Cách khắc phục lỗi "Ứng dụng bị chặn bởi Chính sách nhóm" trong Windows Home/Pro

Nếu khi bạn mở một chương trình bạn nhận được cảnh báo ứng dụng bị chặn bởi chính sách nhóm, bạn không phải là người đầu tiên và cũng không phải là người cuối cùng. Tình huống này có thể xảy ra ở cả Windows Home như trong Provà có nhiều nguyên nhân khác nhau: từ chính sách cục bộ hoặc tên miền, đến vấn đề kết nối, DNS hoặc quyền trong Active Directory.

Trong hướng dẫn này, chúng tôi biên soạn, chi tiết và không vòng vo, mọi thứ bạn cần để chẩn đoán và giải quyết các loại tắc nghẽn này: Những việc cần làm trong Windows Home, cách sử dụng Event Viewer và Group Policy Operational Log, cách tạo báo cáo bằng GPResult, bật ghi nhật ký chi tiết (GPSvc), v.v.

"Ứng dụng bị chặn bởi Chính sách nhóm" có nghĩa là gì trong Windows Home và Pro?

Tin nhắn chỉ ra rằng có một chính sách chủ động ngăn chặn ứng dụng chạy hoặc áp dụng cấu hình. Trên máy tính cá nhân, đây thường là chính sách cục bộ; trong môi trường kinh doanh, nó đến từ Active Directory (AD) và được kiểm soát bởi người quản trị miền.

Windows Pro và Enterprise bao gồm Trình chỉnh sửa chính sách nhóm cục bộ (gpedit.msc), trong khi Home không tích hợp sẵn tính năng này. Tuy nhiên, nhiều chính sách được phản ánh trong Registry, vì vậy trong Home, bạn có thể áp dụng hoặc đảo ngược hiệu ứng thông qua các khóa và giá trị cụ thể khi cần thiết.

Điều quan trọng là phải hiểu rằng việc chặn GPO (như trong trường hợp “Ứng dụng bị Chính sách nhóm chặn”) có thể là triệu chứng của một vấn đề khác: kết nối với bộ điều khiển miền, giải quyết tên, quyền hoặc thậm chí là tài nguyên hệ thống. Nếu không có chẩn đoán từng bước, bạn sẽ dễ bị lạc lối.

Bạn có Trình chỉnh sửa chính sách không? Các lựa chọn thay thế trong Trang chủ

 

Cách nhanh nhất để kiểm tra điều này là mở hộp Run bằng Windows + R, viết gpedit.msc và nhấn OK. Nếu nó mở ra, nó có sẵn; nếu bạn gặp lỗi, bạn đang ở trong một phiên bản như Windows 10 Home/Ngôn ngữ đơn và bạn không có nó.

Trong Windows Home, nhiều chính sách có thể được quản lý thông qua Registry. Ví dụ: đối với các thiết lập Windows Update dành cho doanh nghiệp để kiểm soát các biện pháp bảo vệ, nhánh được sử dụng: HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate với các giá trị DWORD cụ thể.

Một trường hợp thực tế: chính trịTắt tính năng bảo vệ cập nhật» cho phép bạn bỏ qua các khối tương thích của Microsoft đối với các Bản cập nhật Tính năng. Trong Pro/Enterprise, tính năng này được kích hoạt từ gpedit; trong Home, giải pháp thay thế là Registry, tạo Vô hiệu hóa WUfBSafeguards (DWORD 32 bit) thành 1 trong đường dẫn trên.

Chẩn đoán bằng Trình xem sự kiện và Nhật ký hoạt động của Chính sách nhóm

Trong trường hợp "Ứng dụng bị chặn bởi chính sách nhóm", hãy luôn bắt đầu bằng sự kiện hệ thống. Trong Trình xem sự kiện, hãy xem lại Nhật ký hệ thống: thông báo giúp theo dõi và lỗi chi tiết các nguyên nhân có thể xảy ra. Mở từng sự kiện và sử dụng liên kết Thông tin thêm và Tab Chi tiết để xem mã lỗi và mô tả.

Tiếp theo, nhật ký hoạt động của GPO sẽ được mở rộng: Microsoft-Windows-GroupPolicy/OperationalTại đây bạn có thể cô lập trường hợp xử lý không thành công nhờ vào ID hoạt động (bạn sẽ thấy nó trong Chi tiết sự kiện Hệ thống liên quan đến Chính sách nhóm).

Tạo chế độ xem tùy chỉnh lọc theo ActivityID đó. Trong Trình xem sự kiện, chọn Chế độ xem tùy chỉnh > Tạo chế độ xem tùy chỉnh > tab XML > chọn "Chỉnh sửa truy vấn thủ công" và dán truy vấn này, thay đổi ID thành ID của riêng bạn:

<QueryList><Query Path="Application"><Select Path="Microsoft-Windows-GroupPolicy/Operational">*</Select></Query></QueryList>

Với điều này bạn sẽ chỉ thấy các sự kiện đó xử lý trường hợp, cho phép bạn chia theo giai đoạn (tiền xử lý, xử lý, hậu xử lý), đối chiếu các sự kiện bắt đầu/kết thúc và phát hiện điểm lỗi chính xác. Sau khi sửa, hãy chạy GPUPDATE để buộc cập nhật và xác nhận xem sự cố còn tiếp diễn hay không.

