Gruppenrichtlinien finden
Für ein Reset der Gruppenrichtlinien starten Sie zuerst den dazugehörigen Editor über den Befehl gpedit.msc im Ausführen-Dialog. Navigieren Sie über die linke Seitenleiste zu Richtlinien für Lokaler Computer / Computerkonfiguration / Administrative Vorlagen / Alle Einstellungen. Im rechten Bereich des Fensters klicken Sie auf die Spalte Status, sodass alle Einträge, die einen anderen Wert als Nicht konfiguriert besitzen, oben stehen. Das sind Ihre benutzerdefinierten Einstellungen.
- Windows 10, Version 1903
Den Editor für lokale Gruppenrichtlinien starten Sie mit dem Befehl „gpedit.msc“ im Ausführen-Dialog. - Windows 10, Version 1903
Navigieren Sie zuerst in der Computerkonfiguration zu den administrativen Vorlagen und selektieren „Alle Einstellungen“. - Windows 10, Version 1903
Um schnell herauszufinden, welche der Einstellungen benutzerdefiniert sind, klicken Sie auf die Status-Spalte. - Windows 10, Version 1903
Sind die Einträge aufsteigend sortiert, stehen die angepassten Einstellungen ganz oben. - Windows 10, Version 1903
Um eine Policy zurückzusetzen, klicken Sie doppelt darauf und weisen ihr den Status „Nicht konfiguriert“ zu. - Windows 10, Version 1903
Nun wechseln Sie über die linke Seitenleiste zur Benutzerkonfiguration und wählen auch hier in den administrativen Vorlagen „Alle Einstellungen“ aus. - Windows 10, Version 1903
Analog zur Computerkonfiguration sortieren Sie wieder nach dem Status der Einträge, sodass vorgenommene Änderungen an oberster Position erscheinen. - Windows 10, Version 1903
Wenn Sie sehr viele Änderungen auf den Default zurücksetzen wollen, eignet sich die Kommandozeile dazu besser. Starten Sie die Eingabeaufforderung als Admin. - Windows 10, Version 1903
Die Rückfrage der Benutzerkontensteuerung (UAC) beantworten Sie mit einem Klick auf „Ja“. - Windows 10, Version 1903
Mithilfe dieser drei Befehle löschen Sie die beiden Policy-Verzeichnisse und wenden die Richtlinien erneut an. - Windows 10, Version 1903
Ein anschließender Blick in den Gruppenrichtlinien-Editor zeigt, dass die Maßnahme erfolgreich war. - Windows 10, Version 1903
Bei den lokalen Sicherheitsrichtlinien findet sich im Editor keine einfache Möglichkeit, nach vorgenommenen Änderungen zu sortieren. - Windows 10, Version 1903
Daher führt kein Weg an der Eingabeaufforderung beziehungsweise alternativ der PowerShell vorbei, die Sie erneut als Administrator starten. Details zum Vorgang finden Sie anschließend in der Protokolldatei. - Windows 10, Version 1903
Im Log-File entpuppen sich nicht alle Warnungen als gravierende Fehler, etwa wenn ein bestimmter Dienst gar nicht installiert ist.
Die Policies einzeln zurücksetzen
Damit haben Sie eine Übersicht über die Anzahl der Änderungen. Falls es nicht allzu viele Einträge sind, kann man sie einzeln öffnen und ihren Status auf Nicht konfiguriert festlegen. Diese Schritte wiederholen Sie für die Einstellungen unter Richtlinien für Lokaler Computer / Benutzerkonfiguration / Administrative Vorlagen / Alle Einstellungen.
Alternative in PowerShell
In einem Rutsch funktioniert das Ganze auch über die Eingabeaufforderung oder PowerShell, die Sie als Administrator starten. Dann löschen Sie über die folgenden Befehle die zwei Windows-Systemordner GroupPolicyUsers und GroupPolicy und wenden die geänderten Richtlinieneinstellungen an:
rd /s /q "%WinDir%\System32\GroupPolicyUsers"
rd /s /q "%WinDir%\System32\GroupPolicy"
gpupdate /force
Mit dem Parameter /s löschen Sie den angegebenen Ordner sowie alle darin enthaltenen Dateien und Unterordner. Die Angabe /q unterdrückt etwaige Rückfragen. Mit dem letzten Kommando erzwingen Sie die erneute Anwendung der Policies.
Nach einem Neustart werden alle Richtlinien als Nicht konfiguriert angezeigt.
Sicherheitsrichtlinien zurücksetzen
Bei den lokalen Sicherheitsrichtlinien haben Sie deutlich schlechtere Karten, den Default wiederherzustellen. Zum einen gibt es kein Äquivalent, um die benutzerdefinierten Policies im Editor anzuzeigen. Deshalb müssen Sie hier direkt mit der als Administrator gestarteten Befehlszeile oder der PowerShell arbeiten. Das folgende Kommando lässt sich nutzen, um mithilfe der Vorlage dfltbase.inf die Sicherheitseinstellungen auf Standardwerte zurückzusetzen:
secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb /verbose
Mögliche Probleme
Allerdings weist Microsoft in einem Knowledgebase-Artikel darauf hin, dass sich auf diese Weise nicht mehr alle Einstellungen wiederherstellen lassen. Grund ist, dass der Softwarehersteller ab Windows Vista eine andere Methode einsetzt, um während der Betriebssystem-Installation Sicherheitseinstellungen anzuwenden. Es empfiehlt sich also, die über den Parameter /verbose angezeigten Meldungen zu beachten sowie einen Blick in die Protokolldatei %windir%\security\logs\scesrv.log zu werfen. Zudem sollten Sie bei derart tiefen Eingriffen ins System zuvor immer ein Backup erstellen, auf das Sie bei Bedarf zurückgreifen können. (jd)