分析系統安全性secedit /analyze

此命令分析系統的安全性。

語法secedit /analyze [/DB filename ] [/CFG filename ] [/log logpath] [/verbose] [/quiet]

參數/DB filename 提供到數據庫的路徑，此數據庫包含執行分析的存儲配置。該參數是必需的。如果 filename 指定了新數據庫，也必須指定 CFGfilename 參數。 /CFG filename 該參數只有與 /DB 參數一起使用才有效。它是到安全模板的路徑，此安全模板將被導入到數據庫中以用于分析。如果沒有指定此參數，則根據已存儲在數據庫中的配置執行分析。 /log logpath 此過程的日志文件的路徑。如果不提供該參數，則使用默認文件。 /verbose 在分析過程中需要更詳細的進度信息。 /quiet 不使用屏幕和日志文件的輸出。使用安全配置和分析將仍然可以查看分析結果。

配置系統安全性secedit /configure

此命令通過應用存儲的模板配置系統的安全性。

語法secedit /configure [/DB filename ] [/CFG filename ] [/overwrite][/areas area1 area2...] [/log logpath] [/verbose] [/quiet]

參數/DB filename 提供到數據庫的路徑，數據庫包含應該使用的安全模板。這是所需的參數。 /CFG filename 該參數只有與 /DB 參數一起使用時才有效。這是到安全模板的路徑，此安全模板將導入到數據庫并應用于系統。如果沒有指定此參數，將應用已存儲在數據庫中的模板。 /overwrite 該參數只有同 /CFG 參數一起使用時才有效。它指定 /CFG 參數中的安全模板是否應該覆蓋存儲在數據庫中的任何模板或復合模板，而不是附加到存儲的模板中。如果沒有指定，將 /CFG 參數中的模板附加到存儲的模板中。 /areas area1 area2... 指定應用到系統中的安全區域。默認為“所有區域”。每個區域應通過空格分隔。 區域名稱 說明 SECURITYPOLICY 系統的本地策略和域策略，包含帳戶策略、審核策略等等。 GROUP_MGMT 在安全模板中指定的任何組的受限組設置 USER_RIGHTS 用戶登錄權限和特權 REGKEYS 本地注冊表項上的安全性 FILESTORE 本地文件存儲的安全性 SERVICES 所有定義的服務的安全性

/log logpath 過程日志文件的路徑如果沒有指定，將使用默認設置。 /verbose 指定更詳細的進度信息。 /quiet 不使用屏幕和日志文件的輸出。

刷新安全性設置secedit /refreshpolicy 此命令通過重新將安全性設置應用到“組策略”對象以刷新系統的安全性。

語法secedit /refreshpolicy {machine_policy | user_policy}[/enforce]

參數machine_policy 刷新本地計算機的安全性設置。 user_policy 刷新當前登錄到計算機的本地用戶帳戶的安全性設置。 /enforce 即使沒有更改“組策略”對象設置，也要刷新安全性設置。

導出安全性設置secedit /export

此命令從安全數據庫中將存儲的模板導出到安全模板文件中。

語法secedit /export [/mergedPolicy] [/DB filename ] [/CFG filename ] [/areas area1 area 2...] [/log logPath] [/verbose] [/quiet]

參數/MergedPolicy 合并并導出域和本地策略安全設置。 /DB filename 提供到數據庫的路徑，此數據庫包含將導出的模板。如果沒有提供數據庫，將使用系統策略數據庫。 /CFG filename 保存模板的文件的路徑和名稱。 /areas area1 area2... 指定將被導出到模板的安全區域。默認為“所有區域”。每個區域應通過空格分隔。 區域名稱 說明 SECURITYPOLICY 系統的本地策略和域策略，包含帳戶策略、審核策略等等。 GROUP_MGMT 在安全模板中指定的任何組的受限組設置 USER_RIGHTS 用戶登錄權限和特權 REGKEYS 本地注冊表項上的安全性 FILESTORE 本地文件存儲的安全性 SERVICES 所有定義的服務的安全性

/log logpath 過程日志文件的路徑如果沒有指定，將使用默認設置。 /verbose 指定更詳細的進度信息。 /quiet 不使用屏幕和日志文件的輸出。

驗證安全性配置文件secedit /validate 此命令驗證要導入到分析數據庫或系統應用程序的安全模板的語法。

語法secedit /validate filename

參數filename 使用安全模板創建的安全模板文件名。

-----------------------------------------------------------------------------------------------------------------------------------

刷新組策略設置

GP組策略：組策略是一種管理員限制用戶和限制計算機使用界面，使用功能的一種工具，可以簡單的理解為注冊表的簡化和漢化

注策略可以應用在四個位置，并且應用順序為：本地計算機---站點---域---組織單元，在本地計算機上使用組策略可以通過gpedit.msc打開組策略編輯器，進行修改，而在AD中可以通過管理工具中的“域控制器安全策略”和“域安全策略”進行限制，但是推薦大家不要使用這種方法進行使用，最好是在AD中建立GPL（組策略鏈接）的方法進行設置，同時也不要對默認的策略進行修改，以免無法恢復組策略編輯器有兩部分組成：

1.計算機配置：當在計算機配置中改動了策略，那么在域中的任何用戶登陸到這臺被改動組策略的計算機上時，都會受到此策略的限制和約束，計算機策略一般都需要重新啟動生效，

2.用戶配置：當在用戶配置中改動了策略，那么此用戶在域中任何計算機上進行登陸都會受到此限制和約束，用戶策略一般需要注銷才生效如果設置的策略沒有生效的話，可以通過組策略刷新命令設置進行強制生效，在2000的計算機上使用secedit /refreshpolicy machine_policy /enforce命令強制計算機策略生效，而使用secedit /refreshpolicy user_policy /enforce強制用戶策略生效；在XP或2003的計算機使用gpupdate /force就可以使計算機策略和用戶策略都進行刷新生效在AD中經常遇到不同的計算機和不同的用戶約束不同，所以就需要設置不同的組策略，但是不要在域上進行設置，設置域的組策略就會影響到所有的域中計算機和用戶，常用的方法是創建組織單元，進行嵌套，分級設置組織單元的策略，就可以起到效果，組織單元的創建一般按照“地理范圍”和“部門職能”進行劃分，以實現企業合理化安排。