分析系統(tǒng)安全性secedit /analyze

此命令分析系統(tǒng)的安全性。

語(yǔ)法secedit /analyze [/DB filename ] [/CFG filename ] [/log logpath] [/verbose] [/quiet]

參數(shù)/DB filename 提供到數(shù)據(jù)庫(kù)的路徑，此數(shù)據(jù)庫(kù)包含執(zhí)行分析的存儲(chǔ)配置。該參數(shù)是必需的。如果 filename 指定了新數(shù)據(jù)庫(kù)，也必須指定 CFGfilename 參數(shù)。 /CFG filename 該參數(shù)只有與 /DB 參數(shù)一起使用才有效。它是到安全模板的路徑，此安全模板將被導(dǎo)入到數(shù)據(jù)庫(kù)中以用于分析。如果沒(méi)有指定此參數(shù)，則根據(jù)已存儲(chǔ)在數(shù)據(jù)庫(kù)中的配置執(zhí)行分析。 /log logpath 此過(guò)程的日志文件的路徑。如果不提供該參數(shù)，則使用默認(rèn)文件。 /verbose 在分析過(guò)程中需要更詳細(xì)的進(jìn)度信息。 /quiet 不使用屏幕和日志文件的輸出。使用安全配置和分析將仍然可以查看分析結(jié)果。

配置系統(tǒng)安全性secedit /configure

此命令通過(guò)應(yīng)用存儲(chǔ)的模板配置系統(tǒng)的安全性。

語(yǔ)法secedit /configure [/DB filename ] [/CFG filename ] [/overwrite][/areas area1 area2...] [/log logpath] [/verbose] [/quiet]

參數(shù)/DB filename 提供到數(shù)據(jù)庫(kù)的路徑，數(shù)據(jù)庫(kù)包含應(yīng)該使用的安全模板。這是所需的參數(shù)。 /CFG filename 該參數(shù)只有與 /DB 參數(shù)一起使用時(shí)才有效。這是到安全模板的路徑，此安全模板將導(dǎo)入到數(shù)據(jù)庫(kù)并應(yīng)用于系統(tǒng)。如果沒(méi)有指定此參數(shù)，將應(yīng)用已存儲(chǔ)在數(shù)據(jù)庫(kù)中的模板。 /overwrite 該參數(shù)只有同 /CFG 參數(shù)一起使用時(shí)才有效。它指定 /CFG 參數(shù)中的安全模板是否應(yīng)該覆蓋存儲(chǔ)在數(shù)據(jù)庫(kù)中的任何模板或復(fù)合模板，而不是附加到存儲(chǔ)的模板中。如果沒(méi)有指定，將 /CFG 參數(shù)中的模板附加到存儲(chǔ)的模板中。 /areas area1 area2... 指定應(yīng)用到系統(tǒng)中的安全區(qū)域。默認(rèn)為“所有區(qū)域”。每個(gè)區(qū)域應(yīng)通過(guò)空格分隔。 區(qū)域名稱 說(shuō)明 SECURITYPOLICY 系統(tǒng)的本地策略和域策略，包含帳戶策略、審核策略等等。 GROUP_MGMT 在安全模板中指定的任何組的受限組設(shè)置 USER_RIGHTS 用戶登錄權(quán)限和特權(quán) REGKEYS 本地注冊(cè)表項(xiàng)上的安全性 FILESTORE 本地文件存儲(chǔ)的安全性 SERVICES 所有定義的服務(wù)的安全性

/log logpath 過(guò)程日志文件的路徑如果沒(méi)有指定，將使用默認(rèn)設(shè)置。 /verbose 指定更詳細(xì)的進(jìn)度信息。 /quiet 不使用屏幕和日志文件的輸出。

刷新安全性設(shè)置secedit /refreshpolicy 此命令通過(guò)重新將安全性設(shè)置應(yīng)用到“組策略”對(duì)象以刷新系統(tǒng)的安全性。

語(yǔ)法secedit /refreshpolicy {machine_policy | user_policy}[/enforce]

參數(shù)machine_policy 刷新本地計(jì)算機(jī)的安全性設(shè)置。 user_policy 刷新當(dāng)前登錄到計(jì)算機(jī)的本地用戶帳戶的安全性設(shè)置。 /enforce 即使沒(méi)有更改“組策略”對(duì)象設(shè)置，也要刷新安全性設(shè)置。

導(dǎo)出安全性設(shè)置secedit /export

此命令從安全數(shù)據(jù)庫(kù)中將存儲(chǔ)的模板導(dǎo)出到安全模板文件中。

語(yǔ)法secedit /export [/mergedPolicy] [/DB filename ] [/CFG filename ] [/areas area1 area 2...] [/log logPath] [/verbose] [/quiet]

