Введение
Моделирование групповых политик – это компонент оснастки «Управление групповой политикой», который позволяет администраторам увидеть настройки, которые будут применены определенным пользователем или компьютером, если объект находится в определенном месторасположении в Active Directory. Этот компонент будет полезным для вас в том случае, если, например, пользователь перевелся в другое подразделение или филиал организации, и вы хотите узнать, какие настройки к нему будут применяться после перемещения из одного OU в другое. Соответственно, моделирование поможет вам выполнять свои административные задачи более эффективно и позволит свести к минимуму временные затраты на исправление негативного результата применения новых политик после перемещения пользователя. В этой статье будет рассмотрен принцип использования данного компонента и мастера моделирования групповой политики, и вы на примере увидите, насколько эффективным может оказаться функционал моделирования, как в тестовой, так и в рабочей среде. Приобретенные навыки из этой статьи помогут вам экономить время, которое может быть потрачено на расследование проблем, связанных с работой операционной системы после перемещения пользователей в различные подразделения.
Основные проблемы
- Остановите Службу репликации файлов (FRS) на всех контроллерах домена.
- Скопируйте все файлы и папки из каталога SYSVOL во временную папку на эталонном контроллере домена. Временная папка должна быть на том же разделе, что и каталог SYSVOL.
- Сверьте точки соединения NTFS на каждом контроллере домена.
- Перезапустите FRS на эталонном контроллере домена с параметром D4 в реестре.
- Перезапустите FRS на всех остальных контроллерах домена с параметром D2 в реестре.
- На эталонном контроллере домена переместите все папки и файлы в корневую папку реплекации. По умолчанию это папка C:\Windows\Sysvol\Domain.
- Проверьте согласованность файлов и папок на всех контроллерах домена.
Проверка точкек соединения NTFS
На всех контроллерах домена проверьте состав дерева в SYSVOL:
Verify that the following folders exist in the SYSVOL tree :
\SYSVOL
\SYSVOL\domain
\SYSVOL\staging\domain
\SYSVOL\staging areas
\SYSVOL\domain\Policies
\SYSVOL\domain\scripts
\SYSVOL\SYSVOL
Проверьте, существуют ли точки соединения NTFS:
\SYSVOL\SYSVOL\<dns_domain_name> > \SYSVOL\domain \SYSVOL\staging areas\<dns_domain_name> > \SYSVOL\staging\domain
командой:
linkd "%systemroot%\SYSVOL\SYSVOL\<dns_domain_name>" linkd "%systemroot%\SYSVOL\staging areas\<dns_domain_name>"
Задать перенаправление можно той же командой:
linkd "%systemroot%\SYSVOL\SYSVOL\<dns_domain_name>" "%systemroot%\SYSVOL\domain" linkd "%systemroot%\SYSVOL\staging areas\<dns_domain_name>" "%systemroot%\SYSVOL\staging\domain"
Утилита linkd.exe находится в пакете Windows Server 2003 Resource Kit Tools.
Эталонный контроллер домена
ВНИМАНИЕ!Перед этим шагом выполните архивацию объектов групповой политики без относительно того, что мы с вами об этом думаем.
На эталонном контроллере домена должен быть собран актуальный набор объектов групповой политики. Для этого откройте Active Directory — Пользователи и компьютеры. Включите Дополнительные параметры в меню Вид. В домене найдите контейнер System, а в нем Policies.
С правой стороны представлены объекты групповой политики, которые должны один в один соответсвовать обьектам в дереве SYSVOL.
Для этого:
- Если в дереве SYSVOL встречается папка с именем GUID, который не встречается в Active Directory, вы можете безопасно ее удалить из папки.
- Если в Active Directory встречается обьект групповой политики с GUID не отраженный в SYSVOL\domain\policies, то вы можете безопасно удалить ее из Active Directory.
На эталонном контроллере домена удалите любые файлы и папки из корня SYSVOL. По умолчанию нужно очистить следующие папки:
C:\WINDOWS\SYSVOL\domain C:\WINDOWS\SYSVOL\staging\domain
В редакторе реестра найдите следующие ключи:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Cumulative Replica Sets\GUID
Где GUID is the GUID of the domain system volume replica set that is shown in the following registry subkey:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Replica Sets\GUID
Задайте значение параметра BurFlags D4 (HexaDecimal).
