图1 secedit命令的完整语法

　　下面简单介绍以下子命令:

　　l secedit /analyze :可通过将其与数据库中的基本设置相比较，分析一台计算机上的安全设置。

　　l secedit /configure :通过应用存储在数据库中的设置配置本地计算机的安全性设置。

　　l secedit /export :可将存储在数据库中的安全性设置导出。

　　l secedit /import :可将安全性模板导入到数据库以便模板中指定的设置可应用到系统或作为分析系统的依据。

　　l secedit /validate :验证要导入到分析数据库或系统应用程序的安全模板的语法。

　　l secedit /GenerateRollback: 可根据配置模板生成一个回滚模板。在将配置模板应用到计算机上时，可以选择创建回滚模板，该模板在应用时会将安全性设置重置为应用配置模板前的值。

　　默认情况下几个安全模板文件如下:

　　·默认安全设置 模板(Setup security.inf)

　　Setup security.inf 模板是在安装期间针对每台计算机创建的。取决于所进行的安装是完整安装还是升级，该模板在不同的计算机中可能不同。Setup security.inf 代表了在安装操作系统期间所应用的默认安全设置，其中包括对系统驱动器的根目录的文件权限。它可以用在服务器或客户端计算机上，但不能应用于域控制器。此模板的某些部分可应用于故障恢复。请不要通过使用“组策略”来应用 Setup security.inf。此模板含有大量数据，如果通过组策略来应用它，可能会严重降低性能(因为策略是定期刷新的，这样做将导致在域中移动大量数据)。因此，建议在局部应用 Setup security.inf 模板。由于 Secedit 命令行工具支持该功能，因此建议使用该工具。

　　·域控制器默认安全设置模板 (DC security.inf)

　　该模板是在服务器被升级为域控制器时创建的。它反映了文件、

 

注册表以及系统服务的默认安全设置。重新应用它后，上述范围的安全设置将被重新设置为默认值。它可能覆盖由其他应用程序创建的新文件、注册表和系统服务的权限。使用“安全配置和分析”管理单元或 Secedit 命令行工具可以应用它。

　　·兼容模板 (compatws.inf)

　　工作站和服务器的默认权限主要授予三个本地组:Administrators、Power Users 和 Users。Administrators 享有最高的特权，而 Users 的特权最低。正因为如此，可以通过以下方式极大地提高系统所有权的安全性、可靠性，并降低其总成本:确保最终用户都是 Users 成员。 部署可由 Users