域组策略打开命令

⑴ CMD下开启组策略的命令

组策略是建立Windows安全环境的重要手段，尤其是在Windows域环境下。一个出色的系统管理员，应该能熟练地掌握并应用组策略。在窗口界面下访问组策略用gpedit.msc，命令行下用secedit.exe。
先看secedit命令语法：
secedit /analyze
secedit /configure
secedit /export
secedit /validate
secedit /refreshpolicy
5个命令的功能分别是分析组策略、配置组策略、导出组策略、验证模板语法和更新组策略。其中secedit /refreshpolicy 在XP/2003下被gpupdate代替。这些命令具体的语法自己在命令行下查看就知道了。

与访问注册表只需reg文件不同的是，访问组策略除了要有个模板文件(还是inf)，还需要一个安全数据库文件(sdb)。要修改组策略，必须先将模板导入安全数据库，再通过应用安全数据库来刷新组策略。来看个例子：

假设我要将密码长度最小值设置为6，并启用“密码必须符合复杂性要求”，那么先写这么一个模板：

[version]
signature="$CHICAGO$"
[System Access]
MinimumPasswordLength = 6
PasswordComplexity = 1

保存为gp.inf，然后导入：

secedit /configure /db gp.sdb /cfg gp.inf /quiet

这个命令执行完成后，将在当前目录产生一个gp.sdb，它是“中间产品”，你可以删除它。
/quiet参数表示“安静模式”，不产生日志。但根据我的试验，在2000sp4下该参数似乎不起作用，XP下正常。日志总是保存在%windir%\security\logs\scesrv.log。你也可以自己指定日志以便随后删除它。比如：

secedit /configure /db gp.sdb /cfg gp.inf /log gp.log
del gp.*

另外，在导入模板前，还可以先分析语法是否正确：

secedit /validate gp.inf

那么，如何知道具体的语法呢？当然到MSDN里找啦。也有偷懒的办法，因为系统自带了一些安全模板，在%windir%\security\templates目录下。打开这些模板，基本上包含了常用的安全设置语法，一看就懂。

再举个例子——关闭所有的“审核策略”。（它所审核的事件将记录在事件查看器的“安全性”里）。
echo版：

echo [version] >1.inf
echo signature="$CHICAGO$" >>1.inf
echo [Event Audit] >>1.inf
echo AuditSystemEvents=0 >>1.inf
echo AuditObjectAccess=0 >>1.inf
echo AuditPrivilegeUse=0 >>1.inf
echo AuditPolicyChange=0 >>1.inf
echo AuditAccountManage=0 >>1.inf
echo AuditProcessTracking=0 >>1.inf
echo AuditDSAccess=0 >>1.inf
echo AuditAccountLogon=0 >>1.inf
echo AuditLogonEvents=0 >>1.inf
secedit /configure /db 1.sdb /cfg 1.inf /log 1.log /quiet
del 1.*

也许有人会说：组策略不是保存在注册表中吗，为什么不直接修改注册表？因为不是所有的组策略都保存在注册表中。比如“审核策略”就不是。你可以用regsnap比较修改该策略前后注册表的变化。我测试的结果是什么都没有改变。只有“管理模板”这一部分是完全基于注册表的。而且，知道了具体位置，用哪个方法都不复杂。

比如，XP和2003的“本地策略”－》“安全选项”增加了一个“本地帐户的共享和安全模式”策略。XP下默认的设置是“仅来宾”。这就是为什么用管理员帐号连接XP的ipc$仍然只有Guest权限的原因。可以通过导入reg文件修改它为“经典”：

echo Windows Registry Editor Version 5.00 >1.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa] >>1.reg
echo "forceguest"=dword:00000000 >>1.reg
regedit /s 1.reg
del 1.reg

而相应的用inf，应该是：

echo [version] >1.inf
echo signature="$CHICAGO$" >>1.inf
echo [Registry Values] >>1.inf
echo MACHINE\System\CurrentControlSet\Control\Lsa\ForceGuest=4,0 >>1.inf
secedit /configure /db 1.sdb /cfg 1.inf /log 1.log
del 1.*

关于命令行下读取组策略的问题。
系统默认的安全数据库位于%windir%\security\database\secedit.sdb，将它导出至inf文件：

secedit /export /cfg gp.inf /log 1.log

没有用/db参数指定数据库就是采用默认的。然后查看gp.inf。

不过，这样得到的只是组策略的一部分（即“Windows设置”）。而且，某个策略如果未配置，是不会被导出的。比如“重命名系统管理员帐户”，只有被定义了才会在inf文件中出现NewAdministratorName="xxx"。对于无法导出的其他的组策略只有通过访问注册表来获得了。

此办法在XP和2003下无效——可以导出但内容基本是空的。原因不明。根据官方的资料，XP和2003显示组策略用RSoP（组策略结果集）。相应的命令行工具是gpresult。但是，它获得的是在系统启动时被附加（来自域）的组策略，单机测试结果还是“空”。所以，如果想知道某些组策略是否被设置，只有先写一个inf，再用secedit /analyze，然后查看日志了。

⑵ 怎样用命令调出2008域的组策略管理器

使用命令行安装 gpmc:

a.以管理员身份打开命令提示符。

b.在命令提示符下键入 ServerManagerCmd -install gpmc。

c.安装完成后关闭命令提示符。

2.安装好gpmc后,我们windows+R打开运行窗口,输入gpmc.msc,然后就会弹出”组策略管理控制台”;

3.编辑里头的[组策略对象]→default domain policy即可,在这里有对应的密码策略,我们更改即可;

4.以管理员身份运行dos窗口,输入”gpupdate /force”强制更新策略.

