『壹』 CMD下開啟組策略的命令
組策略是建立Windows安全環境的重要手段,尤其是在Windows域環境下。一個出色的系統管理員,應該能熟練地掌握並應用組策略。在窗口界面下訪問組策略用gpedit.msc,命令行下用secedit.exe。
先看secedit命令語法:
secedit /analyze
secedit /configure
secedit /export
secedit /validate
secedit /refreshpolicy
5個命令的功能分別是分析組策略、配置組策略、導出組策略、驗證模板語法和更新組策略。其中secedit /refreshpolicy 在XP/2003下被gpupdate代替。這些命令具體的語法自己在命令行下查看就知道了。
與訪問注冊表只需reg文件不同的是,訪問組策略除了要有個模板文件(還是inf),還需要一個安全資料庫文件(sdb)。要修改組策略,必須先將模板導入安全資料庫,再通過應用安全資料庫來刷新組策略。來看個例子:
假設我要將密碼長度最小值設置為6,並啟用「密碼必須符合復雜性要求」,那麼先寫這么一個模板:
[version]
signature="$CHICAGO$"
[System Access]
MinimumPasswordLength = 6
PasswordComplexity = 1
保存為gp.inf,然後導入:
secedit /configure /db gp.sdb /cfg gp.inf /quiet
這個命令執行完成後,將在當前目錄產生一個gp.sdb,它是「中間產品」,你可以刪除它。
/quiet參數表示「安靜模式」,不產生日誌。但根據我的試驗,在2000sp4下該參數似乎不起作用,XP下正常。日誌總是保存在%windir%\security\logs\scesrv.log。你也可以自己指定日誌以便隨後刪除它。比如:
secedit /configure /db gp.sdb /cfg gp.inf /log gp.log
del gp.*
另外,在導入模板前,還可以先分析語法是否正確:
secedit /validate gp.inf
那麼,如何知道具體的語法呢?當然到MSDN里找啦。也有偷懶的辦法,因為系統自帶了一些安全模板,在%windir%\security\templates目錄下。打開這些模板,基本上包含了常用的安全設置語法,一看就懂。
再舉個例子——關閉所有的「審核策略」。(它所審核的事件將記錄在事件查看器的「安全性」里)。
echo版:
echo [version] >1.inf
echo signature="$CHICAGO$" >>1.inf
echo [Event Audit] >>1.inf
echo AuditSystemEvents=0 >>1.inf
echo AuditObjectAccess=0 >>1.inf
echo AuditPrivilegeUse=0 >>1.inf
echo AuditPolicyChange=0 >>1.inf
echo AuditAccountManage=0 >>1.inf
echo AuditProcessTracking=0 >>1.inf
echo AuditDSAccess=0 >>1.inf
echo AuditAccountLogon=0 >>1.inf
echo AuditLogonEvents=0 >>1.inf
secedit /configure /db 1.sdb /cfg 1.inf /log 1.log /quiet
del 1.*
也許有人會說:組策略不是保存在注冊表中嗎,為什麼不直接修改注冊表?因為不是所有的組策略都保存在注冊表中。比如「審核策略」就不是。你可以用regsnap比較修改該策略前後注冊表的變化。我測試的結果是什麼都沒有改變。只有「管理模板」這一部分是完全基於注冊表的。而且,知道了具體位置,用哪個方法都不復雜。
比如,XP和2003的「本地策略」-》「安全選項」增加了一個「本地帳戶的共享和安全模式」策略。XP下默認的設置是「僅來賓」。這就是為什麼用管理員帳號連接XP的ipc$仍然只有Guest許可權的原因。可以通過導入reg文件修改它為「經典」:
echo Windows Registry Editor Version 5.00 >1.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa] >>1.reg
echo "forceguest"=dword:00000000 >>1.reg
regedit /s 1.reg
del 1.reg
而相應的用inf,應該是:
echo [version] >1.inf
echo signature="$CHICAGO$" >>1.inf
echo [Registry Values] >>1.inf
echo MACHINE\System\CurrentControlSet\Control\Lsa\ForceGuest=4,0 >>1.inf
secedit /configure /db 1.sdb /cfg 1.inf /log 1.log
