Как сбросить все групповые политики пользователя?

Question

[Талян]

Когда первый раз залогинился на терминальном сервере, я не входил в группу администраторов, и ко мне применились все политики обычного юзера, такие как запрет вызова редактора реестра, отключение видимости дисков, ну и вообще все стандартные запреты на юзера.

После того, как меня добавили в группу безопасности Администраторы, старые политики никуда не делись.
gpupdate /force не помогает, так как в политиках для админов нет параметров "разрешить то что было запрещено обычному юзеру в соседней политике".

Вижу два варианта решения:
1) Каким то образом сбросить все политики, и выполнить gpupdate
2) Вообще удалить учетную запись с терминального сервера, не трогая при этом её на контроллере домена в AD. Но есть опасение, что меня потом вообще на терминальный сервер не пустит.

Comments

[Alexey Dmitriev]

Если вы политики не с помощью прямого добавления в реестр применяли - то они должны перепримениться в соответствии с новыми значениями.

[Талян]

Alexey Dmitriev, Не через реестр, через оснастку политик.

Обратно не применяются(

Насколько я понимаю, у обычных пользователей стояла политика у значений "Обновить".
А после того, как я попал в OU Админы, куда политики не применяются, старые значения не удалились.

[nApoBo3]

Alexey Dmitriev, нет. Политики которые не определены не возвращаются в дефолтное значение.

[nApoBo3]

Талян, я бы попробовал удалить профиль с RDP сервера.

[Талян]

nApoBo3, Спасибо, я бы тоже) Но сыкотно. Лан, попробую сейчас

[Талян]

nApoBo3 , профиль удалить не получилось, так как в C:\Users нет моей папки, она монтируется при логине из vhd образа. В локальных пользователях меня вообще нет, ибо я как доменный юзер захожу.

Вышел из учетки, зашел другим админом, удалил VHD диск с профилем, но один фиг все то же самое, рабочий стол и документы очистились, а политики остались.

Хотя вроде же политики - это просто значения в реестре, а реестр пользователя насколько я знаю подключается из файл NTUSER который лежит в профиле юзера, который я удалил.

Answer 1

[Талян]

Итак, у меня получилось.
Сделал я следующее:

1) Вышел из своей учетки
2) Зашёл другим админом
3) Удалил через утилиту Sidder свой подключаемый диск с профилем.
4) Открыл regedit, и в ветке HKEY_USERS нашел папку со своим пользователем. Имена там указаны вв формате ID а не как обычное имя пользователя. Свой идентификатор я узнал из той же программы Sidder.
5) Попробовал удалить ветку с моим ID и ветку с именем ID_Classes. При этом вылетает ошибка, что я данную ветку трогать не имею права, но при этом внутри папки каталоги все же удаляются, хоть и не все.
После данного действия попробовал залогиниться под собой. У меня пропало ограничение на правку реестра, но в панели управления до сих пор было всего пару пунктов, остальные значки мне были недоступны.
6) Далее я взял и экспортировал у другого админа его ветку реестра.
7) Открыл reg файл блокнотом, и заменил ID другого админа на свой. То же самое я сделал со вторым REG файлом от папки реестра МОЙ_ID_Classes.
8) Добавил эти два REG файла в реестр.
9) Залогинился под собой. Увидел, что все в порядке, и у меня стала нормальная админская учетка, но:

- Разрешение окошка удаленного рабочего стола долго не могло понять, какой размер принять. Пуск висел в центре экрана, пропала языковая панель, не работало переключение раскладки.
-Через пару минут разрешение само нормализовалось.

Что сломалось:
1)Не жмакается кнопка Пуск.
2) Нет языковой панели, не меняется раскладка. (После gpupdate восстановилось, и работает)
3) В меню ПКМ "Создать" нет вообще ничего, пусто. (После gpupdate восстановилось, и работает)
4) Шрифт везде стал какой-то странный без ClearType

Короче не то что бы стало хуже, но и лучше особо не стало. но права себе вернул.