Остальные контроллеры домена
Удалите все файлы и папки из дерева SYSVOL, очистив его таким образом от мусора.
В редакторе реестра найдите следующие ключи:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Cumulative Replica Sets\GUID
Где GUID is the GUID of the domain system volume replica set that is shown in the following registry subkey:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Replica Sets\GUID
Задайте значение параметра BurFlags D2 (HexaDecimal).
Проверка
Для получения списка общих ресурсов на каждом контроллере выполните команду:
net share
На основном контроллере домена и через некоторое время на резервном появится следующая строчка выводла этой команды
SYSVOL C:\Windows\SYSVOL\sysvol Общий сервер входа
В логе событий системы будет получено сообщение о восстановлении репликации. На всех контроллерах домена, кроме эталонного, это займет некоторое время.
Не подключается сетевой диск
Если групповая политика сопоставления диска применяется, но на клиентском ПК диск не подключается, проблема может быть в следующем.
Вероятнее всего, на компьютере под управлением Windows XP отключена служба автоматического обновления. Включите службу и обновите ОС до актуального состояния. Критическое обновление, отвечающее за подключение сетевых дисков KB943729.
Что делать, если программам пользователей надо писать данные в Programm Files, но пользоватлям нельзя давать права Администратора?
Способ 2: удаление нескольких параметров реестра
Данный метод позволяет изменить настройки некоторых параметров групповых политик. После их изменения система начнёт лояльнее относиться к установке ПО.
Как настроить реестр:
- Одновременно нажать на клавиши Win + R.
- В новой строке ввести слово regedit и нажать Enter.
- В редакторе реестра следовать по пути HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\.
- Проверить наличие подраздела Installer. Если он есть, следует удалить каталог и все значения из него.
- Повторить пункт 3 и 4, но изначально выбрать ветку HKEY_CURRENT_USER – все остальные каталоги идентичны.
- Закрыть утилиту редактирования и перезапустить ПК.
Теперь установка должна пройти без проблем.
Запрет выполнения определенных программ
Возможно линия партии перестала быть благосклонной к использованию пиратского и другого неправославного ПО или оснастка kaspersky administration kit честно указывает на 3 пиратских фотошопа/корела/файнридера разных версий на каждом ПК и разнообразие ни каким боком не относящихся к работе игр. В том или ином случае возникают ситуации, когда определенное ПО необходимо запретить к использованию. Лучшим решением этой проблемы предоставляются групповые политики (Group Policy) домена AD. Запрет реализуется следующим образом:
В интересующем нас контейнере создаем новый объект GPO и редактируем его. Идем в
Конфигурация компьютера -> Политики -> Конфигурация Windows -> Параметры безопасности -> Политики ограниченного использования программ
В новой политике правой кнопкой мышки по пункту Политики ограниченного использования программ -> Создать политику ограниченного использования программ.
В полученной политике перейдите в Дополнительные правила.
Хотя оснастка предоставляет различные варианты правил запрета, наш выбор создания правила по хешу приложения обусловлен тем, что на компьютерах, попадающих под данную Group Policy, выполнение указанных программ будет более невозможно безотносительно того, где они расположены. Это удобно при необходимости запретить ПО, не требующее установки, например portable-софт и некотороые виды игр.
Создаем новое правило по хешу, нажимаем «Обзор» и выбираем исполняемый файл программы, который хотим запретить для выполнения. Удобно что при обзоре исполняемый файл можно указать по сети.
Сервер автоматически применяет политику в течение часа. Также ее можно принудительно применить с помошью команды:
gpupdate /force
Фильтрация GPO WMI
В объекте групповой политики можно использовать специальные фильтры WMI. Таким образом, вы можете применить политику к своим компьютерам на основе некоторого запроса WMI. Например, вы можете создать фильтр WMI GPO для применения политики только к компьютерам с определённой версией Windows, к компьютерам в определённой IP-подсети, только к ноутбукам и так далее.
При использовании фильтрации WMI групповой политики убедитесь, что ваш запрос WMI верен. Он должен выбирать только те системы, которые вам нужны, и ни один целевой компьютер не исключается. Вы можете протестировать свой WMI-фильтр на компьютерах с помощью PowerShell:
gwmi -Query 'select * from Win32_OperatingSystem where Version like "10.%" and ProductType="1"'
Если запрос возвращает какие-либо данные, то к этому компьютеру будет применён фильтр WMI.
