册表的 GPO 处理程序。要自动应用 GPO，您需要将 Windows 版本从家庭版升级到专业版，但这并不总是可行的。

Fortunately, there is a workaround to apply GPO settings in Windows Home using a third-party Policy Plus tool . Policy Plus is an alternative GPO editor for Windows. It allows to edit local GPO settings without using the gpedit snap-in.
幸运的是，有一种解决方法可以使用第三方工具 Policy Plus 在 Windows Home 中应用 GPO 设置。Policy Plus 是 Windows 的替代 GPO 编辑器。它允许在不使用 gpedit 管理单元的情况下编辑本地 GPO 设置。

Policy Plus：https://github.com/Fleex255/PolicyPlus

在这里插入图片描述

To apply new local GPO settings from the POL files, close the gpedit.msc MMC snap-in and select File -> Save Policy in Policy Plus.
要从 POL 文件应用新的本地 GPO 设置，请关闭 gpedit.msc MMC 管理单元，然后在 Policy Plus 中选择文件 -> 保存策略。

在这里插入图片描述

A message should appear:
应显示一条消息：

在这里插入图片描述

User policies: saved to disk and applied diff to Registry.
Computer policies: saved to disk and applied diff to Registry.

用户策略：保存到磁盘并应用到注册表。
计算机策略：保存到磁盘并应用于注册表。

组策略相关概念功能简介

组策略（Group Policy）是微软 Windows NT 家族操作系统的一个特性，它可以控制用户帐户和计算机帐户的工作环境。组策略提供了操作系统、应用程序和活动目录中用户设置的集中化管理和配置。组策略的其中一个版本名为本地组策略（缩写 “LGPO” 或 “LocalGPO”），这可以在独立且非域的计算机上管理组策略对象。

通过使用组策略，你可以设置策略设置一次，然后将该设置复制到多台计算机上。

例如，你可以在链接到域的 GPO 中设置多个 Internet Explorer11 安全设置，然后将所有这些设置应用到域中的每台计算机。

根据作用范围不同组策略可划分为多种，并且拥有自己的执行顺序和继承原则。

本地组策略 LGP

Local Group Policy，缩写 LGP 或 LocalGPO 是组策略的基础版本，它面向独立且非域的计算机。至少 Windows XP 家庭版中它就已经存在，并且可以应用到域计算机。在 Windows Vista 以前，LGP 可以强制施行组策略对象到单台本地计算机，但不能将策略应用到用户或组。从 Windows Vista 开始，LGP 允许本地组策略管理单个用户和组，并允许使用 “GPO Packs” 在独立计算机之间备份、导入和导出组策略 —— 组策略容器包含导入策略到目标计算机的所需文件。

域策略

当机器安装了域环境的时候，系统管理工具会多出一个功能 (组策略管理), 通过它，域管理员能够很方便统一地对域内的机器和用户进行统一管理。

域管理员经常会面对一个这样的问题，域成员机子的默认本地管理员密码过于简单，想进行批量修改的时候，这个时候就可以利用组策略来进行任务的批量下发。

1、通过在域中下发脚本来执行
2、在组策略首选项 GPP 中进行设置
3、本地管理员密码解决方案：LAPS

组策略应用顺序

1、首先应用本地组策略。

2、如果有站点组策略，则应用之。

3、然后应用域组策略。

4、如果计算机或用户属于某个 OU, 则应用 OU 上的组策略。

5、如果计算机或用户属于某个 OU 的子 OU, 则应用子 OU 上的组策略一

6、如果同个容器下链接了多个组策略对象，则按照链接顺序逐个应用。

到底哪个组策略最终生效

组策略的应用次序是本地 -> 站点 -> 域 ->OU，如果策略有冲突，则后应用的生效。因为 Default Domain Controller policy 是 OU 策略，所以它会覆盖 Default Domain Policy 的设定，最终生效的是 OU 上的策略。

但密码策略是个比较特殊的策略，本地策略仅影响本地账户，只有域策略才能影响域账户。

1、由于密码策略属于域策略，故而一般情况下，是修改 Default domain policy。如果修改某个 OU 的密码策略，那么仅仅会影响该 ou 下的计算机本地账户，而不会影响到任何域账户。

2、如果在设置域密码策略之前，在用户账户属性中设置了相关的密码选项，那么最终以用户账户属性为准。

3、由于密码策略属于计算机策略，那么更改密码策略后，您可能需要重新启动所有域控制器，才会立刻产生效果。

4、由于密码策略属于计算机策略，那么更改密码策略后，您可能需要重新启动客户端计算机，才会立刻产生效果。

5、和众多写入注册表的策略一样，如果您想禁用密码复杂性，简单的将密码复杂性策略项设置为 “未定义” 是无效的，必须设置为一个确定的状态，即 “禁止”。

组策略管理控制台

组策略管理控制台 (GPMC) 可统一管理组织中多个林中的组策略的各个方面。通过 GPMC 可在网络中管理所有组策略对象 (GPO)、Windows Management Instrumentation (WMI) 筛选器和组策略相关权限。将 GPMC 视为组策略的主要访问点，所有组策略管理工具都可从 GPMC 界面获得。

