更新组策略命令，windows组策略命令 (进入组策略的命令)

作者：祁少阳科普百科 2023-04-17 18:56:32 阅读：18

组策略是什么，命令是什么？？？

　　组策略是微软Windows NT家族操作系统的一个特性，它可以控制用户账户和计算机帐户的工作环境。组策略提供了操作系统、应用程序和活动目录中用户设置的集中化管理和配置。主要应用于Windows 2000及以上版本操作系统。

　　命令是计算机专业术语，对计算机程序编程时所下达的编程指令。ping命令是一个探测本地电脑和远程电脑之间信息传送速度的命令，需要TCP/IP协议的支持；NET命令是很多网络命令的集合；telnet和ftp命令分别可远程对系统进行telnet登录和ftp登录，两种登录使用不同协议。

　　扩展资料：

　　组策略对象的处理

　　1、本地，任何在本地计算机的设置。在Windows Vista之前，每台计算机只能有一份本地组策略。在Windows Vista和之后的Windows版本中，允许每个用户账户分别拥有组策略。

　　2、站点，任何与计算机所在的活动目录站点关联的组策略。（活动目录站点是旨在管理促进物理上接近的计算机的一种逻辑分组）。如果多个策略已连接到一个站点，将按照管理员设置的顺序处理。

　　3、域，任何与计算机所在Windows域关联的组策略。如果多个策略已连接到一个域，将按照管理员设置的顺序处理。

　　4、组织单元，任何与计算机或用户所在的活动目录组织单元，关联的组策略。OU帮助组织和管理一组用户、计算机或其他活动目录对象。如果多个策略已连接到一个OU，将按照管理员设置的顺序处理。

　　参考资料来源：百度百科-组策略

　　参考资料来源：百度百科-命令

组策略的常用命令

　　Get-GPO
　　Get-GPO命令可以检索到每一个组策略对象（GPO）的所有信息。而且可以根据GPO的名称，GPO的GUID来检索组策略信息，也可以使用-all选项来检索域中的所有组策略。虽然通过GPMC也能获取这些信息，但是命令的输出还能列出一些通常会错过的信息，如GPO的所有者，创建时间，最后的修改时间以及启用还是禁用的信息。在网络中对于组策略问题进行排错时，这些信息将至关重要。
　　Backup/Restore-GPO
　　虽然可以通过系统状态的备份来对GPO进行备份，但是通过一个专门的任务对组策略进行单独备份也是一个不错的主意，毕竟这会让GPO的恢复变得更加容易。幸运的是，使用PowerShell命令backup-GPO就可以做到。与Get-GPO协作，可以根据GPO的名称，GUID或者使用-all选项来指定备份的GPO。这个命令最有用的部分是可以使用PowerShell脚本来定时进行备份：
　　Backup-Gpo -Name CompanyGPO -Path C:\GPO-Backup -Comment Monthly Backup
　　Restore-GPO命令可以将GPO还原到指定的域。然而，如果使用backup-GPO和restore-GPO命令来迁移组策略对象，需要保证Windows Server2008操作系统版本的一致性。也就是说，Windows Server 2008 R2的GPO将只能由Windows Server 2008 R2进行恢复。
　　Get-ResultantSetOfPolicy
　　很久以前，GPMC就都可以提供组策略的结果报告，这对于组策略的规划和记录来说都是一个非常有用的工具。如果你使用PowerShell命令get-ResultantSetOfPolicy，也可以迅速得到组策略的结果，而且报告可以是HTML的格式。例如，如果你想检查一个特定的用户在特定的计算机上组策略设置的结果，可以运行以下的命令，命令的结果会产生一个所有信息的HTML文档：
　　Get-GPResultantSetofPolicy -user domain\domain.user -reporttype html -path c:\GPO-Reports\UserGPOReport.html
　　使用所有提到的cmdlet，PowerShell还能够提供一种额外的管理能力，那就是将这些命令脚本化，并按照计划执行，这样就可以更有效的监控组策略基础架构的运行状况。
　　Set/Remove – GPLink
　　GPLink的cmdlet可以创建和删除GPO与OU之间的关联关系。虽然在GPMC中执行这项任务也非常容易，但是cmdlet还可以提供另一个方便的管理工具。假如需要一个GPO只是在每个月的某一天运行，其它时间禁止运行。可以在这一天计划运行GP link命令将GPO和需要的OU关联起来，并在这一天结束前将GPO的关联删除，整个过程系统自动处理，无需手工运行。还可以使用其它GPO命令与GPLink的cmdlet进行组合，通过使用管道命令执行remote-GPLink，以下示例就是如何指定一条组策略或继承组策略，然后删除其链接：
　　(Get-GPInheritance -Target ou=CompanyOU,dc=domain,dc=com).GpoLinks | Remove-GPLink
　　Get-GPPermissions
　　组策略有时会应用失败的原因之一是因为在GPO上不正确的权限设置。Get-GPPermissions cmdlet会生成详细的报告，报告中会显示GPO的访问控制列表（ACL）以及应用的权限。所以，如果想准确的了解谁对某个GPO有权限，可以使用下列命令：
　　Get-GPPermissions -Name CompanyGPO -TargetName Company - TargetType Group
　　命令会给出以下的输出：
　　Trustee: Domain Users
　　TrusteeType: Group
　　PermissionLevel: GpoRead
　　Inherited: False

