分析系统安全性
secedit /analyze
此命令分析系统的安全性。
语法
secedit /analyze [/DB filename ] [/CFG filename ] [/log logpath] [/verbose] [/quiet]
参数
/DB filename
提供到数据库的路径,此数据库包含执行分析的存储配置。该参数是必需的。如果 filename 指定了新数据库,也必须指定 CFGfilename 参数。
/CFG filename
该参数只有与 /DB 参数一起使用才有效。它是到安全模板的路径,此安全模板将被导入到数据库中以用于分析。如果没有指定此参数,则根据已存储在数据库中的配置执行分析。
/log logpath
此过程的日志文件的路径。如果不提供该参数,则使用默认文件。
/verbose
在分析过程中需要更详细的进度信息。
/quiet
不使用屏幕和日志文件的输出。使用安全配置和分析将仍然可以查看分析结果。
配置系统安全性
secedit /configure
此命令通过应用存储的模板配置系统的安全性。
语法
secedit /configure [/DB filename ] [/CFG filename ] [/overwrite][/areas area1 area2...] [/log logpath] [/verbose] [/quiet]
参数
/DB filename
提供到数据库的路径,数据库包含应该使用的安全模板。这是所需的参数。
/CFG filename
该参数只有与 /DB 参数一起使用时才有效。这是到安全模板的路径,此安全模板将导入到数据库并应用于系统。如果没有指定此参数,将应用已存储在数据库中的模板。
/overwrite
该参数只有同 /CFG 参数一起使用时才有效。它指定 /CFG 参数中的安全模板是否应该覆盖存储在数据库中的任何模板或复合模板,而不是附加到存储的模板中。如果没有指定,将 /CFG 参数中的模板附加到存储的模板中。
/areas area1 area2...
指定应用到系统中的安全区域。默认为“所有区域”。每个区域应通过空格分隔。 区域名称 说明
SECURITYPOLICY 系统的本地策略和域策略,包含帐户策略、审核策略等等。
GROUP_MGMT 在安全模板中指定的任何组的受限组设置
USER_RIGHTS 用户登录权限和特权
REGKEYS 本地注册表项上的安全性
FILESTORE 本地文件存储的安全性
SERVICES 所有定义的服务的安全性
/log logpath
过程日志文件的路径如果没有指定,将使用默认设置。
/verbose
指定更详细的进度信息。
/quiet
不使用屏幕和日志文件的输出。
刷新安全性设置
secedit /refreshpolicy
此命令通过重新将安全性设置应用到“组策略”对象以刷新系统的安全性。
语法
secedit /refreshpolicy {machine_policy | user_policy}[/enforce]
参数
machine_policy
刷新本地计算机的安全性设置。
user_policy
刷新当前登录到计算机的本地用户帐户的安全性设置。
/enforce
即使没有更改“组策略”对象设置,也要刷新安全性设置。
导出安全性设置
secedit /export
此命令从安全数据库中将存储的模板导出到安全模板文件中。
语法
secedit /export [/mergedPolicy] [/DB filename ] [/CFG filename ] [/areas area1 area 2...] [/log logPath] [/verbose] [/quiet]
参数
/MergedPolicy
合并并导出域和本地策略安全设置。
/DB filename
提供到数据库的路径,此数据库包含将导出的模板。如果没有提供数据库,将使用系统策略数据库。
/CFG filename
保存模板的文件的路径和名称。
/areas area1 area2...
指定将被导出到模板的安全区域。默认为“所有区域”。每个区域应通过空格分隔。 区域名称 说明
SECURITYPOLICY 系统的本地策略和域策略,包含帐户策略、审核策略等等。
GROUP_MGMT 在安全模板中指定的任何组的受限组设置
USER_RIGHTS 用户登录权限和特权
REGKEYS 本地注册表项上的安全性
FILESTORE 本地文件存储的安全性
SERVICES 所有定义的服务的安全性
/log logpath
过程日志文件的路径如果没有指定,将使用默认设置。
/verbose
指定更详细的进度信息。
/quiet
不使用屏幕和日志文件的输出。
验证安全性配置文件
secedit /validate
此命令验证要导入到分析数据库或系统应用程序的安全模板的语法。
语法
secedit /validate filename
参数
filename
使用安全模板创建的安全模板文件名。
-----------------------------------------------------------------------------------------------------------------------------------
刷新组策略设置
GP组策略:组策略是一种管理员限制用户和限制计算机使用界面,使用功能的一种工具,可以简单的理解为注册表的简化和汉化
注策略可以应用在四个位置,并且应用顺序为:
本地计算机---站点---域---组织单元,在本地计算机上使用组策略可以通过gpedit.msc打开组策略编辑器,进行修改,而在AD中可以通过管理工具中的“域控制器安全策略”和“域安全策略”进行限制,但是推荐大家不要使用这种方法进行使用,最好是在AD中建立GPL(组策略链接)的方法进行设置,同时也不要对默认的策略进行修改,以免无法恢复
组策略编辑器有两部分组成:
1.计算机配置:当在计算机配置中改动了策略,那么在域中的任何用户登陆到这台被改动组策略的计算机上时,都会受到此策略的限制和约束,计算机策略一般都需要重新启动生效,
2.用户配置:当在用户配置中改动了策略,那么此用户在域中任何计算机上进行登陆都会受到此限制和约束,用户策略一般需要注销才生效
如果设置的策略没有生效的话,可以通过组策略刷新命令设置进行强制生效,在2000的计算机上使用secedit /refreshpolicy machine_policy /enforce命令强制计算机策略生效,而使用secedit /refreshpolicy user_policy /enforce强制用户策略生效;在XP或2003的计算机使用gpupdate /force就可以使计算机策略和用户策略都进行刷新生效
在AD中经常遇到不同的计算机和不同的用户约束不同,所以就需要设置不同的组策略,但是不要在域上进行设置,设置域的组策略就会影响到所有的域中计算机和用户,常用的方法是创建组织单元,进行嵌套,分级设置组织单元的策略,就可以起到效果,组织单元的创建一般按照“地理范围”和“部门职能”进行划分,以实现企业合理化安排。
标签: