‘壹’ CMD下开启组策略的命令
组策略是建立Windows安全环境的重要手段,尤其是在Windows域环境下。一个出色的系统管理员,应该能熟练地掌握并应用组策略。在窗口界面下访问组策略用gpedit.msc,命令行下用secedit.exe。
先看secedit命令语法:
secedit /analyze
secedit /configure
secedit /export
secedit /validate
secedit /refreshpolicy
5个命令的功能分别是分析组策略、配置组策略、导出组策略、验证模板语法和更新组策略。其中secedit /refreshpolicy 在XP/2003下被gpupdate代替。这些命令具体的语法自己在命令行下查看就知道了。
与访问注册表只需reg文件不同的是,访问组策略除了要有个模板文件(还是inf),还需要一个安全数据库文件(sdb)。要修改组策略,必须先将模板导入安全数据库,再通过应用安全数据库来刷新组策略。来看个例子:
假设我要将密码长度最小值设置为6,并启用“密码必须符合复杂性要求”,那么先写这么一个模板:
[version]
signature="$CHICAGO$"
[System Access]
MinimumPasswordLength = 6
PasswordComplexity = 1
保存为gp.inf,然后导入:
secedit /configure /db gp.sdb /cfg gp.inf /quiet
这个命令执行完成后,将在当前目录产生一个gp.sdb,它是“中间产品”,你可以删除它。
/quiet参数表示“安静模式”,不产生日志。但根据我的试验,在2000sp4下该参数似乎不起作用,XP下正常。日志总是保存在%windir%\security\logs\scesrv.log。你也可以自己指定日志以便随后删除它。比如:
secedit /configure /db gp.sdb /cfg gp.inf /log gp.log
del gp.*
另外,在导入模板前,还可以先分析语法是否正确:
secedit /validate gp.inf
那么,如何知道具体的语法呢?当然到MSDN里找啦。也有偷懒的办法,因为系统自带了一些安全模板,在%windir%\security\templates目录下。打开这些模板,基本上包含了常用的安全设置语法,一看就懂。
再举个例子——关闭所有的“审核策略”。(它所审核的事件将记录在事件查看器的“安全性”里)。
echo版:
echo [version] >1.inf
echo signature="$CHICAGO$" >>1.inf
echo [Event Audit] >>1.inf
echo AuditSystemEvents=0 >>1.inf
echo AuditObjectAccess=0 >>1.inf
echo AuditPrivilegeUse=0 >>1.inf
echo AuditPolicyChange=0 >>1.inf
echo AuditAccountManage=0 >>1.inf
echo AuditProcessTracking=0 >>1.inf
echo AuditDSAccess=0 >>1.inf
echo AuditAccountLogon=0 >>1.inf
echo AuditLogonEvents=0 >>1.inf
secedit /configure /db 1.sdb /cfg 1.inf /log 1.log /quiet
del 1.*
也许有人会说:组策略不是保存在注册表中吗,为什么不直接修改注册表?因为不是所有的组策略都保存在注册表中。比如“审核策略”就不是。你可以用regsnap比较修改该策略前后注册表的变化。我测试的结果是什么都没有改变。只有“管理模板”这一部分是完全基于注册表的。而且,知道了具体位置,用哪个方法都不复杂。
比如,XP和2003的“本地策略”-》“安全选项”增加了一个“本地帐户的共享和安全模式”策略。XP下默认的设置是“仅来宾”。这就是为什么用管理员帐号连接XP的ipc$仍然只有Guest权限的原因。可以通过导入reg文件修改它为“经典”:
echo Windows Registry Editor Version 5.00 >1.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa] >>1.reg
echo "forceguest"=dword:00000000 >>1.reg
regedit /s 1.reg
del 1.reg
而相应的用inf,应该是:
echo [version] >1.inf
echo signature="$CHICAGO$" >>1.inf
echo [Registry Values] >>1.inf
echo MACHINE\System\CurrentControlSet\Control\Lsa\ForceGuest=4,0 >>1.inf
secedit /configure /db 1.sdb /cfg 1.inf /log 1.log