Как устроены групповые политики
При создании домена AD автоматически создаются два объекта групповой политики:Политика домена по умолчанию
устанавливает базовые параметры для всех пользователей и компьютеров в домене в трех плоскостях: политика паролей, политика блокировки учетных записей и политика Kerberos.
Политика контроллеров домена по умолчанию
устанавливает базовые параметры безопасности и аудита для всех контроллеров домена в рамках домена.
Для вступления настроек в силу, объект групповой политики необходимо применить (связать) с одним или несколькими контейнерами Active Directory: сайт, домен или подразделение (OU). Например, можно использовать групповую политику, чтобы потребовать от всех пользователей в определённом домене использовать более сложные пароли или запретить использование съемных носителей на всех компьютерах только в финансовом подразделении данного домена.
Объект групповой политики не действует, пока не будет связан с контейнером Active Directory, например, сайтом, доменом или подразделением. Любой объект групповой политики может быть связан с несколькими контейнерами, и, наоборот, с конкретным контейнером может быть связано несколько объектов групповой политики. Кроме того, контейнеры наследуют объекты групповой политики, например, объект групповой политики, связанный с подразделением, применяется ко всем пользователям и компьютерам в его дочерних подразделениях. Аналогичным образом, объект групповой политики, применяемый к OU, применяется не только ко всем пользователям и компьютерам в этом OU, но и наследуется всем пользователям и компьютерам в дочерних OU.
Настройки различных объектов групповой политики могут перекрываться или конфликтовать. По умолчанию объекты групповой политики обрабатываются в следующем порядке (причем созданные позднее имеют приоритет над созданными ранее):
- Локальный (индивидуальный компьютер)
- Сайт
- Домен
- Организационная единица
В эту последовательность можно и нужно вмешиваться, выполнив любое из следующих действий:Изменение последовательности GPO
. Объект групповой политики, созданный позднее, обрабатывается последним и имеет наивысший приоритет, перезаписывая настройки в созданных ранее объектах. Это работает в случае возникновения конфликтов.
Блокирование наследования
. По умолчанию дочерние объекты наследуют все объекты групповой политики от родительского, но вы можете заблокировать это наследование.
Принудительное игнорирование связи GPO
. По умолчанию параметры родительских политик перезаписываются любыми конфликтующими политиками дочерних объектов. Вы можете переопределить это поведение.
Отключение связей GPO
. По умолчанию, обработка включена для всех связей GPO. Вы можете предотвратить применение объекта групповой политики для конкретного контейнера, отключив связь с объектом групповой политики этого контейнера.
Иногда сложно понять, какие политики фактически применяются к конкретному пользователю или компьютеру, определить т.н. результирующий набор политик (Resultant Set of Policy, RSoP). Microsoft предлагает утилиту командной строки GPResult, который умеет генерировать отчет RSoP.
Для управления групповыми политиками Microsoft предоставляет консоль управления групповыми политиками (GPMC). Используя этот бесплатный редактор групповой политики, ИТ-администраторы могут создавать, копировать, импортировать, создавать резервные копии и восстанавливать объекты групповой политики, а также составлять отчеты по ним. Microsoft также предлагает целый набор интерфейсов GPMC, которые можно использовать для программного доступа ко многим операциям, поддерживаемым консолью.
По умолчанию любой член группы администраторов домена может создавать объекты групповой политики и управлять ими. Кроме того, существует глобальная группа под названием «Владельцы-создатели групповых политик»; его члены могут создавать объекты групповой политики, но они могут изменять только созданные ими политики, если им специально не предоставлены разрешения на редактирование других объектов групповой политики.
В этой же консоли можно делегировать вспомогательным ИТ-администраторам разрешения для различных действий: создание, редактирование и создание связей для определенных объектов групповой политики. Делегирование — ценный инструмент; например, можно предоставить группе, ответственной за управление Microsoft Office, возможность редактировать объекты групповой политики, используемые для управления настройками Office на рабочем столе пользователей.