GPMC 由一组用于管理组策略的可编写脚本的接口和基于 MMC 的用户界面 (UI) 组成。 GPMC 包含在 Windows Server 和远程服务器管理工具中。

GPMC 提供以下功能：

导入和导出 GPO。
复制并粘贴 GPO。
备份和还原 GPO。
搜索现有 GPO。
报告功能。
组策略建模。允许在生产环境中实施策略部署之前模拟策略结果集（RsoP）数据，以便规划组策略部署。
组策略结果。可用于查看 GPO 交互并排查组策略部署问题。
支持迁移表，以便跨域和跨林导入和复制 GPO。迁移表是一个文件，它将源 GPO 中对用户、组、计算机和通用命名约定 (UNC) 路径的引用映射到目标 GPO 中的新值。
在 HTML 报告中报告 GPO 设置和 RSoP 数据，可以保存和打印这些数据。
可脚本化的接口，可用于执行 GPMC 中可用的所有操作。不能使用脚本编辑 GPO 中的单个策略设置。

先决条件

若要使用 GPMC，必须满足以下先决条件。

在运行 Windows Server 或 Windows 客户端操作系统的计算机上安装组策略管理功能。
对 GPO 具有 * 编辑设置、删除 * 和 * 修改 * 安全权限。
若要链接 GPO，需要对该站点、域或 OU 具有修改权限，默认情况下，只有域管理员和企业管理员具有此权限。
具有将 GPO 链接到特定站点、域或 OU 的权限的用户和组可以链接 GPO、更改链接顺序，并在该站点、域或者 OU 上设置阻止继承。

创建未链接的 GPO

若要创建未链接的 GPO，请执行以下步骤：

若要打开 GPMC，请选择 ** 开始 **，在搜索框中输入 ** 组策略管理 **，然后选择 ** 组策略管理 **。
在 GPMC 控制台树中，右键单击要创建新的未链接 GPO 的林和域中的 ** 组策略对象 **。
选择 “新建”。
在 “新建 GPO” 对话框中，指定新 GPO 的名称，然后选择 ** 确定 **。

编辑现有 GPO

若要更改现有 GPO 中的策略设置，请执行以下步骤：

在 GPMC 控制台树中，展开包含要编辑的 GPO 的林和域中的组策略对象。
右键单击要编辑的 GPO，然后选择 ** 编辑 **。
在组策略管理编辑器的控制台树中，根据需要展开项，找到包含要修改的策略设置的策略项。选择一个项目，以在详细信息窗格中查看关联的策略设置。
在详细信息窗格中，双击要编辑的策略设置的名称。
在 “属性” 对话框中，根据需要修改策略设置，然后选择 ** 确定 **。
完成必要的修改后，关闭组策略管理编辑器。

链接 GPO

将 GPO 中的策略设置应用于用户和计算机的主要方法是将 GPO 链接到 Active Directory 中的容器。 GPO 可以链接到 Active Directory 中的三种类型的容器：站点、域和组织单位 (OU)。一个 GPO 可以链接到多个 Active Directory 容器。

GPO 按域存储。例如，如果将 GPO 链接到 OU，则 GPO 不会存储在该 OU 中。 GPO 是可以链接到林中任何位置的每个域对象。 GPMC 中的 UI 有助于阐明链接与实际 GPO 之间的区别。

在 GPMC 中，可以使用以下任一方法将现有 GPO 链接到 Active Directory 容器：

右键单击站点、域或 OU 项，然后选择 ** 链接现有 GPO**。此过程要求域中已存在 GPO。
将 GPO 从 “组策略对象” 项下拖动到要将 GPO 链接到的 OU。此拖放功能仅适用于同一域中。

更改 GPO 链接顺序

在每个站点、域和 OU 中，链接顺序控制应用 GPO 的顺序。若要更改链接的优先级，可以更改链接顺序，将列表中的每个链接向上或向下移动到相应的位置。对于给定的站点、域或 OU，具有最小数字的链接具有更高的优先级。

例如，希望添加的最后一个 GPO 具有最高优先级。可以将 GPO 的链接顺序调整为 1 的链接顺序，使其成为最高级别。若要更改站点、域或 OU 的 GPO 链接的链接顺序，请使用 GPMC。

从站点、域或 OU 取消链接 GPO

取消链接 GPO 意味着链接的 GPO 不再应用于最初链接的位置。若要取消链接 GPO，请执行以下操作：

在 GPMC 控制台树中，展开包含要取消链接的 GPO 的林和域中的组策略对象。
选择要取消链接的 GPO。
在详细信息窗格中，选择 ** 范围 ** 选项卡。
在 “链接” 部分中，右键单击包含要删除的链接的 Active Directory 对象，然后选择 ** 删除链接 **。

删除指向 GPO 的链接与删除 GPO 不同。如果有 GPO 链接，则 GPO 仍可用。从其他域到该 GPO 的其他链接也仍然存在。删除 GPO 时，系统会提示删除所选域中的 GPO 及其所有链接。执行 GPO 和所有链接不会删除其他域中指向 GPO 的链接。在从此域中删除此 GPO 之前，请务必删除指向其他域中的 GPO 的链接。