del 1.*
关于命令行下读取组策略的问题。
系统默认的安全数据库位于%windir%\security\database\secedit.sdb,将它导出至inf文件:
secedit /export /cfg gp.inf /log 1.log
没有用/db参数指定数据库就是采用默认的。然后查看gp.inf。
不过,这样得到的只是组策略的一部分(即“Windows设置”)。而且,某个策略如果未配置,是不会被导出的。比如“重命名系统管理员帐户”,只有被定义了才会在inf文件中出现NewAdministratorName="xxx"。对于无法导出的其他的组策略只有通过访问注册表来获得了。
此办法在XP和2003下无效——可以导出但内容基本是空的。原因不明。根据官方的资料,XP和2003显示组策略用RSoP(组策略结果集)。相应的命令行工具是gpresult。但是,它获得的是在系统启动时被附加(来自域)的组策略,单机测试结果还是“空”。所以,如果想知道某些组策略是否被设置,只有先写一个inf,再用secedit /analyze,然后查看日志了。
‘贰’ 打开组策略编辑器的命令是什么
您好! 开始——运行——gpedit.msc 更多详情: 请到中华隐士黑客联盟
‘叁’ 打开组策略编辑器,需要运行什么命令
看一下下面你就明白什么用处了
组策略
GPO是一种与域、地址或组织单元相联系的物理策略。在NT 4.0系统中,一个单一的系统策略文件(例如ntconfig.pol)包括所有的可以执行的策略功能,但它依赖于用户计算机中的系统注册表的设置。在Win2K中,GPO包括文件和AD对象。通过组策略,可以指定基于注册表的设置、使用NT 4.0格式.adm模板文件的运行Win2K的本地计算机、域的安全设置和使用Windows安装程序的网络软件安装,这样在安装软件时就可以对文件夹进行重定向。微软管理控制台(MMC)中的组策略编辑器(GPE)插件与NT 4.0中的系统策略编辑器poledit.exe相当。在GPE中的每个功能节点(例如软件设置、Windows 设置、管理模块等)都是MMC插件扩展,在MMC插件中扩展是可选的管理工具,如果你是应用程序开发者,可以通过定制的扩展拓展GPO的功能,从而针对你的应用程序提供附加的策略控制。只有运行Win2K的系统可以执行组策略,运行NT 4.0和Windows 9x的客户机则无法识别到或运行具有AD架构的GPO。
以下主要是针对新的系统Windows XP的。
所谓策略(Policy),是Windows中的一种自动配置桌面设置的机制。
所谓组策略(Group Policy),顾名思义,就是基于组的策略。它以Windows中的一个MMC管理单元的形式
存在,可以帮助系统管理员针对整个计算机或是特定用户来设置多种配置,包括桌面配置和安全配置。譬
如,可以为特定用户或用户组定制可用的程序、桌面上的内容,以及“开始”菜单选项等,也可以在整个
计算机范围内创建特殊的桌面配置。简而言之,组策略是Windows中的一套系统更改和配置管理工具的集
合。
GPO(Group Policy Object)——组策略对象,实际上就是组策略设置的集合。组策略的设置结果是保存
在GPO中的。
而在Windows 98 或Windows NT的系统策略编辑器工具,它可以看成是组策略的前身,主要指基于注册表
设置的策略。
‘肆’ 如何调用电脑里的“组策略”命令
这个问题度娘有更全面的解答,原文摘录如下:
无法打开组策略的解决方法
一、使用的是Windows XP Home Edition(家庭版)
由于家庭版没有组策略功能。所以按照以下方法解决:
1、将XP专业版的“C:\WINDOWS\system32”文件夹中的gpedit.msc、fde.dll、gpedit.dll、gptext.dll、wsecedit.dll文件复制到HOME版的“C:\WINDOWS\system32”文件夹中。
2、在“开始--运行”中依次运行以下命令:“regsvr32 fde.dll”、“regsvr32 gpedit.dll”、“regsvr32 gptext.dll”、“regsvr32 wsecedit.dll”分别注册这4个动态数据库。
3、将XP专业版的“C:\WINDOWS\INF”文件夹中的所有*.adm文件复制替换到HOME的“C:\WINDOWS\INF”文件夹中。
4、最后单击“开始--运行”,输入“gpedit.msc”便可以启动组策略了。
二:专业版XP打不开组策略
打开“控制面板”→“任务计划”,启动向导建立一个名为MMC的任务计划,执行的程序是“C:/Windows/System32/mmc exe” 完成后,在任务计划窗口右击新建的MMC选择“运行”,在打开的控制台程序窗口,单击菜单栏的“文件”→“打开”,定位到“C:/Windows/System32/gpedit msc”程序,打开组策略编辑窗口,依次展开“本地计算机策略”→“用户配置”→“管理模板”→“系统”,双击右侧窗格的“只运行许可的Windows应用程序”,在弹出的窗口将其设置为“未配置” 单击“确定”退出并关闭组策略编辑窗口,当系统弹出“是否将更改保存到gpedit.msc”询问窗口时,单击“是”确定保存,即可解锁。
