2024年5月9日发(作者：16种文件格式)

DOS来修改组策略

对于Windows 2000域来说，如果你想让新修改的计算机策略立即生效的话，可

以依次单击“开始”/“运行”命令，打开系统运行对话框，并在其中输入字符

串命令“cmd ”，单击“确定”按钮后，将Windows系统切换到Ms-DOS工作模

式下;

接着在DOS命令提示符下，输入字符串命令“secedit /refreshpolicy

machine_policy /enforce”，单击回车键后，新修改的安全策略将会立即生效;

如果你想让新修改的用户策略立即生效的话，只要在DOS命令提示符下，执行字

符串命令“secedit /refreshpolicy user_policy /enforce”就可以了。

对于Windows 2003域来说，如果你想让新修改的计算机策略立即生效的话，可

以依次单击“开始”/“运行”命令，打开系统运行对话框，并在其中输入字符

串命令“cmd ”，单击“确定”按钮后，将Windows系统切换到Ms-DOS工作模

式下;

接着在DOS命令提示符下，输入字符串命令“gpupdate /target:computer”，

单击回车键后，新修改的安全策略将会立即生效;

如果你想让新修改的用户策略立即生效的话，只要在DOS命令提示符下，执行字

符串命令“gpupdate /target:user”就可以了。如果你想对计算机策略和用户

策略同时进行更新的话，那你可以直接执行字符串命令“gpupdate”就行了。当

然要想立即更新策略的话请用“gpupdate /force”,呵呵

-273.5℃

回答采纳率:19.2% 2010-03-06 16:22

组策略是建立Windows安全环境的重要手段，尤其是在Windows域环境下。一个

出色的系统管理员，应该能熟练地掌握并应用组策略。在窗口界面下访问组策略

用，命令行下用。先看secedit命令语法：

secedit /analyze

secedit /configure

secedit /export

secedit /validate

secedit /refreshpolicy

5个命令的功能分别是分析组策略、配置组策略、导出组策略、验证模板语法和

更新组策略。其中secedit /refreshpolicy 在XP/2003下被gpupdate代替。

这些命令具体的语法自己在命令行下查看就知道了。与访问注册表只需reg文件

不同的是，访问组策略除了要有个模板文件(还是inf)，还需要一个安全数据库

文件(sdb)。要修改组策略，必须先将模板导入安全数据库，再通过应用安全数

据库来刷新组策略。来看个例子：假设我要将密码长度最小值设置为6，并启用

“密码必须符合复杂性要求”，那么先写这么一个模板：[version]

signature="$CHICAGO$"

[System Access]

MinimumPasswordLength = 6

PasswordComplexity = 1保存为，然后导入：secedit /configure /db

/cfg /quiet这个命令执行完成后，将在当前目录产生一个

，它是“中间产品”，你可以删除它。

/quiet参数表示“安静模式”，不产生日志。但根据我的试验，在2000sp4下

该参数似乎不起作用，XP下正常。日志总是保存

在%windir%。你也可以自己指定日志以便随后删除

它。比如：secedit /configure /db /cfg /log

del gp.*另外，在导入模板前，还可以先分析语法是否正确：secedit /validate

那么，如何知道具体的语法呢？当然到MSDN里找啦。也有偷懒的办法，

因为系统自带了一些安全模板，在%windir%securitytemplates目录下。打开

这些模板，基本上包含了常用的安全设置语法，一看就懂。再举个例子——关闭

所有的“审核策略”。（它所审核的事件将记录在事件查看器的“安全性”里）。

echo版：echo [version] >

echo signature="$CHICAGO$" >>

echo [Event Audit] >>

echo AuditSystemEvents=0 >>

echo AuditObjectAccess=0 >>

echo AuditPrivilegeUse=0 >>

echo AuditPolicyChange=0 >>

echo AuditAccountManage=0 >>

echo AuditProcessTracking=0 >>

echo AuditDSAccess=0 >>

echo AuditAccountLogon=0 >>

echo AuditLogonEvents=0 >>

secedit /configure /db /cfg /log /quiet

del 1.*也许有人会说：组策略不是保存在注册表中吗，为什么不直接修改注册

表？因为不是所有的组策略都保存在注册表中。比如“审核策略”就不是。你可

以用regsnap比较修改该策略前后注册表的变化。我测试的结果是什么都没有改

变。只有“管理模板”这一部分是完全基于注册表的。而且，知道了具体位置，

用哪个方法都不复杂。比如，XP和2003的“本地策略”－》“安全选项”增加

了一个“本地帐户的共享和安全模式”策略。XP下默认的设置是“仅来宾”。

这就是为什么用管理员帐号连接XP的ipc$仍然只有Guest权限的原因。可以通

过导入reg文件修改它为“经典”：echo Windows Registry Editor Version

5.00 >

echo [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa] >>

echo "forceguest"=dword:00000000 >>

regedit /s

del 而相应的用inf，应该是：echo [version] >

echo signature="$CHICAGO$" >>

echo [Registry Values] >>

echo