del 1.*
關於命令行下讀取組策略的問題。
系統默認的安全資料庫位於%windir%\security\database\secedit.sdb,將它導出至inf文件:
secedit /export /cfg gp.inf /log 1.log
沒有用/db參數指定資料庫就是採用默認的。然後查看gp.inf。
不過,這樣得到的只是組策略的一部分(即「Windows設置」)。而且,某個策略如果未配置,是不會被導出的。比如「重命名系統管理員帳戶」,只有被定義了才會在inf文件中出現NewAdministratorName="xxx"。對於無法導出的其他的組策略只有通過訪問注冊表來獲得了。
此辦法在XP和2003下無效——可以導出但內容基本是空的。原因不明。根據官方的資料,XP和2003顯示組策略用RSoP(組策略結果集)。相應的命令行工具是gpresult。但是,它獲得的是在系統啟動時被附加(來自域)的組策略,單機測試結果還是「空」。所以,如果想知道某些組策略是否被設置,只有先寫一個inf,再用secedit /analyze,然後查看日誌了。
『貳』 打開組策略編輯器的命令是什麼
您好! 開始——運行——gpedit.msc 更多詳情: 請到中華隱士黑客聯盟
『叄』 打開組策略編輯器,需要運行什麼命令
看一下下面你就明白什麼用處了
組策略
GPO是一種與域、地址或組織單元相聯系的物理策略。在NT 4.0系統中,一個單一的系統策略文件(例如ntconfig.pol)包括所有的可以執行的策略功能,但它依賴於用戶計算機中的系統注冊表的設置。在Win2K中,GPO包括文件和AD對象。通過組策略,可以指定基於注冊表的設置、使用NT 4.0格式.adm模板文件的運行Win2K的本地計算機、域的安全設置和使用Windows安裝程序的網路軟體安裝,這樣在安裝軟體時就可以對文件夾進行重定向。微軟管理控制台(MMC)中的組策略編輯器(GPE)插件與NT 4.0中的系統策略編輯器poledit.exe相當。在GPE中的每個功能節點(例如軟體設置、Windows 設置、管理模塊等)都是MMC插件擴展,在MMC插件中擴展是可選的管理工具,如果你是應用程序開發者,可以通過定製的擴展拓展GPO的功能,從而針對你的應用程序提供附加的策略控制。只有運行Win2K的系統可以執行組策略,運行NT 4.0和Windows 9x的客戶機則無法識別到或運行具有AD架構的GPO。
以下主要是針對新的系統Windows XP的。
所謂策略(Policy),是Windows中的一種自動配置桌面設置的機制。
所謂組策略(Group Policy),顧名思義,就是基於組的策略。它以Windows中的一個MMC管理單元的形式
存在,可以幫助系統管理員針對整個計算機或是特定用戶來設置多種配置,包括桌面配置和安全配置。譬
如,可以為特定用戶或用戶組定製可用的程序、桌面上的內容,以及「開始」菜單選項等,也可以在整個
計算機范圍內創建特殊的桌面配置。簡而言之,組策略是Windows中的一套系統更改和配置管理工具的集
合。
GPO(Group Policy Object)——組策略對象,實際上就是組策略設置的集合。組策略的設置結果是保存
在GPO中的。
而在Windows 98 或Windows NT的系統策略編輯器工具,它可以看成是組策略的前身,主要指基於注冊表
設置的策略。
『肆』 如何調用電腦里的「組策略」命令
這個問題度娘有更全面的解答,原文摘錄如下:
無法打開組策略的解決方法
一、使用的是Windows XP Home Edition(家庭版)
由於家庭版沒有組策略功能。所以按照以下方法解決:
1、將XP專業版的「C:\WINDOWS\system32」文件夾中的gpedit.msc、fde.dll、gpedit.dll、gptext.dll、wsecedit.dll文件復制到HOME版的「C:\WINDOWS\system32」文件夾中。
2、在「開始--運行」中依次運行以下命令:「regsvr32 fde.dll」、「regsvr32 gpedit.dll」、「regsvr32 gptext.dll」、「regsvr32 wsecedit.dll」分別注冊這4個動態資料庫。
3、將XP專業版的「C:\WINDOWS\INF」文件夾中的所有*.adm文件復制替換到HOME的「C:\WINDOWS\INF」文件夾中。
4、最後單擊「開始--運行」,輸入「gpedit.msc」便可以啟動組策略了。
二:專業版XP打不開組策略
打開「控制面板」→「任務計劃」,啟動向導建立一個名為MMC的任務計劃,執行的程序是「C:/Windows/System32/mmc exe」 完成後,在任務計劃窗口右擊新建的MMC選擇「運行」,在打開的控制台程序窗口,單擊菜單欄的「文件」→「打開」,定位到「C:/Windows/System32/gpedit msc」程序,打開組策略編輯窗口,依次展開「本地計算機策略」→「用戶配置」→「管理模板」→「系統」,雙擊右側窗格的「只運行許可的Windows應用程序」,在彈出的窗口將其設置為「未配置」 單擊「確定」退出並關閉組策略編輯窗口,當系統彈出「是否將更改保存到gpedit.msc」詢問窗口時,單擊「是」確定保存,即可解鎖。
