本文目录
组策略的常用命令
Get-GPO
Get-GPO命令可以检索到每一个组策略对象(GPO)的所有信息。而且可以根据GPO的名称,GPO的GUID来检索组策略信息,也可以使用-all选项来检索域中的所有组策略。虽然通过GPMC也能获取这些信息,但是命令的输出还能列出一些通常会错过的信息,如GPO的所有者,创建时间,最后的修改时间以及启用还是禁用的信息。在网络中对于组策略问题进行排错时,这些信息将至关重要。
Backup/Restore-GPO
虽然可以通过系统状态的备份来对GPO进行备份,但是通过一个专门的任务对组策略进行单独备份也是一个不错的主意,毕竟这会让GPO的恢复变得更加容易。幸运的是,使用PowerShell命令backup-GPO就可以做到。与Get-GPO协作,可以根据GPO的名称,GUID或者使用-all选项来指定备份的GPO。这个命令最有用的部分是可以使用PowerShell脚本来定时进行备份:
Backup-Gpo -Name CompanyGPO -Path C:\GPO-Backup -Comment Monthly Backup
Restore-GPO命令可以将GPO还原到指定的域。然而,如果使用backup-GPO和restore-GPO命令来迁移组策略对象,需要保证Windows Server2008操作系统版本的一致性。也就是说,Windows Server 2008 R2的GPO将只能由Windows Server 2008 R2进行恢复。
Get-ResultantSetOfPolicy
很久以前,GPMC就都可以提供组策略的结果报告,这对于组策略的规划和记录来说都是一个非常有用的工具。如果你使用PowerShell命令get-ResultantSetOfPolicy,也可以迅速得到组策略的结果,而且报告可以是HTML的格式。例如,如果你想检查一个特定的用户在特定的计算机上组策略设置的结果,可以运行以下的命令,命令的结果会产生一个所有信息的HTML文档:
Get-GPResultantSetofPolicy -user domain\domain.user -reporttype html -path c:\GPO-Reports\UserGPOReport.html
使用所有提到的cmdlet,PowerShell还能够提供一种额外的管理能力,那就是将这些命令脚本化,并按照计划执行,这样就可以更有效的监控组策略基础架构的运行状况。
Set/Remove – GPLink
GPLink的cmdlet可以创建和删除GPO与OU之间的关联关系。虽然在GPMC中执行这项任务也非常容易,但是cmdlet还可以提供另一个方便的管理工具。假如需要一个GPO只是在每个月的某一天运行,其它时间禁止运行。可以在这一天计划运行GP link命令将GPO和需要的OU关联起来,并在这一天结束前将GPO的关联删除,整个过程系统自动处理,无需手工运行。还可以使用其它GPO命令与GPLink的cmdlet进行组合,通过使用管道命令执行remote-GPLink,以下示例就是如何指定一条组策略或继承组策略,然后删除其链接:
(Get-GPInheritance -Target ou=CompanyOU,dc=domain,dc=com).GpoLinks | Remove-GPLink
Get-GPPermissions
组策略有时会应用失败的原因之一是因为在GPO上不正确的权限设置。Get-GPPermissions cmdlet会生成详细的报告,报告中会显示GPO的访问控制列表(ACL)以及应用的权限。所以,如果想准确的了解谁对某个GPO有权限,可以使用下列命令:
Get-GPPermissions -Name CompanyGPO -TargetName Company - TargetType Group
命令会给出以下的输出:
Trustee: Domain Users
TrusteeType: Group
PermissionLevel: GpoRead
Inherited: False
组策略命令是什么
组策略就是修改注册表中的配置。组策略使用自己更完善的管理组织方法,可以对各种对象中的设置进行管理和配置,远比手工修改注册表方便、灵活,功能也更加强大
启动方法:在开始-运行中输入gpedit.msc
CMD下开启组策略的命令
组策略是建立Windows安全环境的重要手段,尤其是在Windows域环境下。一个出色的系统管理员,应该能熟练地掌握并应用组策略。在窗口界面下访问组策略用gpedit.msc,命令行下用secedit.exe。
先看secedit命令语法:
secedit /analyze
secedit /configure
secedit /export
