分析系統(tǒng)安全性secedit /analyze

此命令分析系統(tǒng)的安全性。

語法secedit /analyze [/DB filename ] [/CFG filename ] [/log logpath] [/verbose] [/quiet]

參數(shù)/DB filename 提供到數(shù)據(jù)庫的路徑，此數(shù)據(jù)庫包含執(zhí)行分析的存儲配置。該參數(shù)是必需的。如果 filename 指定了新數(shù)據(jù)庫，也必須指定 CFGfilename 參數(shù)。 /CFG filename 該參數(shù)只有與 /DB 參數(shù)一起使用才有效。它是到安全模板的路徑，此安全模板將被導(dǎo)入到數(shù)據(jù)庫中以用于分析。如果沒有指定此參數(shù)，則根據(jù)已存儲在數(shù)據(jù)庫中的配置執(zhí)行分析。 /log logpath 此過程的日志文件的路徑。如果不提供該參數(shù)，則使用默認(rèn)文件。 /verbose 在分析過程中需要更詳細的進度信息。 /quiet 不使用屏幕和日志文件的輸出。使用安全配置和分析將仍然可以查看分析結(jié)果。

配置系統(tǒng)安全性secedit /configure

此命令通過應(yīng)用存儲的模板配置系統(tǒng)的安全性。

語法secedit /configure [/DB filename ] [/CFG filename ] [/overwrite][/areas area1 area2...] [/log logpath] [/verbose] [/quiet]

參數(shù)/DB filename 提供到數(shù)據(jù)庫的路徑，數(shù)據(jù)庫包含應(yīng)該使用的安全模板。這是所需的參數(shù)。 /CFG filename 該參數(shù)只有與 /DB 參數(shù)一起使用時才有效。這是到安全模板的路徑，此安全模板將導(dǎo)入到數(shù)據(jù)庫并應(yīng)用于系統(tǒng)。如果沒有指定此參數(shù)，將應(yīng)用已存儲在數(shù)據(jù)庫中的模板。 /overwrite 該參數(shù)只有同 /CFG 參數(shù)一起使用時才有效。它指定 /CFG 參數(shù)中的安全模板是否應(yīng)該覆蓋存儲在數(shù)據(jù)庫中的任何模板或復(fù)合模板，而不是附加到存儲的模板中。如果沒有指定，將 /CFG 參數(shù)中的模板附加到存儲的模板中。 /areas area1 area2... 指定應(yīng)用到系統(tǒng)中的安全區(qū)域。默認(rèn)為“所有區(qū)域”。每個區(qū)域應(yīng)通過空格分隔。 區(qū)域名稱 說明 SECURITYPOLICY 系統(tǒng)的本地策略和域策略，包含帳戶策略、審核策略等等。 GROUP_MGMT 在安全模板中指定的任何組的受限組設(shè)置 USER_RIGHTS 用戶登錄權(quán)限和特權(quán) REGKEYS 本地注冊表項上的安全性 FILESTORE 本地文件存儲的安全性 SERVICES 所有定義的服務(wù)的安全性

/log logpath 過程日志文件的路徑如果沒有指定，將使用默認(rèn)設(shè)置。 /verbose 指定更詳細的進度信息。 /quiet 不使用屏幕和日志文件的輸出。

刷新安全性設(shè)置secedit /refreshpolicy 此命令通過重新將安全性設(shè)置應(yīng)用到“組策略”對象以刷新系統(tǒng)的安全性。

語法secedit /refreshpolicy {machine_policy | user_policy}[/enforce]

參數(shù)machine_policy 刷新本地計算機的安全性設(shè)置。 user_policy 刷新當(dāng)前登錄到計算機的本地用戶帳戶的安全性設(shè)置。 /enforce 即使沒有更改“組策略”對象設(shè)置，也要刷新安全性設(shè)置。