三、關於Vista或Win7
在Vista或Win7中,要想打開gpedit.msc,需要管理員許可權。如果需要開啟
1.注冊表法(推薦):將下列代碼復制粘貼到txt文件中,保存後重命名為reg文件,雙擊點擊是即可. Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT\*\shell\runas] @="管理員取得所有權" "NoWorkingDirectory"="" [HKEY_CLASSES_ROOT\*\shell\runas\command] @="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F" "IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F" [HKEY_CLASSES_ROOT\exefile\shell\runas2] @="管理員取得所有權" "NoWorkingDirectory"="" [HKEY_CLASSES_ROOT\exefile\shell\runas2\command] @="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F" "IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F" [HKEY_CLASSES_ROOT\Directory\shell\runas] @="管理員取得所有權" "NoWorkingDirectory"="" [HKEY_CLASSES_ROOT\Directory\shell\runas\command] @="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t" "IsolatedCommand"="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \ (請務必復制空格,否則改變將失敗)
2.右鍵點"計算機"在選"管理",裡面有個"本地用戶和組",再在Administrator點右鍵,把禁用關掉.這個才是有全部許可權的管理員,再在關機的地方切換到管理員用戶,把其它用戶刪掉即可
『伍』 求助如何進入組策略和運行命令
最容易的方法就是在我的電腦那點右鍵,然後搜索「gpedit.msc」(只要搜索不錯盤就行了),然後就有了。^_^
『陸』 如何打開組策略控制台
有兩種方法可以訪問組策略:一是通過gpedit.msc命令直接進入組策略窗口;二是打開控制台,將組策略添加進去。
1. 輸入gpedit.msc命令
選擇「開始」→「運行」,在彈出窗口中輸入「gpedit.msc」,回車後進入組策略窗口(圖1)。組策略窗口的結構和資源管理器相似,左邊是樹型目錄結構,由「計算機配置」、「用戶配置」兩大節點組成。這兩個節點下分別都有「軟體設置」、「windows設置」和「管理模板」三個節點,節點下面還有更多的節點和設置。此時點擊右邊窗口中的節點或設置,便會出現關於此節點或設置的適用平台和作用描述。「計算機配置」、「用戶配置」兩大節點下的子節點和設置有很多是相同的,那麼我們該改哪一處?「計算機配置」節點中的設置應用到整個計算機策略,在此處修改後的設置將應用到計算機中的所有用戶。「用戶配置」節點中的設置一般只應用到當前用戶,如果你用別的用戶名登錄計算機,設置就不會管用了。但一般情況下建議在「用戶配置」節點下修改,本文也將主要講解「用戶配置」節點的各項設置的修改,附帶講解「計算機配置」節點下的一些設置。其中「管理模板」設置最多、應用最廣,因此也是本文的重中之重。
『柒』 WinXP打開組策略的命令是什麼
Windows操作系統的組策略是配置計算機中某一些用戶組策略的程序,由系統管理員操作控制計算機程序、訪問網路資源、操作行為、各種軟體設置的最主要工具。電腦管理員可以通過組策略進行諸如:禁止運行指定程序、鎖定注冊表編輯器、阻止訪問命令提示符、禁止修改系統還原配置、修改用戶組密碼等等操作,可以說功能十分強大。
組策略怎麼打開?
點擊“開始”菜單——》選擇“運行”——》輸入“Gpedit.msc”,然後再點擊“確定”即可打開組策略。
組策略命令是什麼?
打開組策略命令就是上面的“Gpedit.msc”,如果上面的方法打不開,還可以通過其他方法打開組策略。在桌面新建一個文本文檔,然後在文檔中輸入:Gpedit.msc,保存後,將該文件的後綴改為“Bat”,然後雙擊這個文件就可以打開組策略了。
聲明:本文內容摘於互聯網,刊登/轉載此文目的在於更廣泛的傳播及分享,並不意味著贊同其觀點或論證其描述。如有版權糾紛問題請准備好相關證明材料與站長聯系,謝謝!
『捌』 組策略怎麼打開,組策略編輯器命令
在開始菜單中打開運行,或者直接按win+r鍵盤組合鍵打開。
在開始菜單運行gpedit.msc
這時,組策略編輯器就打開了。你可以進行設置了。