參數(shù)/MergedPolicy 合并并導(dǎo)出域和本地策略安全設(shè)置。 /DB filename 提供到數(shù)據(jù)庫(kù)的路徑，此數(shù)據(jù)庫(kù)包含將導(dǎo)出的模板。如果沒(méi)有提供數(shù)據(jù)庫(kù)，將使用系統(tǒng)策略數(shù)據(jù)庫(kù)。 /CFG filename 保存模板的文件的路徑和名稱。 /areas area1 area2... 指定將被導(dǎo)出到模板的安全區(qū)域。默認(rèn)為“所有區(qū)域”。每個(gè)區(qū)域應(yīng)通過(guò)空格分隔。 區(qū)域名稱 說(shuō)明 SECURITYPOLICY 系統(tǒng)的本地策略和域策略，包含帳戶策略、審核策略等等。 GROUP_MGMT 在安全模板中指定的任何組的受限組設(shè)置 USER_RIGHTS 用戶登錄權(quán)限和特權(quán) REGKEYS 本地注冊(cè)表項(xiàng)上的安全性 FILESTORE 本地文件存儲(chǔ)的安全性 SERVICES 所有定義的服務(wù)的安全性

/log logpath 過(guò)程日志文件的路徑如果沒(méi)有指定，將使用默認(rèn)設(shè)置。 /verbose 指定更詳細(xì)的進(jìn)度信息。 /quiet 不使用屏幕和日志文件的輸出。

驗(yàn)證安全性配置文件secedit /validate 此命令驗(yàn)證要導(dǎo)入到分析數(shù)據(jù)庫(kù)或系統(tǒng)應(yīng)用程序的安全模板的語(yǔ)法。

語(yǔ)法secedit /validate filename

參數(shù)filename 使用安全模板創(chuàng)建的安全模板文件名。

-----------------------------------------------------------------------------------------------------------------------------------

刷新組策略設(shè)置

GP組策略：組策略是一種管理員限制用戶和限制計(jì)算機(jī)使用界面，使用功能的一種工具，可以簡(jiǎn)單的理解為注冊(cè)表的簡(jiǎn)化和漢化

注策略可以應(yīng)用在四個(gè)位置，并且應(yīng)用順序?yàn)椋罕镜赜?jì)算機(jī)---站點(diǎn)---域---組織單元，在本地計(jì)算機(jī)上使用組策略可以通過(guò)gpedit.msc打開組策略編輯器，進(jìn)行修改，而在AD中可以通過(guò)管理工具中的“域控制器安全策略”和“域安全策略”進(jìn)行限制，但是推薦大家不要使用這種方法進(jìn)行使用，最好是在AD中建立GPL（組策略鏈接）的方法進(jìn)行設(shè)置，同時(shí)也不要對(duì)默認(rèn)的策略進(jìn)行修改，以免無(wú)法恢復(fù)組策略編輯器有兩部分組成：

1.計(jì)算機(jī)配置：當(dāng)在計(jì)算機(jī)配置中改動(dòng)了策略，那么在域中的任何用戶登陸到這臺(tái)被改動(dòng)組策略的計(jì)算機(jī)上時(shí)，都會(huì)受到此策略的限制和約束，計(jì)算機(jī)策略一般都需要重新啟動(dòng)生效，

2.用戶配置：當(dāng)在用戶配置中改動(dòng)了策略，那么此用戶在域中任何計(jì)算機(jī)上進(jìn)行登陸都會(huì)受到此限制和約束，用戶策略一般需要注銷才生效如果設(shè)置的策略沒(méi)有生效的話，可以通過(guò)組策略刷新命令設(shè)置進(jìn)行強(qiáng)制生效，在2000的計(jì)算機(jī)上使用secedit /refreshpolicy machine_policy /enforce命令強(qiáng)制計(jì)算機(jī)策略生效，而使用secedit /refreshpolicy user_policy /enforce強(qiáng)制用戶策略生效；在XP或2003的計(jì)算機(jī)使用gpupdate /force就可以使計(jì)算機(jī)策略和用戶策略都進(jìn)行刷新生效在AD中經(jīng)常遇到不同的計(jì)算機(jī)和不同的用戶約束不同，所以就需要設(shè)置不同的組策略，但是不要在域上進(jìn)行設(shè)置，設(shè)置域的組策略就會(huì)影響到所有的域中計(jì)算機(jī)和用戶，常用的方法是創(chuàng)建組織單元，進(jìn)行嵌套，分級(jí)設(shè)置組織單元的策略，就可以起到效果，組織單元的創(chuàng)建一般按照“地理范圍”和“部門職能”進(jìn)行劃分，以實(shí)現(xiàn)企業(yè)合理化安排。