SECURITYPOLICY 系统的本地策略和域策略,包含帐户策略、审核策略等等 。
GROUP_MGMT 在安全模板中指定的任何组的受限组设置
USER_RIGHTS 用户登录权限和特权
REGKEYS 本地注册表项上的安全性
FILESTORE 本地文件存储的安全性
SERVICES 所有定义的服务的安全性
/log logpath
过程日志文件的路径如果没有指定,将使用默认设置 。
/verbose
指定更详细的进度信息 。
/quiet
不使用屏幕和日志文件的输出 。
验证安全性配置文件
secedit /validate
此命令验证要导入到分析数据库或系统应用程序的安全模板的语法 。
语法
secedit /validate filename
参数
filename
使用安全模板创建的安全模板文件名 。
-----------------------------------------------------------------------------------------------------------------------------------
刷新组策略设置
GP组策略:组策略是一种管理员限制用户和限制计算机使用界面,使用功能的一种工具,可以简单的理解为注册表的简化和汉化
注策略可以应用在四个位置,并且应用顺序为:
本地计算机---站点---域---组织单元,在本地计算机上使用组策略可以通过gpedit.msc打开组策略编辑器,进行修改,而在AD中可以通过管理工具中的“域控制器安全策略”和“域安全策略”进行限制,但是推荐大家不要使用这种方法进行使用,最好是在AD中建立GPL(组策略链接)的方法进行设置,同时也不要对默认的策略进行修改,以免无法恢复
组策略编辑器有两部分组成:
1.计算机配置:当在计算机配置中改动了策略,那么在域中的任何用户登陆到这台被改动组策略的计算机上时,都会受到此策略的限制和约束,计算机策略一般都需要重新启动生效,
【Windows server 2000 刷新组策略命令】
2.用户配置:当在用户配置中改动了策略,那么此用户在域中任何计算机上进行登陆都会受到此限制和约束,用户策略一般需要注销才生效
如果设置的策略没有生效的话,可以通过组策略刷新命令设置进行强制生效,在2000的计算机上使用secedit /refreshpolicy machine_policy /enforce命令强制计算机策略生效,而使用secedit /refreshpolicy user_policy /enforce强制用户策略生效;在XP或2003的计算机使用gpupdate /force就可以使计算机策略和用户策略都进行刷新生效
在AD中经常遇到不同的计算机和不同的用户约束不同,所以就需要设置不同的组策略,但是不要在域上进行设置,设置域的组策略就会影响到所有的域中计算机和用户,常用的方法是创建组织单元,进行嵌套,分级设置组织单元的策略,就可以起到效果,组织单元的创建一般按照“地理范围”和“部门职能”进行划分,以实现企业合理化安排 。
推荐阅读
- 在Windows 2000/XP 下巧拒强行关机
- 2000以及XP应用之奇技酷招
- Win2000/XP的秘密辅助功能
- Win2000/XP任务管理器能个性化
- windows小工具:用syskey命令加强Windows2000/XP系统安全
- 让Win 2000/XP系统共享桌面主题
- 找到适合Windows2000的系统配置程序
- Win2000安全更新可能导致数据损坏
- 用Access 2000进行班级管理
- 找到适合Win2000的系统配置程序