[转载] 远程修改组策略

知识点：命令行下的组策略 —— secedit

 

组策略是建立Windows安全环境的重要手段，尤其是在Windows域环境下。一个出色的系统管理员，应该能熟练地掌握并应用组策略。在窗口界面下访问组策略用gpedit.msc，命令行下用secedit.exe。

secedit命令语法：
secedit /analyze (分析组策略)
secedit /configure (配置组策略)
secedit /export (导出组策略)
secedit /validate (验证模板语法)
secedit /refreshpolicy (更新组策略，在XP/2003下被gpupdate代替)

与访问注册表只需reg文件不同的是，访问组策略除了要有个模板文件(还是inf)，还需要一个安全数据库文件(sdb)。要修改组策略，必须先将模板导入安全数据库，再通过应用安全数据库来刷新组策略

大体的过程是这样：

1. telnet到远程计算机

2. 导出组策略配置

3. 修改组策略配置

4. 应用新的组策略配置

先找一台同子网的计算机 ，用管理工具来连接远程计算机的管理工具：

启动远程计算机的telnet服务：

telnet到远程计算机，建议把当前计算机管理员密码改成目标计算机一致，这样既可以免去验证过程。

创建一个共享文件夹来存放导出的配置文件：

md test
net share test=c:\test

进入test文件夹，输入secedit /export就可以看到到处配置文件的示例，按照示例，我们输入secedit /export /cfg secedit.inf就可以导出数据库模板文件了。系统默认的安全数据库位于%windir%\security\database\secedit.sdb，这里没有用/db参数指定数据库就是采用默认的。

接下来就可以在test文件夹中看到sec.inf文件了。不过Windows2003 的默认共享是everyone只读哦，所以我们还要用管理工具连接到远程计算机修改它的共享权限，我给了这台远程计算机的管理员一个更改权限：

这样我们就可以通过共享文件夹来修改sec.inf文件了。在sec.inf文件中找到

“SeDenyInteractiveLogonRight”字段，删掉右侧的users组的SID就可以啦

保存后，在telnet会话中输入 secedit /configure /db sec.sdb /cfg sec.inf这条命令的作用是应用新的策略模板，其中/db生成的只是一个临时文件，可以删掉

之后再来试试看登录我们被锁住的计算机，怎么样，锁定解除了吧。

来源：http://struggle.blog.51cto.com/333093/91862/