DOS来修改组的策略.docVIP

DOS来修改组策略对于Windows 2000域来说，如果你想让新修改的计算机策略立即生效的话，可以依次单击“开始”/“运行”命令，打开系统运行对话框，并在其中输入字符串命令“cmd ”，单击“确定”按钮后，将Windows系统切换到Ms-DOS工作模式下; 接着在DOS命令提示符下，输入字符串命令“secedit /refreshpolicy machine_policy /enforce”，单击回车键后，新修改的安全策略将会立即生效;　　 如果你想让新修改的用户策略立即生效的话，只要在DOS命令提示符下，执行字符串命令“secedit /refreshpolicy user_policy /enforce”就可以了。 对于Windows 2003域来说，如果你想让新修改的计算机策略立即生效的话，可以依次单击“开始”/“运行”命令，打开系统运行对话框，并在其中输入字符串命令“cmd ”，单击“确定”按钮后，将Windows系统切换到Ms-DOS工作模式下;　　 接着在DOS命令提示符下，输入字符串命令“gpupdate /target:computer”，单击回车键后，新修改的安全策略将会立即生效; 如果你想让新修改的用户策略立即生效的话，只要在DOS命令提示符下，执行字符串命令“gpupdate /target:user”就可以了。如果你想对计算机策略和用户策略同时进行更新的话，那你可以直接执行字符串命令“gpupdate”就行了。当然要想立即更新策略的话请用“gpupdate /force”,呵呵 -273.5℃ 回答采纳率:19.2% 2010-03-06 16:22 组策略是建立Windows安全环境的重要手段，尤其是在Windows域环境下。一个出色的系统管理员，应该能熟练地掌握并应用组策略。在窗口界面下访问组策略用gpedit.msc，命令行下用secedit.exe。先看secedit命令语法：secedit /analyzesecedit /configuresecedit /exportsecedit /validatesecedit /refreshpolicy5个命令的功能分别是分析组策略、配置组策略、导出组策略、验证模板语法和更新组策略。其中secedit /refreshpolicy 在XP/2003下被gpupdate代替。这些命令具体的语法自己在命令行下查看就知道了。与访问注册表只需reg文件不同的是，访问组策略除了要有个模板文件(还是inf)，还需要一个安全数据库文件(sdb)。要修改组策略，必须先将模板导入安全数据库，再通过应用安全数据库来刷新组策略。来看个例子：假设我要将密码长度最小值设置为6，并启用“密码必须符合复杂性要求”，那么先写这么一个模板：[version]signature=$CHICAGO$[System Access]MinimumPasswordLength = 6PasswordComplexity = 1保存为gp.inf，然后导入：secedit /configure /db gp.sdb /cfg gp.inf /quiet这个命令执行完成后，将在当前目录产生一个gp.sdb，它是“中间产品”，你可以删除它。/quiet参数表示“安静模式”，不产生日志。但根据我的试验，在2000sp4下该参数似乎不起作用，XP下正常。日志总是保存在%windir%\security\logs\scesrv.log。你也可以自己指定日志以便随后删除它。比如：secedit /configure /db gp.sdb /cfg gp.inf /log gp.logdel gp.*另外，在导入模板前，还可以先分析语法是否正确：secedit /validate gp.inf那么，如何知道具体的语法呢？当然到MSDN里找啦。也有偷懒的办法，因为系统自带了一些安全模板，在%windir%\security\templates目录下。打开这些模板，基本上包含了常用的安全设置语法，一看就懂。再举个例子——关闭所有的“审核策略”。（它所审核的事件将记录在事件查看器的“安全性”里）。echo版：echo [version] 1.infecho signature=$CHICAGO$ 1.infecho [Event Audit] 1.infecho AuditSystemEvents=0 1.infecho AuditObjectAccess=0 1.infecho AuditPrivilegeUse=0 1.infecho AuditPolicyChange=0 1.infecho AuditAccountManage=0 1.i