secedit /validate
secedit /refreshpolicy
5个命令的功能分别是分析组策略、配置组策略、导出组策略、验证模板语法和更新组策略。其中secedit /refreshpolicy 在XP/2003下被gpupdate代替。这些命令具体的语法自己在命令行下查看就知道了。
与访问注册表只需reg文件不同的是,访问组策略除了要有个模板文件(还是inf),还需要一个安全数据库文件(sdb)。要修改组策略,必须先将模板导入安全数据库,再通过应用安全数据库来刷新组策略。来看个例子:
假设我要将密码长度最小值设置为6,并启用“密码必须符合复杂性要求”,那么先写这么一个模板:
signature=“$CHICAGO$“
MinimumPasswordLength = 6
PasswordComplexity = 1
保存为gp.inf,然后导入:
secedit /configure /db gp.sdb /cfg gp.inf /quiet
这个命令执行完成后,将在当前目录产生一个gp.sdb,它是“中间产品”,你可以删除它。
/quiet参数表示“安静模式”,不产生日志。但根据我的试验,在2000sp4下该参数似乎不起作用,XP下正常。日志总是保存在%windir%\security\logs\scesrv.log。你也可以自己指定日志以便随后删除它。比如:
secedit /configure /db gp.sdb /cfg gp.inf /log gp.log
del gp.*
另外,在导入模板前,还可以先分析语法是否正确:
secedit /validate gp.inf
那么,如何知道具体的语法呢?当然到MSDN里找啦。也有偷懒的办法,因为系统自带了一些安全模板,在%windir%\security\templates目录下。打开这些模板,基本上包含了常用的安全设置语法,一看就懂。
再举个例子——关闭所有的“审核策略”。(它所审核的事件将记录在事件查看器的“安全性”里)。
echo版:
echo 》1.inf
echo signature=“$CHICAGO$“ 》》1.inf
echo 》》1.inf
echo AuditSystemEvents=0 》》1.inf
echo AuditObjectAccess=0 》》1.inf
echo AuditPrivilegeUse=0 》》1.inf
echo AuditPolicyChange=0 》》1.inf
echo AuditAccountManage=0 》》1.inf
echo AuditProcessTracking=0 》》1.inf
echo AuditDSAccess=0 》》1.inf
echo AuditAccountLogon=0 》》1.inf
echo AuditLogonEvents=0 》》1.inf
secedit /configure /db 1.sdb /cfg 1.inf /log 1.log /quiet
del 1.*
也许有人会说:组策略不是保存在注册表中吗,为什么不直接修改注册表?因为不是所有的组策略都保存在注册表中。比如“审核策略”就不是。你可以用regsnap比较修改该策略前后注册表的变化。我测试的结果是什么都没有改变。只有“管理模板”这一部分是完全基于注册表的。而且,知道了具体位置,用哪个方法都不复杂。
比如,XP和2003的“本地策略”-》“安全选项”增加了一个“本地帐户的共享和安全模式”策略。XP下默认的设置是“仅来宾”。这就是为什么用管理员帐号连接XP的ipc$仍然只有Guest权限的原因。可以通过导入reg文件修改它为“经典”:
echo Windows Registry Editor Version 5.00 》1.reg
echo 》》1.reg
echo “forceguest“=dword:00000000 》》1.reg
regedit /s 1.reg
del 1.reg
而相应的用inf,应该是:
echo 》1.inf
echo signature=“$CHICAGO$“ 》》1.inf
echo 》》1.inf
echo MACHINE\System\CurrentControlSet\Control\Lsa\ForceGuest=4,0 》》1.inf
secedit /configure /db 1.sdb /cfg 1.inf /log 1.log
del 1.*
关于命令行下读取组策略的问题。
系统默认的安全数据库位于%windir%\security\database\secedit.sdb,将它导出至inf文件:
secedit /export /cfg gp.inf /log 1.log