導(dǎo)出安全性設(shè)置secedit /export

此命令從安全數(shù)據(jù)庫中將存儲的模板導(dǎo)出到安全模板文件中。

語法secedit /export [/mergedPolicy] [/DB filename ] [/CFG filename ] [/areas area1 area 2...] [/log logPath] [/verbose] [/quiet]

參數(shù)/MergedPolicy 合并并導(dǎo)出域和本地策略安全設(shè)置。 /DB filename 提供到數(shù)據(jù)庫的路徑，此數(shù)據(jù)庫包含將導(dǎo)出的模板。如果沒有提供數(shù)據(jù)庫，將使用系統(tǒng)策略數(shù)據(jù)庫。 /CFG filename 保存模板的文件的路徑和名稱。 /areas area1 area2... 指定將被導(dǎo)出到模板的安全區(qū)域。默認(rèn)為“所有區(qū)域”。每個區(qū)域應(yīng)通過空格分隔。 區(qū)域名稱 說明 SECURITYPOLICY 系統(tǒng)的本地策略和域策略，包含帳戶策略、審核策略等等。 GROUP_MGMT 在安全模板中指定的任何組的受限組設(shè)置 USER_RIGHTS 用戶登錄權(quán)限和特權(quán) REGKEYS 本地注冊表項上的安全性 FILESTORE 本地文件存儲的安全性 SERVICES 所有定義的服務(wù)的安全性

/log logpath 過程日志文件的路徑如果沒有指定，將使用默認(rèn)設(shè)置。 /verbose 指定更詳細的進度信息。 /quiet 不使用屏幕和日志文件的輸出。

驗證安全性配置文件secedit /validate 此命令驗證要導(dǎo)入到分析數(shù)據(jù)庫或系統(tǒng)應(yīng)用程序的安全模板的語法。

語法secedit /validate filename

參數(shù)filename 使用安全模板創(chuàng)建的安全模板文件名。

-----------------------------------------------------------------------------------------------------------------------------------

刷新組策略設(shè)置

GP組策略：組策略是一種管理員限制用戶和限制計算機使用界面，使用功能的一種工具，可以簡單的理解為注冊表的簡化和漢化

注策略可以應(yīng)用在四個位置，并且應(yīng)用順序為：本地計算機---站點---域---組織單元，在本地計算機上使用組策略可以通過gpedit.msc打開組策略編輯器，進行修改，而在AD中可以通過管理工具中的“域控制器安全策略”和“域安全策略”進行限制，但是推薦大家不要使用這種方法進行使用，最好是在AD中建立GPL（組策略鏈接）的方法進行設(shè)置，同時也不要對默認(rèn)的策略進行修改，以免無法恢復(fù)組策略編輯器有兩部分組成：

1.計算機配置：當(dāng)在計算機配置中改動了策略，那么在域中的任何用戶登陸到這臺被改動組策略的計算機上時，都會受到此策略的限制和約束，計算機策略一般都需要重新啟動生效，

2.用戶配置：當(dāng)在用戶配置中改動了策略，那么此用戶在域中任何計算機上進行登陸都會受到此限制和約束，用戶策略一般需要注銷才生效如果設(shè)置的策略沒有生效的話，可以通過組策略刷新命令設(shè)置進行強制生效，在2000的計算機上使用secedit /refreshpolicy machine_policy /enforce命令強制計算機策略生效，而使用secedit /refreshpolicy user_policy /enforce強制用戶策略生效；在XP或2003的計算機使用gpupdate /force就可以使計算機策略和用戶策略都進行刷新生效在AD中經(jīng)常遇到不同的計算機和不同的用戶約束不同，所以就需要設(shè)置不同的組策略，但是不要在域上進行設(shè)置，設(shè)置域的組策略就會影響到所有的域中計算機和用戶，常用的方法是創(chuàng)建組織單元，進行嵌套，分級設(shè)置組織單元的策略，就可以起到效果，組織單元的創(chuàng)建一般按照“地理范圍”和“部門職能”進行劃分，以實現(xiàn)企業(yè)合理化安排。