Развертывание и администрирование сети с выделенным сервером на базе Windows Server 2003 на Friday 13 October 2006 от в Сетевые Операционные Системы ОС > ОС Windows
Использование утилиты secedit.
Утилита secedit запускается из командной строки и служит для управления политикой безопасности, применяющейся к компьютеру. Ее основными задачами являются:
анализ настроек безопасности системы;
применение шаблонов безопасности;
перезагрузка политики безопасности;
экспорт политики безопасности в файл шаблона.
Для выполнения этих задач утилита вызывается с различными параметрами командной строки.
Анализ безопасности системы.
Для анализа безопасности системы используется следующий синтаксис командной строки утилиты secedit :
Описание ключей утилиты secedit приведено в таблице.
Ключ
Описание
/DB имя_файла
Полный путь к файлу базы данных по которой будет выполняться анализ политики безопасности. По умолчанию она хранится в файле %systemroot%\Security\Database\secedit.sdb . Если вы указываете несуществующий файл базы данных, то должен быть указан параметр /CFG
/CFG имя_файла
Полный путь к файлу шаблона безопасности, который должен быть использован для создания или изменения файла базы данных. Может использоваться только совместно с параметром /DB . Если указан этот параметр, то сначала база данных будет создана или модифицирована с использованием указанного шаблона, после чего будет произведен анализ политики безопасности с использованием новой базы данных. Если параметр не указан, то используется уже существующий файл базы данных
/LOG имя_файла
Полный путь к файлу журнала, создаваемому в процессе анализа политики безопасности. Если этот параметр не указан, то используется файл журнала по умолчанию
/verbose
Выводит информацию о ходе анализа на экран
/quiet
Не выводит никакой информации на экран и в файл журнала. Результаты анализа могут быть просмотрены в оснастке Анализ и настройка безопасности
Настройка политики безопасности системы.
Для настройки политики безопасности системы используется следующий синтаксис командной строки утилиты secedit:
Описание ключей утилиты secedit приведено в таблице.
Ключ
Описание
/DB имя_файла
Полный путь к файлу базы данных, которая будет использоваться для интеграции с локальной политикой безопасности. Если вы указываете несуществующий файл базы данных, то должен быть указан параметр /CFG
/CFG имя_файла
Полный путь к файлу шаблона безопасности, который должен быть использован для создания или изменения файла базы данных. Может использоваться только совместно с параметром /DB
/overwrite
Указывает, что применяемый шаблон базы данных должен перезаписать все параметры, определенные в файле базы данных, если он существует. Может использоваться только совместно с параметром /CFG
/areas область1 область2 ...
Указывает контейнеры политики безопасности, которые должны быть применены к системе. Если параметр не указан, то применяются все контейнеры. Вы можете использовать следующие имена областей:
Имя области
Описание
SECURITYPOLICY
Локальная политика и политика для домена, включая политики учетных записей, политики аудита, и т. п.
GROUP_MGMT
Настройка ограничений для всех групп, указанных в шаблоне безопасности
USER_RIGHTS
Права пользователей на вход в систему и предоставление привилегий
REGKEYS
Безопасность разделов локального реестра
FILESTORE
Безопасность локальных устройств хранения файлов
SERVICES
Безопасность для всех определенных служб
/LOG имя_файла
Полный путь к файлу журнала, создаваемому в процессе настройки политики безопасности. Если этот параметр не указан, то используется файл журнала по умолчанию
/verbose
Выводит информацию о ходе настройки на экран
/quiet
Не выводит никакой информации на экран и в файл журнала
Перезагрузка политики безопасности.
Для перезагрузки политики безопасности системы путем применения всех объектов групповой политики используется следующий синтаксис командной строки утилиты secedit:
secedit /refreshpolicy [/enforce]
Описание ключей утилиты secedit приведено в таблице.
Ключ
Описание
machine_policy
Перезагружает параметры, описанные в контейнерах Параметры компьютера всех объектов групповой политики, воздействующих на данный компьютер
user_policy
Перезагружает параметры, описанные в контейнерах Параметры пользователя всех объектов групповой политики, воздействующих на данный компьютер
/enforce
Осуществляет принудительную перезагрузку параметров политики безопасности даже если они не были изменены. Результаты перезагрузки политики безопасности вы сможете узнать в системном журнале Windows Server 2003
Экспорт политики безопасности.
Для экспорта политики безопасности системы в файл шаблона используется следующий синтаксис командной строки утилиты secedit:
Описание ключей утилиты secedit приведено в таблице.
Ключ
Описание
/mergedPolicy
Указывает, что должны экспортироваться не только данные из указанной базы данных, но и результат применения к ней всех политик безопасности, действующих на компьютер
/DB имя_файла
Полный путь к файлу базы данных, которая будет экспортироваться в шаблон. Если этот параметр не указан, то используется база данных локальной политики безопасности
/CFG имя_файла
Полный путь к файлу шаблона безопасности, который будет создан в результате экспорта
/areas область1 область2 ...
Указывает контейнеры политики безопасности, которые должны быть экспортированы. Если параметр не указан, то экспортируются все контейнеры.
/LOG имя_файла
Полный путь к файлу журнала, создаваемому в процессе экспорта политики безопасности. Если этот параметр не указан, то используется файл журнала по умолчанию
/verbose
Выводит информацию о ходе экспорта на экран
/quiet
Не выводит никакой информации на экран и в файл журнала
Проверка шаблона безопасности.
Для проверки файла шаблона безопасности на наличие ошибок перед его применением к компьютеру используется следующий синтаксис командной строки утилиты secedit:
secedit /validate имя_файла
Описание ключей утилиты secedit приведено в таблице.
Ключ
Описание
имя_файла
Полный путь к файлу шаблона безопасности, который был создан при помощи оснастки Шаблоны безопасности или при экспорте политики безопасности