5.关闭所有的相关窗口,现在你的密码策略已经设置成功了.你可以使用”gpedit.msc”打开本地策略查看,现在你的策略已经更改好了.

⑶ 打开组策略编辑器，需要运行什么命令

看一下下面你就明白什么用处了

组策略
GPO是一种与域、地址或组织单元相联系的物理策略。在NT 4.0系统中，一个单一的系统策略文件（例如ntconfig.pol）包括所有的可以执行的策略功能，但它依赖于用户计算机中的系统注册表的设置。在Win2K中，GPO包括文件和AD对象。通过组策略，可以指定基于注册表的设置、使用NT 4.0格式.adm模板文件的运行Win2K的本地计算机、域的安全设置和使用Windows安装程序的网络软件安装，这样在安装软件时就可以对文件夹进行重定向。微软管理控制台（MMC）中的组策略编辑器（GPE）插件与NT 4.0中的系统策略编辑器poledit.exe相当。在GPE中的每个功能节点（例如软件设置、Windows 设置、管理模块等）都是MMC插件扩展，在MMC插件中扩展是可选的管理工具，如果你是应用程序开发者，可以通过定制的扩展拓展GPO的功能，从而针对你的应用程序提供附加的策略控制。只有运行Win2K的系统可以执行组策略，运行NT 4.0和Windows 9x的客户机则无法识别到或运行具有AD架构的GPO。

以下主要是针对新的系统Windows XP的。

所谓策略（Policy），是Windows中的一种自动配置桌面设置的机制。

所谓组策略（Group Policy），顾名思义，就是基于组的策略。它以Windows中的一个MMC管理单元的形式

存在，可以帮助系统管理员针对整个计算机或是特定用户来设置多种配置，包括桌面配置和安全配置。譬

如，可以为特定用户或用户组定制可用的程序、桌面上的内容，以及“开始”菜单选项等，也可以在整个

计算机范围内创建特殊的桌面配置。简而言之，组策略是Windows中的一套系统更改和配置管理工具的集

合。

GPO（Group Policy Object）——组策略对象，实际上就是组策略设置的集合。组策略的设置结果是保存

在GPO中的。

而在Windows 98 或Windows NT的系统策略编辑器工具，它可以看成是组策略的前身，主要指基于注册表

设置的策略。

⑷ 组策略是什么，命令是什么

组策略是微软Windows NT家族操作系统的一个特性，它可以控制用户账户和计算机帐户的工作环境。组策略提供了操作系统、应用程序和活动目录中用户设置的集中化管理和配置。主要应用于Windows 2000及以上版本操作系统。

命令是计算机专业术语，对计算机程序编程时所下达的编程指令。ping命令是一个探测本地电脑和远程电脑之间信息传送速度的命令，需要TCP/IP协议的支持；NET命令是很多网络命令的集合；telnet和ftp命令分别可远程对系统进行telnet登录和ftp登录，两种登录使用不同协议。

(4)域组策略打开命令扩展阅读：

组策略对象的处理

1、本地， 任何在本地计算机的设置。在Windows Vista之前，每台计算机只能有一份本地组策略。在Windows Vista和之后的Windows版本中，允许每个用户账户分别拥有组策略。

2、站点，任何与计算机所在的活动目录站点关联的组策略。（活动目录站点是旨在管理促进物理上接近的计算机的一种逻辑分组）。如果多个策略已连接到一个站点，将按照管理员设置的顺序处理。

3、域，任何与计算机所在Windows域关联的组策略。如果多个策略已连接到一个域，将按照管理员设置的顺序处理。

4、组织单元，任何与计算机或用户所在的活动目录组织单元，关联的组策略。OU帮助组织和管理一组用户、计算机或其他活动目录对象。如果多个策略已连接到一个OU，将按照管理员设置的顺序处理。

⑸ 本地安全组策略命令是什么

本地安全组策略命令是gpedit.msc。

打开本地安全组策略的方法如下：

1、以win10为例，按win+R打开运行，在运行中输入“gpedit.msc”并回车。

⑹ 组策略怎么打开，组策略编辑器命令

你好

开始菜单

运行 gpedit.msc

⑺ 如何在windows系统的域控制器中打开和使用组策略

在域内域控制器中的组策略对于系统管理员来说至关重要，它能够有效管理局域网，使管理工作更加轻松和高效。

Windows2000/XP/2003系统默认已经安装了组策略组件，以一台运行WindowsServer2003（SP1）系统的域控制器为例，在开始菜单中单击“运行”菜单项，然后在“打开”编辑框中输入gpedit.msc命令并按回车键，打开“组策略编辑器”窗口。

