Проектирование доменов и развертывание Active Directory

         

Утилита командной строки secedit


Утилиту secedit.exe можно использовать из командной строки или с Диспетчером задач для активизации и анализа некоторой конфигурации безопасности. Secedit.exe загружает в локальную базу данных настройки безопасности, определенные в шаблоне. Загруженные новые настройки безопасности начинают работать в следующих случаях:

  • После перезагрузки машины.

    • Когда администратор конфигурирует систему с помощью оснастки

      Анализ и настройка безопасности

      (режим

      Настроить компьютер

      (Configure Computer Now)).

      Существуют следующие варианты синтаксиса команды secedit:



      • Для выполнения анализа безопасности введите команду:

        eecedit /analyze /DB ймя_файла [/CFG

        Имя_файла]

        [/log

        Путь_к_журналу ]

        [/verbose] [/quiet]

        где

        /db

        имя_файла —

        путь к базе данных, с помощью которой выполняется анализ. Результаты анализа заносятся в самой базе данных вместе с находящейся в ней информацией о настройках безопасности. Этот параметр является обязательным.

        /cfg

        имя_файла —

        имеет значение только при условии, что предыдущий параметр задает имя новой (еще не существующей) базы данных. Тогда значение

        Имя_файла

        в данном параметре определяет файл конфигурации, который должен быть загружен в новую (только что созданную) базу данных перед выполнением анализа.

        /log

        путь_к_журналу —

        путь к журналу процесса. Если данный параметр не задан, по умолчанию используется путь

        %SystemRoot%\Security\

        Logs\Scesrv.log.

        /verbose — в журнал должна быть занесена подробная информация о ходе анализа.

        /quiet — ничего не заносить в журнал и не выводить на экран.

        • Для выполнения конфигурации безопасности введите команду:

          secedit /configure /DB

          Имя_файла

          [/CFG

          Иня_файла]

          [/overwrite] [/areas Области...] [/log

          Путь_к_журналу]

          [/verbose] [/quiet]

          - где

          /db

          имя_файла —

          путь к базе данных, с помощью которой выполняется конфигурация безопасности. Этот параметр является обязательным. /cfg

          имя_файла —

          значение

          Имя_файла

          определяет файл конфигурации, который должен быть загружен в новую (только что созданную) базу данных перед выполнением конфигурации безопасности.

          /overwrite — применяется только совместно с параметром /cpg. Этот параметр говорит, что информация, загружаемая из файла, указанного в параметре /cfs, должна перезаписать любую существующую конфигурацию, находящуюся в базе данных.

          /areas

          области... —

          определяет, какие области обеспечения безопасности будут подвергаться конфигурации. По умолчанию конфигурируются все области. Если в данном параметре вводится несколько значений, они должны быть разделены пробелами. Перечислим значения данного параметра:

          securitypolicy — определяет локальную политику и политику домена, применяемые к данной системе.





          • group_mgmt — настройки групп с ограниченным членством.



          • user_rights — привилегии пользователей при регистрации и работе с объектами Active Directory.



          • regkeys — разделы реестра.



          • filestore — безопасность локально хранимых файлов.



          • services — настройки безопасности для всех служб.

            /log

            Путь_к_журналу —

            путь к журналу процесса. Если данный параметр не задан, по умолчанию используется путь

            %SystemRoot98\Secur\ty\

            Logs\Scesrv.log.

            /verbose — в журнал должна быть занесена детальная информация, /quiet — ничего не заносить в журнал и не выводить на экран.





            • Для обновления политики введите команду:

              secedit /refreshPolicy {MACHINE_POLICY | USER_POLICY} [/enforce]

              где

              machine_policy — обновляемая политика для локальной машины.

              oser_policy — обновляемая политика для зарегистрировавшегося пользователя.

              /enforce — предписывает заново применить политику, даже в случае, если в GPO не было сделано никаких изменений.





              • Для проверки целостности базы данных введите команду: secedit /validate

                Имя_файла

                где

                Имя_файла

                — имя файла базы данных, целостность которой необходимо проверить.


                Содержание раздела