Настройки политики
Каждая политика доступна для настройки. Открывается окно редактирования параметров по двойному щелчку на определенную строку. Вид окон может отличаться, все зависит от выбранной политики.
Стандартное простое окно имеет три различных состояния, которые настраиваются пользователем. Если точка стоит напротив «Не задано», то политика не действует. «Включить» – она будет работать и активируются настройки. «Отключить» – находится в рабочем состоянии, однако параметры не применяются.
Рекомендуем обратить внимание на строку «Поддерживается» в окне, она показывает, на какие версии Windows распространяется политика
Просмотр политик из командной строкой
Если вам удобно использовать командную строку, это даёт несколько преимуществ перед использованием инструмента «Результирующая политика». Во-первых, он может отображать каждую последнюю политику, примененную на вашем ПК. Во-вторых, он покажет некоторые дополнительные сведения о безопасности – например, в какие группы безопасности входит пользователь или какие привилегии у них есть.
Для этого мы будем использовать команду gpresult. Вы должны указать область для результатов, а допустимые области включают «пользователь» и «компьютер». Это означает, что для просмотра всех политик, действующих для пользователя и компьютера, Вам придется дважды запускать команду.
Чтобы просмотреть все политики, применяемые к учетной записи пользователя, с помощью которой вы в настоящее время вошли в систему, вы должны использовать следующую команду:
Параметр /v в этой команде указывает на подробные результаты, так что вы увидите всё. Прокрутите вниз, и вы увидите раздел с названием «Результирующий набор политик для пользователя», который содержит информацию, которая вам нужна.
Если вы ищете политики, применяемые к вашему компьютеру, всё, что вам нужно сделать, это изменить область действия:
Если вы прокрутите вниз, вы увидите, что теперь есть раздел «Результирующий набор политик для компьютера».
Доступны и другие вещи, которые вы можете сделать с помощью команды gpresult. Например, если вы хотите сохранить отчет, а не просматривать его в командной строке, вы можете отключить параметр /v в любой из этих команд и вместо этого использовать /x (для формата XML) или /h (для формата HTML).
Удаление локальных групповых политик
Важно: этот способ потенциально нежелателен, выполняйте его только на свой страх и риск. Также этот способ не сработает для политик, измененных путем внесения правок в редакторе реестра минуя редакторы политик
Политики загружаются в реестр Windows из файлов в папках WindowsSystem32GroupPolicy и WindowsSystem32GroupPolicyUsers. Если удалить эти папки (может потребоваться загрузиться в безопасном режиме) и перезагрузить компьютер, политики будут сброшены на настройки по умолчанию.
Удаление можно произвести и в командной строке, запущенной от имени администратора, по порядку выполнив команды (последняя команда выполняет перезагрузку политик):
RD /S /Q "%WinDir%System32GroupPolicy" RD /S /Q "%WinDir%System32GroupPolicyUsers" gpupdate /force
Если ни один из способов вам не помог, можно сбросить Windows 10 (доступно и в Windows 8/8.1) на настройки по умолчанию, в том числе и с сохранением данных.
Редактор локальной групповой политики — мощный инструмент, позволяющий тонко настраивать параметры Windows. Применяется он в основном системными администраторами, а при понимании дела с таким же успехом его могут использовать и рядовые юзеры. Впрочем, от ошибок не застрахованы ни первые, ни вторые. Иногда случается, что вследствие неудачной настройки параметров через редактор локальных групповых политик система начинает работать некорректно.
Самое лучшее, что можно предпринять в такой ситуации, это вернуть изменённые настройки в исходное состояние. Если же изменённых настроек много, и вы при этом не помните, что именно меняли, можно прибегнуть к полному сбросу всех настроек редактора групповых политик к значениям по умолчанию. Вот как это можно сделать на примере с Windows 10.
Сбросить конфигурацию редактора политик можно через сам редактор политик. Откройте его командой gpedit.msc и перейдите по пути Конфигурация компьютера -> Административные шаблоны -> Все Параметры. Нажатием импровизированной стрелки в столбце «Состояние» отсортируйте политики таким образом, чтобы имеющие статус «Включено» и «Отключено» оказались вверху списка, так вам будет удобнее с ними работать.
Затем дважды кликните по каждой из этих политик мышкой и в окне настроек установите радиокнопку в положение «Не задано».