CMD下开启组策略的命令？

　　组策略是建立Windows安全环境的重要手段，尤其是在Windows域环境下。一个出色的系统管理员，应该能熟练地掌握并应用组策略。在窗口界面下访问组策略用gpedit.msc，命令行下用secedit.exe。
　　先看secedit命令语法：
　　secedit /analyze
　　secedit /configure
　　secedit /export
　　secedit /validate
　　secedit /refreshpolicy
　　5个命令的功能分别是分析组策略、配置组策略、导出组策略、验证模板语法和更新组策略。其中secedit /refreshpolicy 在XP/2003下被gpupdate代替。这些命令具体的语法自己在命令行下查看就知道了。
　　与访问注册表只需reg文件不同的是，访问组策略除了要有个模板文件(还是inf)，还需要一个安全数据库文件(sdb)。要修改组策略，必须先将模板导入安全数据库，再通过应用安全数据库来刷新组策略。来看个例子：
　　假设我要将密码长度最小值设置为6，并启用“密码必须符合复杂性要求”，那么先写这么一个模板：
　　[version]
　　signature="$CHICAGO$"
　　[System Access]
　　MinimumPasswordLength = 6
　　PasswordComplexity = 1
　　保存为gp.inf，然后导入：
　　secedit /configure /db gp.sdb /cfg gp.inf /quiet
　　这个命令执行完成后，将在当前目录产生一个gp.sdb，它是“中间产品”，你可以删除它。
　　/quiet参数表示“安静模式”，不产生日志。但根据我的试验，在2000sp4下该参数似乎不起作用，XP下正常。日志总是保存在%windir%\security\logs\scesrv.log。你也可以自己指定日志以便随后删除它。比如：
　　secedit /configure /db gp.sdb /cfg gp.inf /log gp.log
　　del gp.*
　　另外，在导入模板前，还可以先分析语法是否正确：
　　secedit /validate gp.inf
　　那么，如何知道具体的语法呢？当然到MSDN里找啦。也有偷懒的办法，因为系统自带了一些安全模板，在%windir%\security\templates目录下。打开这些模板，基本上包含了常用的安全设置语法，一看就懂。
　　再举个例子——关闭所有的“审核策略”。（它所审核的事件将记录在事件查看器的“安全性”里）。
　　echo版：
　　echo [version] >1.inf
　　echo signature="$CHICAGO$" >>1.inf
　　echo [Event Audit] >>1.inf
　　echo AuditSystemEvents=0 >>1.inf
　　echo AuditObjectAccess=0 >>1.inf
　　echo AuditPrivilegeUse=0 >>1.inf
　　echo AuditPolicyChange=0 >>1.inf
　　echo AuditAccountManage=0 >>1.inf
　　echo AuditProcessTracking=0 >>1.inf
　　echo AuditDSAccess=0 >>1.inf
　　echo AuditAccountLogon=0 >>1.inf
　　echo AuditLogonEvents=0 >>1.inf
　　secedit /configure /db 1.sdb /cfg 1.inf /log 1.log /quiet
　　del 1.*
　　也许有人会说：组策略不是保存在注册表中吗，为什么不直接修改注册表？因为不是所有的组策略都保存在注册表中。比如“审核策略”就不是。你可以用regsnap比较修改该策略前后注册表的变化。我测试的结果是什么都没有改变。只有“管理模板”这一部分是完全基于注册表的。而且，知道了具***置，用哪个方法都不复杂。
　　比如，XP和2003的“本地策略”－》“安全选项”增加了一个“本地帐户的共享和安全模式”策略。XP下默认的设置是“仅来宾”。这就是为什么用管理员帐号连接XP的ipc$仍然只有Guest权限的原因。可以通过导入reg文件修改它为“经典”：
　　echo Windows Registry Editor Version 5.00 >1.reg
　　echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa] >>1.reg
　　echo "forceguest"=dword:00000000 >>1.reg
　　regedit /s 1.reg
　　del 1.reg
　　而相应的用inf，应该是：
　　echo [version] >1.inf
　　echo signature="$CHICAGO$" >>1.inf
　　echo [Registry Values] >>1.inf
　　echo MACHINE\System\CurrentControlSet\Control\Lsa\ForceGuest=4,0 >>1.inf
　　secedit /configure /db 1.sdb /cfg 1.inf /log 1.log
　　del 1.*
　　关于命令行下读取组策略的问题。
　　系统默认的安全数据库位于%windir%\security\database\secedit.sdb，将它导出至inf文件：
　　secedit /export /cfg gp.inf /log 1.log
　　没有用/db参数指定数据库就是采用默认的。然后查看gp.inf。
　　不过，这样得到的只是组策略的一部分（即“Windows设置”）。而且，某个策略如果未配置，是不会被导出的。比如“重命名系统管理员帐户”，只有被定义了才会在inf文件中出现NewAdministratorName="xxx"。对于无法导出的其他的组策略只有通过访问注册表来获得了。
　　此办法在XP和2003下无效——可以导出但内容基本是空的。原因不明。根据官方的资料，XP和2003显示组策略用RSoP（组策略结果集）。相应的命令行工具是gpresult。但是，它获得的是在系统启动时被附加（来自域）的组策略，单机测试结果还是“空”。所以，如果想知道某些组策略是否被设置，只有先写一个inf，再用secedit /analyze，然后查看日志了。