Secedit 通過將當前配置與至少一個模板比較，配置和分析系統安全性。

該命令語法如下:

secedit /analyze
secedit /configure
secedit /export
secedit /import
secedit /validate
secedit /GenerateRollback 
secedit /analyze  可通過將其與資料庫中的基本設定相比較，分析一臺計算機上的安全設定。
語法
secedit /analyze /db FileName .sdb[/cfgFileName] [/overwrite] [/logFileName] [/quiet]
引數
/db FileName.sdb
指定用於進行分析的資料庫。
/cfg FileName
指定在進行分析前要匯入到資料庫中的安全性模板。使用安全模板管理單元建立安全模板。
/log FileName
指定記錄配置程序狀態的檔案。如果未指定，則將配置資料記錄到 %windir%\security\logs 目錄下的 scesrv.log 檔案。
/quiet
指定分析過程不進行進一步註釋。
註釋
可在安全配置和分析 中檢視分析的結果。

示例
以下是如何使用該命令的一個示例：
secedit /analyze /db hisecws.sdb

secedit /configure
通過應用儲存在資料庫中的設定配置本地計算機的安全性設定。
語法
secedit /configure /db FileName[/cfg FileName ] [/overwrite][/areasArea1 Area2 ...] [/logFileName] [/quiet]
引數
/db FileName
指定用於進行安全配置的資料庫。
/cfg FileName
指定在配置計算機前要匯入到資料庫中的安全性模板。使用安全模板管理單元建立安全模板。
/overwrite
指定在匯入安全模板之前應清空資料庫。如果未指定該引數，安全模板中的設定將累計到資料庫中。如果未指定該引數且資料庫和當前匯入的模板之間存在配置衝突，則模板配置具有優先權。
/areas Area1 Area2 ...
指定應用到系統中的安全區域。如果未指定引數，所有在資料庫中定義的安全性設定都將應用到該系統。要配置多個區域，請使用空格分隔每一區域。支援以下安全區域：區域名稱描述SECURITYPOLICY包括帳戶策略、稽核策略、事件日誌設定和安全選項。GROUP_MGMT包括受限組的配置USER_RIGHTS包括使用者許可權分配REGKEYS包括登錄檔許可權FILESTORE包括檔案系統許可權SERVICES包括系統服務設定
/log FileName
指定記錄配置程序狀態的檔案。如果未指定，則將配置資料記錄到 %windir%\security\logs 目錄下的 scesrv.log 檔案。
/quiet
指定該配置程序應在不提示使用者的情況下進行。
示例
以下是如何使用該命令的示例：
secedit /configure /db hisecws.sdb /cfg
hisecws.inf /overwrite /log hisecws.log

secedit /export
可將儲存在資料庫中的安全性設定匯出。
語法
secedit /export[/DBFileName] [/mergedpolicy] [/CFG FileName] [/areasArea1 Area2 ...] [/logFileName] [/quiet]
引數
/db FileName
指定用於配置安全性的資料庫。
/mergedpolicy
合併並匯出域和本地策略安全性。
/CFG FileName
指定要將設定匯出到的模板。
/areas Area1 Area2 ...
指定將被匯出到模板的安全區域。如果沒有指定區域，則所有區域都將被匯出。每個區域應通過空格分隔。

區域名稱                                          描述

SECURITYPOLICY                       包括帳戶策略、稽核策略、事件日誌設定和安全選項。

GROUP_MGMT                             包括受限組的配置

USER_RIGHTS                             包括使用者許可權分配

REGKEYS                                       包括登錄檔許可權

FILESTORE                                    包括檔案系統許可權

SERVICES                                      包括系統服務設定 

/log FileName
指定記錄匯出程序狀態的檔案。如果不指定該檔案，則採用預設設定記錄到 %windir%\security\logs\scesrv.log。
/quiet
指定該配置程序應在不提示使用者的情況下進行。
示例
以下是如何使用該命令的一個示例：
secedit /export /db hisecws.inf /log hisecws.log

secedit /import
可將安全性模板匯入到資料庫以便模板中指定的設定可應用到系統或作為分析系統的依據。
語法
secedit /import /db FileName .sdb /cfg FileName.inf [/overwrite] [/areasArea1 Area2 ...] [/logFileName] [/quiet]
引數
/db FileName .sdb
指定要將安全性模板設定匯入到的資料庫。
/CFG FileName
指定要匯入到資料庫中安全性模板。使用安全模板管理單元建立安全模板。
/overwrite FileName
指定在匯入安全模板之前應清空資料庫。如果未指定該引數，安全模板中的設定將累計到資料庫中。如果未指定該引數且資料庫和當前匯入的模板之間存在配置衝突，則模板配置具有優先權。
/areas Area1 Area2 ...
指定將被匯出到模板的安全區域。如果沒有指定區域，則所有區域都將被匯出。每個區域應通過空格分隔。