Те же самые действия повторите для политики в разделе «Конфигурация пользователя».
Сброс параметров редактора групповых политик также можно выполнить с помощью командной строки. Откройте консоль от имени администратора и последовательно выполните эти три команды, а затем перезагрузите компьютер:
RD /S /Q «%WinDir%System32GroupPolicy»RD /S /Q «%WinDir%System32GroupPolicyUsers»gpuрdаte /force
И, наконец, последний шаг — сброс к значениям по умолчанию локальных политик безопасности. Эта оснастка является своего рода расширением компонента локальных групповых политик. Открывается она командой secpol.msc. Для её сброса также можно использовать командную строку, запущенную с правами администратора. Сама команда сброса выглядит следующим образом:
secedit /configure /cfg %windir%infdefltbase.inf /db defltbase.sdb /verbose
Как и в случае с оснасткой gpedit.msc, для восстановления исходных настроек потребуется перезагрузка компьютера.
Previous Entry | Next Entry
Фильтрация безопасности в GPO
Проверьте настройки Security Filtering («фильтрации безопасности») в своей политике. По умолчанию для всех новых объектов GPO в домене включены разрешения для группы Authenticated Users («Прошедшие проверку»). В эту группу входят все пользователи и компьютеры в домене. Это означает, что политика будет применяться ко всем пользователям и компьютерам в пределах её области действия.
Если вы хотите изменить фильтрацию безопасности, чтобы применить политику только к членам определённой группы безопасности (или определенным пользователям/компьютерам), удалите «Authenticated Users» из списка фильтрации безопасности и убедитесь, что целевой объект (пользователь или компьютер) добавлен в нужную вам группу AD. Также убедитесь, что группа, которую вы добавили в фильтр безопасности, имеет разрешения Read и Apply group policy с установленным флажком Allow («Разрешить») в GPO → Delegation → кнопка Advanced (GPO → Делегирование → кнопка «Дополнительно»).
Если вы используете нестандартные фильтры безопасности GPO, убедитесь, что нет явного запрета на использование GPO для целевых групп (Deny).
Как добавить редактор локальной групповой политики в Windows 10
Существуют руководства для добавления в “десятку”, предполагающие использование сторонних приложений. Однако, есть возможность избавиться от ошибки “не удается найти ” и поставить редактор групповой локальной политики, используя стандартные инструменты ОС. Для этого выполняем следующие действия:
- Создаем новый текстовый документ в Блокноте, который можно запустить, воспользовавшись строкой поиска.
- Копируем код ниже и вставляем его в только что созданный документ.
@echo off dir /b C:\Windows\servicing\Packages\Microsoft-Windows-GroupPolicy-ClientExtensions-Package~3*.mum > dir /b C:\Windows\servicing\Packages\Microsoft-Windows-GroupPolicy-ClientTools-Package~3*.mum >> echo Ustanovka for /f %%i in (‘findstr /i . 2^>nul’) do dism /online /norestart /add-package:»C:\Windows\servicing\Packages\%%i» echo Gpedit ustanovlen. pause - Кликаем по меню “Файл”, далее – “Сохранить как…”.
- Выбираем место расположения нового файла, в типе фала выбираем вариант “Все файлы”, задаем ему имя, после которого добавляем .bat. Жмем кнопку “Сохранить”.
- Закрываем блокнот и переходим к сохраненному файлу. Щелчком правой кнопки мыши по нему открываем контекстное меню, в котором выбираем пункт “Запуск от имени администратора”.
- Запустится командная строка, после чего выполнится инсталляция требуемых элементов из собственной базы Windows 10. По готовности щелкаем любую клавишу на клавиатуре, чтобы выйти из командной строки.
- Редактор локальной групповой политики установлен. Чтобы проверить его работоспособность, вызываем нажатием клавиш Win+R окно “Выполнить”, вводим команду и нажимаем Enter.
- Редактор запустился и готов к работе, чего мы и добивались.
Таким образом, выполнив достаточно понятные шаги, описанные выше, можно установить редактор групповой локальной, который иногда просто необходим для внесения определенных изменений в настройки Windows 10.
Автоматизация входа в систему на компьютере под управлением Windows XP
- Зайти на контроллер домена и запустить оснастку Администрирование\Управление групповой политикой.
