可通过将其与数据库中的基本设置相比较，分析一台计算机上的安全设置。

语法

secedit /analyze /db FileName.sdb [/cfg FileName] [/overwrite] [/log FileName] [/quiet]

参数

 

/db FileName.sdb
 

指定用于进行分析的数据库。
 

/cfg FileName
 

指定在进行分析前要导入到数据库中的安全性模板。使用安全模板管理单元创建安全模板。
 

/log FileName
 

指定记录配置进程状态的文件。如果未指定，则将配置数据记录到 %windir%\security\logs 目录下的 scesrv.log 文件。
 

/quiet
 

指定分析过程不进行进一步注释。

注释

 
• 可在href="MS-ITS:SCMconcepts.chm::/sag_SCMtopnode.htm">安全配置和分析中查看分析的结果。

示例

以下是如何使用该命令的一个示例：

secedit /analyze /db hisecws.sdb

通过应用存储在数据库中的设置配置本地计算机的安全性设置。

语法

secedit /configure /db FileName [/cfg FileName ] [/overwrite][/areas Area1 Area2 ...] [/log FileName] [/quiet]

参数

 

/db FileName
 

指定用于进行安全配置的数据库。
 

/cfg FileName
 

指定在配置计算机前要导入到数据库中的安全性模板。使用安全模板管理单元创建安全模板。
 

/overwrite
 

指定在导入安全模板之前应清空数据库。如果未指定该参数，安全模板中的设置将累计到数据库中。如果未指定该参数且数据库和当前导入的模板之间存在配置冲突，则模板配置具有优先权。
   

/areas Area1 Area2 ...
 

指定应用到系统中的安全区域。如果未指定参数，所有在数据库中定义的安全性设置都将应用到该系统。要配置多个区域，请使用空格分隔每一区域。支持以下安全区域：
   
     
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
     
   

区域名称	描述
SECURITYPOLICY	包括帐户策略、审核策略、事件日志设置和安全选项。
GROUP_MGMT	包括受限组的设置
USER_RIGHTS	包括用户权限分配
REGKEYS	包括注册表权限
FILESTORE	包括文件系统权限
SERVICES	包括系统服务设置

 

/log FileName
 

指定记录配置进程状态的文件。如果未指定，则将配置数据记录到 %windir%\security\logs 目录下的 scesrv.log 文件。
 

/quiet
 

指定该配置进程应在不提示用户的情况下进行。

示例

以下是如何使用该命令的示例：

secedit /configure /db hisecws.sdb /cfg

hisecws.inf /overwrite /log hisecws.log

可将存储在数据库中的安全性设置导出。

语法

secedit /export [/DB FileName] [/mergedpolicy] [/CFG FileName] [/areas Area1 Area2 ...] [/log FileName] [/quiet]

参数

 

/db FileName
 

指定用于配置安全性的数据库。
 

/mergedpolicy
 

合并并导出域和本地策略安全性。
 

/CFG FileName
 

指定要将设置导出到的模板。
 

/areas Area1 Area2 ...
 

指定将被导出到模板的安全区域。如果没有指定区域，则所有区域都将被导出。每个区域应通过空格分隔。
   
     
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
     
   

区域名称	描述
SECURITYPOLICY	包含帐户策略、审核策略、事件日志设置及安全选项。
GROUP_MGMT	包括受限组的配置
USER_RIGHTS	包括用户权限分配
REGKEYS	包括注册表权限
FILESTORE	包括文件系统权限
SERVICES	包括系统服务设置

 

/log FileName
 

指定记录导出进程状态的文件。如果未指定，默认设置为 %windir%\security\logs\scesrv.log。
 

/quiet
 

指定该配置进程应在不提示用户的情况下进行。

示例

以下是如何使用该命令的一个示例：

secedit /export /db hisecws.inf /log hisecws.log

可将安全性模板导入到数据库以便模板中指定的设置可应用到系统或作为分析系统的依据。

语法

secedit /import /db FileName.sdb /cfg FileName.inf [/overwrite] [/areas Area1 Area2 ...] [/log FileName] [/quiet]

参数

 

/db FileName.sdb
 

指定要将安全性模板设置导入到的数据库。

 

/CFG FileName
 

指定要导入到数据库中安全性模板。使用安全模板管理单元创建安全模板。

 

/overwrite FileName
 

指定在导入安全模板之前应清空数据库。如果未指定该参数，安全模板中的设置将累计到数据库中。如果未指定该参数且数据库和当前导入的模板之间存在配置冲突，则模板配置具有优先权。

 

/areas Area1 Area2 ...
 

指定将被导出到模板的安全区域。如果没有指定区域，则所有区域都将被导出。每个区域应通过空格分隔。
   
     
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
     
   

区域名称	描述
SECURITYPOLICY	包含帐户策略、审核策略、事件日志设置及安全选项。
GROUP_MGMT	包括受限组的配置
USER_RIGHTS	包括用户权限分配
REGKEYS	包括注册表权限
FILESTORE	包括文件系统权限
SERVICES	包括系统服务设置

 

/log FileName
 

指定记录导出进程状态的文件。如果未指定，默认设置为 %windir%\security\logs\scesrv.log。

 

/quiet
 

指定该配置进程应在不提示用户的情况下进行。

示例

以下是如何使用该命令的一个示例：

secedit /import /db hisecws.sdb /cfg hisecws.inf /overwrite

验证要导入到分析数据库或系统应用程序的安全模板的语法。

语法

secedit /validate FileName

参数

 

FileName
 

指定使用安全模板创建的安全模板文件名。

示例

以下是如何使用该命令的一个示例：

secedit /validate /cfg filename

可根据配置模板生成一个回滚模板。在将配置模板应用到计算机上时，可以选择创建回滚模板，该模板在应用时会将安全性设置重置为应用配置模板前的值。

语法

secedit /GenerateRollback /CFG FileName.inf /RBK SecurityTemplatefilename.inf [/log RollbackFileName.inf] [/quiet]

参数

 

/CFG FileName
 

指定要为其创建回滚模板的安全性模板的文件名。

 

/RBK FileName
 

指定将创建为回滚模板的安全性模板的文件名。