没有用/db参数指定数据库就是采用默认的。然后查看gp.inf。
不过,这样得到的只是组策略的一部分(即“Windows设置”)。而且,某个策略如果未配置,是不会被导出的。比如“重命名系统管理员帐户”,只有被定义了才会在inf文件中出现NewAdministratorName=“xxx“。对于无法导出的其他的组策略只有通过访问注册表来获得了。
此办法在XP和2003下无效——可以导出但内容基本是空的。原因不明。根据官方的资料,XP和2003显示组策略用RSoP(组策略结果集)。相应的命令行工具是gpresult。但是,它获得的是在系统启动时被附加(来自域)的组策略,单机测试结果还是“空”。所以,如果想知道某些组策略是否被设置,只有先写一个inf,再用secedit /analyze,然后查看日志了。-组策略命令
打开组策略要在运行中输入哪个命令
组策略命令:gpedit.msc
附上其他常用命令:
注册表:regedit
启动项设置:msconfig
cmd命令:cmd
控制台:mmc
组策略是什么,命令是什么
组策略是微软Windows NT家族操作系统的一个特性,它可以控制用户账户和计算机帐户的工作环境。组策略提供了操作系统、应用程序和活动目录中用户设置的集中化管理和配置。主要应用于Windows 2000及以上版本操作系统。-组策略命令
命令是计算机专业术语,对计算机程序编程时所下达的编程指令。ping命令是一个探测本地电脑和远程电脑之间信息传送速度的命令,需要TCP/IP协议的支持;NET命令是很多网络命令的集合;telnet和ftp命令分别可远程对系统进行telnet登录和ftp登录,两种登录使用不同协议。-组策略命令
扩展资料:
组策略对象的处理
1、本地, 任何在本地计算机的设置。在Windows Vista之前,每台计算机只能有一份本地组策略。在Windows Vista和之后的Windows版本中,允许每个用户账户分别拥有组策略。
2、站点,任何与计算机所在的活动目录站点关联的组策略。(活动目录站点是旨在管理促进物理上接近的计算机的一种逻辑分组)。如果多个策略已连接到一个站点,将按照管理员设置的顺序处理。
3、域,任何与计算机所在Windows域关联的组策略。如果多个策略已连接到一个域,将按照管理员设置的顺序处理。
4、组织单元,任何与计算机或用户所在的活动目录组织单元,关联的组策略。OU帮助组织和管理一组用户、计算机或其他活动目录对象。如果多个策略已连接到一个OU,将按照管理员设置的顺序处理。
参考资料来源:百度百科-组策略
参考资料来源:百度百科-命令
强制更新组策略命令是什么
一、计算机配置更新:
1、首先使用组合键windows+R键,调出运行界面。
2、在运行界面输入cmd命令,进入DOS管理界面。
3、在DOS界面中输入“gpupdate/force”实现计算机和用户的全局刷新,当更改计算机配置后,不用重启即可生效。
4、这时可以看到提示“用户策略更新成功完成”和“计算机策略更新成功完成”。表示该次更新影响任意一个用户登录后对计算机的使用。
二、单个用户配置刷新:
1、不需要对计算机全局进行更新时,只是针对当前用户下的更新操作,则可以使用“gpupdate/target:user”命令。
2、这时候可以看到,组策略只对当前登录用户进行了更新,并不影响本地计算机其他用户的配置。
WinXP打开组策略的命令是什么
Windows操作系统的组策略是配置计算机中某一些用户组策略的程序,由系统管理员操作控制计算机程序、访问网络资源、操作行为、各种软件设置的最主要工具。电脑管理员可以通过组策略进行诸如:禁止运行指定程序、锁定注册表器、阻止访问命令提示符、禁止修改系统还原配置、修改用户组密码等等操作,可以说功能十分强大。
组策略怎么打开?
点击“开始”菜单——》选择“运行”——》输入“Gpedit.msc”,然后再点击“确定”即可打开组策略。
组策略命令是什么?
打开组策略命令就是上面的“Gpedit.msc”,如果上面的方法打不开,还可以通过其他方法打开组策略。在桌面新建一个文本文档,然后在文档中输入:Gpedit.msc,保存后,将该文件的后缀改为“Bat”,然后双击这个文件就可以打开组策略了。
声明:本文内容摘于互联网,刊登/转载此文目的在于更广泛的传播及分享,并不意味着赞同其观点或论证其描述。如有版权纠纷问题请准备好相关证明材料与站长联系,谢谢!-组策略命令
计算机进入组策略的命令是什么
您只需单击选择“开始”→“运行”命令,在“运行”对话框的“打开”栏中输入“gpedit.msc”,然后单击“确定”按扭即可启动Windows XP组策略器。(注:这个“组策略”程序位于“C:\WINNT\SYSTEM32”中,文件名为“gpedit.msc”。)-组策略命令