- Создать в разделе «Имя леса»\»Домены»\»Имя домена»\»Объекты групповой политики» новый объект групповой политики.
- На созданном объекте группвой политики кликнуть правой кнопкой мыши и выбрать «Изменить». Запустится «Редактор управления групповыми политиками».
- В разделе «Конфигурация компьютера» необходимо кликнуть правой кнопкой мыши по пункту «Административные шаблоны» и выбрать «Добавление и удаление шаблонов…». Добавить шаблон, скачанный в пункте 1).
- Перейти к разделу «Конфигурация компьютера»\»Политики»\»Административные шаблоны»\»Классические административные шаблоны (ADM)»\»System»\»Logon» и изменить параметры добавленного шаблона. Чтобы групповая политика сработала, необходимо в параметрах «AutoAdminLogon» и «ForceAutoLogon» поставить «1». Остальные параметры выставляются для конкретного ПК.
- В оснастке Администрирование\Управление групповой политикой в разделе «Имя леса»\»Домены»\»Имя домена»\»Фильтры WMI» создать новый фильтр WMI. При создании в поле «Запросы» добавить следующий запрос «select * from win32_computerSystem where name like «%имя компьютера%»».
- После создания фильтра WMI необходимо указать объект групповой политики, который этот фильтр будет использовать. Для этого в поле «Объекты GPO, использующие фильтр WMI» указываем созданный в пунктах 1)-5) объект. Пункты 6)-7) необходимы для назначения групповой политики для конкретных ПК.
- После принятия всех описанных выше изменений запустить командную строку и выполнить команду «gpupdate /force».
Причина
Эта проблема возникает из-за того, что файл LocationProviderADM.admx был переименован в Microsoft-Windows-Geolocation-WLPAdm.admx в Windows 10 RTM.
-
Сценарий 1
После копирования файлов .admx с Windows 10 в центральный магазин, содержащий файл LocationProviderADM.ADMX, который находится в более ранней версии Windows, существует два файла .admx, которые содержат те же параметры, но имеют разные имена. Это вызывает ошибку «пространство имен уже определено».
-
Сценарий 2
При обновлении с Windows 10 RTM до Windows 10 версии 1511 новый файл LocationProviderAdm.admx копируется в папку, сохраняя при этом старый файл Microsoft-Windows-Geolocation-WLPAdm.admx. Таким образом, существует два файла ADMX, которые адресуют одно и то же пространство имен политик.
Отключаем автозапуск через редактор групповой политики
Откройте меню «Пуск», затем «Выполнить» (можно так же воспользоваться «горячими клавишами» Win+R), после чего будет открыто окошко «Запуск программы». В которое необходимо ввести gpedit.msc и нажать ENTER.
- в окне, которое открылось, выбираем Политика «Локальный компьютер», затем «Конфигурация компьютера», после чего «Административные шаблоны» и «Компоненты Windows» → «Политика автозапуска»;
- в правой части окна выберем «Отключить автозапуск»;
- выбираем меню Действие → Свойства (или можно сделать двойной щелчок мыши по «Отключить автозапуск»);
- в открывшемся окне «Свойства», напротив «Отключить автозапуск», устанавливаем переключатель в положение Включен;
- затем, в списке «Отключить автозапуск на:» выбираем «всех дисководах» и нажимаем ОК.
- заходим в Конфигурация пользователя → Административные шаблоны → Система;
- в правой части окна выбираем «Отключить автозапуск»;
- открываем меню Действие → Свойства;
- в открывшихся Свойствах, напротив «Отключить автозапуск», устанавливаем значение «Включен»;
- после чего в выпадающем списке отключения автозапуска на дисководах, выбираем «всех дисководах» и нажимаем ОК;
- закрываем окно, в котором выполняли все вышеописанные изменения.
Необязательно выполнять перезагрузку вашего компьютера, что бы выполненные изменения вступили в силу. Для этого мы сворачиваем все окна (можно воспользоваться соответствующей значком, расположенным на панели «Быстрого запуска», или при помощи сочетания клавиш Win+D), затем просто нажимаем клавишу F5 (или через контекстное меню Рабочего стола, кликнув правой кнопкой по пустому месту и выбрав «Обновить»).