GPO nào được áp dụng: GPResult và các sự kiện liên quan

Mở dấu nhắc lệnh bằng đặc quyền cao và tạo báo cáo HTML với: gpresult /h gp.htmlTài liệu này thu thập những gì Đối tượng chính sách nhóm đã được áp dụng và những trường hợp nào bị từ chối (và lý do).

Nếu bạn thấy lỗi hoặc từ chối trong GPResult, bạn đã có manh mối để sửa chữa vấn đềNếu không thuyết phục, hãy quay lại Trình xem sự kiện: kiểm tra Hệ thống và Ứng dụng, và đặc biệt là nhật ký hoạt động của Chỉ thị nhóm, trong đó các GPO được áp dụng và bị từ chối được liệt kê kèm theo lý do chính xác.

Với GPResult, nhật ký hoạt động và nhật ký hệ thống, bạn sẽ bao quát được 90% các trường hợp: hầu hết Các vấn đề GPO đã được giải quyết với bộ ba cơ bản này, không cần đến các biện pháp xâm lấn.

Ghi nhật ký chi tiết (GPSvc) và tệp nhật ký

 

Nếu bạn cần một kính lúp tốt hơn, hãy bật nhật ký gỡ lỗi dịch vụ chính sách (GPSvc). Thận trọng: Tính năng này làm giảm hiệu suất và tiêu tốn dung lượng đĩa, vì vậy chỉ bật khi đang thử nghiệm.

Trên máy tính bị ảnh hưởng, hãy mở Registry Editor và tạo: HKLM\Phần mềm\Microsoft\Windows NT\Phiên bản hiện tại\Chẩn đoán. Bên trong, một DWORD (32-bit) được gọi là GPSvcDebugLevel có giá trị 0x00030002 (hex). Đóng nó lại và chạy gpupdate /force.

Nhật ký được lưu trong %windir%\debug\usermode\gpsvc.log. Ở đây bạn sẽ thấy rất chi tiết từng bước xử lý. Hãy nhớ tắt theo dõi khi bạn hoàn tất (đặt GPSvcDebugLevel thành 0) để trở lại bình thường.

Bộ sưu tập nâng cao dành cho hỗ trợ và cài đặt Windows Update có liên quan

Trước khi mở một trường hợp để giải quyết sự cố "Ứng dụng bị chặn bởi Chính sách Nhóm", bạn nên chụp ảnh nhanh hệ thống khi sự cố xảy ra. Đây là một chuỗi các lệnh và tệp cần thu thập để giúp mọi hoạt động của nhóm CNTT trở nên dễ dàng hơn. hỗ trợ kỹ thuật:

• Kích hoạt Nhật ký GPSvc chi tiết và tạo ra thư mục gỡ lỗi: md %windir%\debug\usermode và sau đó: reg add "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Diagnostics" /v GPSvcDebugLevel /t REG_DWORD /d "0x00030002".
• Lực lượng cập nhật chính sách với gpupdate /force để tái hiện lại kịch bản.
• Tạo ra RSoP trong HTML: gpresult /h %Temp%\GPResult.htm và tóm tắt bằng văn bản: gpresult /r >%Temp%\GPResult.txt.
• Xuất khẩu Tiện ích mở rộng GPO của sổ đăng ký: reg export "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions" %Temp%\GPExtensions.reg.
• Xuất khẩu nhật ký sự kiện: wevtutil.exe export-log Application %Temp%\Application.evtx /overwrite:true, wevtutil.exe export-log System %Temp%\System.evtx /overwrite:true y wevtutil.exe export-log Microsoft-Windows-GroupPolicy/Operational %Temp%\GroupPolicy.evtx /overwrite:true.
• Tệp đính kèm: %Temp%\Application.evtx, %Temp%\ System.evtx, %Temp%\GroupPolicy.evtx, %Temp%\GPExtensions.reg, %Temp%\GPResult.txt, %Temp%\GPResult.htm, %windir%\debug\usermode\gpsvc.log.
• Tắt ghi nhật ký GPSvc sau khi hoàn tất: reg add "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Diagnostics" /v GPSvcDebugLevel /t REG_DWORD /d "0x00000000" /f.

Cuối cùng, mặc dù không liên quan trực tiếp đến việc chặn một ứng dụng cụ thể, nhưng bạn vẫn nên biết chính sách này "Tắt tính năng bảo vệ cập nhật" của Cập nhật Windows dành cho Doanh nghiệp, cho phép bạn bỏ qua khả năng tương thích giữ được Microsoft áp dụng cho các bản cập nhật lớn. Cách thực hiện như sau:

• Trong Pro/Enterprise, tính năng này được bật trong gpedit: Cấu hình > Mẫu quản trị > Thành phần Windows > Cập nhật Windows > Cập nhật Windows dành cho doanh nghiệp.
• Trong Home, tương đương của nó thông qua Registry là tạo trong HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate DWORD DisableWUfBSafeguards a 1. Hãy hành động thận trọng: những biện pháp bảo vệ này được áp dụng vì một lý do và có thể ngăn chặn lỗi thiết bị.

Với tất cả những điều trên, bạn sẽ có thể xác định được liệu sự tắc nghẽn có đến từ chính trị địa phương hoặc tên miền, hoặc nếu nó thực sự là một tác dụng phụ của DNS, LDAP, quyền, thời gian hoặc thậm chí là tài nguyên hệ thống. Giữa GPResult, nhật ký hoạt động của Chính sách Nhóm, Trình xem Sự kiện và nhật ký GPSvc, bạn có đầy đủ đường dẫn để xác định chính xác điểm lỗi và áp dụng bản sửa lỗi phù hợp.