重新应用默认的安全设置

1. 打开“安全配置和分析”。
2. 在控制台树中，右键单击“安全配置和分析”，然后单击“打开数据库”。

   位置

   • 控制台根节点
   • 安全配置和分析
3. 在“文件名”框中，键入文件名，然后单击“打开”。
4. 执行以下操作之一：
   • 对域控制器，请在控制台树中右键单击“安全配置和分析”，接着单击“导入模板”，然后单击“DC security.inf”。
   • 对其他计算机，请在控制台树中右键单击“安全配置和分析”，接着单击“导入模板”，然后单击“setup security.inf”。
5. 选中“导入之前清除这个数据库”，然后单击“打开”。
6. 在控制台树中，右键单击“安全配置和分析”，然后单击“立即配置计算机”。
7. 执行以下操作之一：
   • 要使用在“错误日志文件路径”中指定的默认日志，请单击“确定”。
   • 要指定不同的日志，请在“错误日志文件路径”中输入有效的路径和文件名，然后单击“确定”。
8. 完成配置后，请右键单击“安全配置和分析”，然后单击“查看日志文件”。

要点

• 应用整个 setup security 模板将是很冒失的措施，应该避免。相反，应使用 secedit 命令行工具来针对特定区域应用默认设置。请参阅本过程中“使用命令行”的部分。

注意

• 执行该过程可能需要不同的权限，具体取决于应用默认安全设置时所处的环境。
  • 如果要对本地计算机重新应用默认安全设置：要执行该过程，您必须是本地计算机 Administrators 组的成员，或者您必须被委派适当的权限。如果将计算机加入域，Domain Admins 组的成员可能也可以执行这个过程。作为安全性的最佳操作，可以考虑使用运行方式来执行这个过程。
  • 如果要对加入在域中的计算机重新应用默认安全设置：若要执行此过程，您必须是 Active Directory 中 Domain Admins 组或 Enterprise Admins 组的成员，或者您必须被委派了适当的权限。作为安全性的最佳操作，可以考虑使用运行方式来执行这个过程。
• 要打开“安全配置和分析”，请先单击“开始”，再单击“运行”，然后输入 mmc，最后单击“确定”。在“文件”菜单上，单击“打开”，然后单击要打开的控制台，再单击“打开”。在控制台树中，单击“安全配置和分析”。
• 日志文件的默认路径是：

  systemroot\Documents and Settings\UserAccount\My Documents\Security\Logs\

• 重新应用默认的安全设置时，所有设置安全信息中定义的设置都遵从模板中的指定，而模板中未定义的其他设置则保持不变。详细信息，请参阅持续安全设置。

• 打开 命令提示符。
• 对于服务器或工作站，请键入：

  secedit" /configure /DB FileName /CFG ""%windir%\Security\Templates\Setup security.inf" [/overwrite][/areas Area1 Area2...] [/log LogPath] [/quiet]

  对于域控制器，请键入：

  secedit" /configure /DB FileName /CFG ""%windir%\Security\Templates\Setup security.inf" [/overwrite][/areas Area1 Area2...] [/log LogPath] [/quiet]

要点

• 建议使用 Areas 参数局部应用 Setup security 模板，这样可以控制要恢复的部分。

注意

• 执行该过程可能需要不同的权限，具体取决于应用默认安全设置时所处的环境。
  • 如果要对本地计算机重新应用默认安全设置：要执行该过程，您必须是本地计算机 Administrators 组的成员，或者您必须被委派适当的权限。如果将计算机加入域，Domain Admins 组的成员可能也可以执行这个过程。作为安全性的最佳操作，可以考虑使用运行方式来执行这个过程。
  • 如果要对加入在域中的计算机重新应用默认安全设置：若要执行此过程，您必须是 Active Directory 中 Domain Admins 组或 Enterprise Admins 组的成员，或者您必须被委派了适当的权限。作为安全性的最佳操作，可以考虑使用运行方式来执行这个过程。
• 要打开命令提示符，请单击“开始”，依次指向“程序”和“附件”，然后单击“命令提示符”。
• 要查看该命令的完整语法，请在命令提示符下键入：
  

  secedit /?