打开“组策略编辑器”窗口后，其默认的编辑对象是本地计算机。用户如果想在本地计算机中将其他计算机作为组策略编辑对象，则需要将组策略作为独立的控制台管理程序来打开，具体操作步骤如下所述：

第1步，在开始菜单中单击“运行”菜单项，然后在“打开”编辑框中输入MMC命令并按回车键。

第2步，打开“控制台1”窗口，依次单击“文件”→“添加/删除管理单元”菜单命令，打开“添加/删除管理单元”对话框。在“独立”选项卡中单击“添加”按钮，如图2008112619所示。

第4步，在打开的“选择组策略对象”对话框中单击“浏览”按钮，打开“浏览组策略”对象对话框。切换到“计算机”选项卡并选中“另一台计算机”单选框，单击“浏览”按钮

第5步，打开“选择计算机”对话框，通过高级查找功能在域中找到并选中目标计算机。然后依次单击“确定”→“完成”→“关闭”按钮返回“添加/删除管理单元”对话框

第6步，在“添加/删除管理单元”对话框中单击“确定”按钮，即可在“控制台1”窗口中看到已经添加进来的组策略对象。依次单击“文件”→“保存”菜单命令可以保存该窗口，方便以后使用

通过上述步骤，用户可以借助ActiveDirectory域和组策略的强大功能有效管理局域网，使管理工作更加轻松和高效。

⑻ windows10组策略怎么打开

方法一，运行命令打开1
按win+r键盘组合键打开“运行”

2
在运行框中输入 “gpedit.msc ”，点击确定或者直接按键盘上的回车键。

3
组策略编辑器就打开了。

4
这样我们就可以根据自己的需要进行设置了。

方法二，电脑搜索打开

我们点击win10的“开始”菜单

打开开始菜单有个搜索框。

我们在搜索框中输入“组策略”我们可以看到我们可以搜索到，我们直接点击。

4
这样我们也是可以直接打开的。

⑼ 域策略 和 域安全策略 用什么命令打开

域安全策略 dompol.msc
域控安全策略 dcpol.msc
后面须跟参数/gpobject ***
***为你域的信息

域策略 貌似要进入"AD用户与计算机"后可编辑,因为还涉及OU的策略,命令暂时不知

其实这些都可以自己用MMC编制.

⑽ 如何打开Windows Server 2008 R2的域安全策略

解决方法是，用户需将Windows Server 2008 R2系统升级为域控制器，那么域会自动把本地安全策略的某些功能锁定。现在，Windows Server 2008 R2的域安全策略应如何启动和打开呢？
一、方法步骤如下：
1、点击“开始”-“程序”-“管理工具”-点击“组策略管理”。
2、在打开的组策略管理，一次展开“林”-“域”-“sayms.com（域名）”-“组策略对象”-右击“Default Domain Policy”，选择“编辑”。

3、在打开的“组策略管理编辑器”，依次展开“计算机配置”-“策略”，这个策略里面包含的就是Windows Server 2008的域安全策略啦。
注：如用户需修改账户密码的复杂度，应继续展开“Windows设置”-“安全设置”-“账户策略”-“密码策略”。

当一台服务器被提升为域控制器后，本地策略不再有效，取而代之的是默认域策略。
二、本地组策略
本地组策略是指应用于本机，且设定后只会在本机起作用的策略，运行的方法为点‘开始’-‘运行’-然后键入‘gpedit.msc’，在弹出本地组策略编辑器中即可进行设置。
三、域组策略
域组策略是指应用于站点，域或者组织单元(OUs)的策略，它的最终作用对象通常是多个用户或者计算机，可以在DC上点开始 ? 运行 ? 然后键入gpmc.msc来运行。
密码策略是属于域级别的策略，必须在默认域策略或链接到根域的新策略中定义。所以虽然您可以在Default domain controller policy 中定义密码策略，但是因为Default domain controller policy只应用到了domain controllers OU而不是整个域，所以在Default domain controller policy 中定义密码策略是无效的。 另外由于域组策略的优先级高于本地组策略的优先级，在域密码策略应用并生效后，所有已经加入域的电脑（包括DC）的本地策略中，密码相关设置都会变成灰色不可修改状态。
在本地策略中的，密码策略就应该是灰色的，无法编辑。当点击开始-运行， 然后键入gpedit.msc回车后，本地策略编辑器就会被打开。而由于域组策略的优先级高于本地组策略的优先级，所有在域组策略中已经设定过的策略都将变为灰色不可修改状态（比如密码策略）。
如果您要修改密码策略，可以使用以下方法：
1、点击‘开始’-‘运行’-然后键入‘gpmc.msc’，回车后打开“组策略管理”控制台。
2、展开到 “域-Domain.com-组策略对象（Domain.com是指您的域名）”。
3、右键点击Default Domain Policy然后选择“编辑”。
4、展开到“计算机配置-策略-Windows 设置- 安全设置-账户策略- 密码策略”。
5、您可以在右边的窗口中定义密码相关的策略，此策略会应用于整个域中的所有账户。