三、关于Vista或Win7
在Vista或Win7中,要想打开gpedit.msc,需要管理员权限。如果需要开启
1.注册表法(推荐):将下列代码复制粘贴到txt文件中,保存后重命名为reg文件,双击点击是即可. Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT\*\shell\runas] @="管理员取得所有权" "NoWorkingDirectory"="" [HKEY_CLASSES_ROOT\*\shell\runas\command] @="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F" "IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F" [HKEY_CLASSES_ROOT\exefile\shell\runas2] @="管理员取得所有权" "NoWorkingDirectory"="" [HKEY_CLASSES_ROOT\exefile\shell\runas2\command] @="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F" "IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F" [HKEY_CLASSES_ROOT\Directory\shell\runas] @="管理员取得所有权" "NoWorkingDirectory"="" [HKEY_CLASSES_ROOT\Directory\shell\runas\command] @="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t" "IsolatedCommand"="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \ (请务必复制空格,否则改变将失败)
2.右键点"计算机"在选"管理",里面有个"本地用户和组",再在Administrator点右键,把禁用关掉.这个才是有全部权限的管理员,再在关机的地方切换到管理员用户,把其它用户删掉即可
‘伍’ 求助如何进入组策略和运行命令
最容易的方法就是在我的电脑那点右键,然后搜索“gpedit.msc”(只要搜索不错盘就行了),然后就有了。^_^
‘陆’ 如何打开组策略控制台
有两种方法可以访问组策略:一是通过gpedit.msc命令直接进入组策略窗口;二是打开控制台,将组策略添加进去。
1. 输入gpedit.msc命令
选择“开始”→“运行”,在弹出窗口中输入“gpedit.msc”,回车后进入组策略窗口(图1)。组策略窗口的结构和资源管理器相似,左边是树型目录结构,由“计算机配置”、“用户配置”两大节点组成。这两个节点下分别都有“软件设置”、“windows设置”和“管理模板”三个节点,节点下面还有更多的节点和设置。此时点击右边窗口中的节点或设置,便会出现关于此节点或设置的适用平台和作用描述。“计算机配置”、“用户配置”两大节点下的子节点和设置有很多是相同的,那么我们该改哪一处?“计算机配置”节点中的设置应用到整个计算机策略,在此处修改后的设置将应用到计算机中的所有用户。“用户配置”节点中的设置一般只应用到当前用户,如果你用别的用户名登录计算机,设置就不会管用了。但一般情况下建议在“用户配置”节点下修改,本文也将主要讲解“用户配置”节点的各项设置的修改,附带讲解“计算机配置”节点下的一些设置。其中“管理模板”设置最多、应用最广,因此也是本文的重中之重。
‘柒’ WinXP打开组策略的命令是什么
Windows操作系统的组策略是配置计算机中某一些用户组策略的程序,由系统管理员操作控制计算机程序、访问网络资源、操作行为、各种软件设置的最主要工具。电脑管理员可以通过组策略进行诸如:禁止运行指定程序、锁定注册表编辑器、阻止访问命令提示符、禁止修改系统还原配置、修改用户组密码等等操作,可以说功能十分强大。
组策略怎么打开?
点击“开始”菜单——》选择“运行”——》输入“Gpedit.msc”,然后再点击“确定”即可打开组策略。
组策略命令是什么?
打开组策略命令就是上面的“Gpedit.msc”,如果上面的方法打不开,还可以通过其他方法打开组策略。在桌面新建一个文本文档,然后在文档中输入:Gpedit.msc,保存后,将该文件的后缀改为“Bat”,然后双击这个文件就可以打开组策略了。
声明:本文内容摘于互联网,刊登/转载此文目的在于更广泛的传播及分享,并不意味着赞同其观点或论证其描述。如有版权纠纷问题请准备好相关证明材料与站长联系,谢谢!
‘捌’ 组策略怎么打开,组策略编辑器命令
在开始菜单中打开运行,或者直接按win+r键盘组合键打开。
在开始菜单运行gpedit.msc
这时,组策略编辑器就打开了。你可以进行设置了。