區域名稱                                           描述

SECURITYPOLICY                       包含帳戶策略、稽核策略、事件日誌設定及安全選項。

GROUP_MGMT                            包括受限組的配置

USER_RIGHTS                            包括使用者許可權分配

REGKEYS                                      包括登錄檔許可權

FILESTORE                                   包括檔案系統許可權

SERVICES                                      包括系統服務設定

 
/log FileName
指定記錄匯出程序狀態的檔案。如果不指定該檔案，則採用預設設定記錄到 %windir%\security\logs\scesrv.log。
/quiet
指定該配置程序應在不提示使用者的情況下進行。
示例
以下是如何使用該命令的一個示例：
secedit /import /db hisecws.sdb /cfg hisecws.inf /overwrite

secedit /validate
驗證要匯入到分析資料庫或系統應用程式的安全模板的語法。
語法
secedit /validate FileName
引數
FileName
指定使用安全模板建立的安全模板檔名。
示例
以下是如何使用該命令的一個示例：
secedit /validate /cfg filename

secedit /GenerateRollback
可根據配置模板生成一個回滾模板。在將配置模板應用到計算機上時，可以選擇建立回滾模板，該模板在應用時會將安全性設定重置為應用配置模板前的值。
語法
secedit /GenerateRollback /CFG FileName.inf /RBK SecurityTemplatefilename.inf [/logRollbackFileName.inf] [/quiet]
引數
/CFG FileName
指定要為其建立回滾模板的安全性模板的檔名。
/RBK FileName
指定將建立為回滾模板的安全性模板的檔名。
註釋
secedit /refreshpolicy 已經被 gpupdate 替代。有關如何更新安全性設定的資訊，請參閱“相關主題”。

組策略是建立Windows安全環境的重要手段，尤其是在Windows域環境下。一個出色的系統管理員，應該能熟練地掌握並應用組策略。在視窗介面下訪問組策略用gpedit.msc，命令列下用secedit.exe。
先看secedit命令語法：
secedit /analyze
secedit /configure
secedit /export
secedit /validate
secedit /refreshpolicy
5個命令的功能分別是分析組策略、配置組策略、匯出組策略、驗證模板語法和更新組策略。其中secedit /refreshpolicy 在XP/2003下被gpupdate代替。這些命令具體的語法自己在命令列下檢視就知道了。
與訪問登錄檔只需reg檔案不同的是，訪問組策略除了要有個模板檔案(還是inf)，還需要一個安全資料庫檔案(sdb)。要修改組策略，必須先將模板匯入安全資料庫，再通過應用安全資料庫來重新整理組策略。來看個例子：
假設我要將密碼長度最小值設定為6，並啟用“密碼必須符合複雜性要求”，那麼先寫這麼一個模板：
[version]
signature="$CHICAGO$"
[System Access]
MinimumPasswordLength = 6
PasswordComplexity = 1
儲存為gp.inf，然後匯入：
secedit /configure /db gp.sdb /cfg gp.inf /quiet
這個命令執行完成後，將在當前目錄產生一個gp.sdb，它是“中間產品”，你可以刪除它。
/quiet引數表示“安靜模式”，不產生日誌。但根據我的試驗，在2000sp4下該引數似乎不起作用，XP下正常。日誌總是儲存在%windir%\security\logs\scesrv.log。你也可以自己指定日誌以便隨後刪除它。比如：
secedit /configure /db gp.sdb /cfg gp.inf /log gp.log
del gp.*
另外，在匯入模板前，還可以先分析語法是否正確：
secedit /validate gp.inf
那麼，如何知道具體的語法呢？當然到MSDN裡找啦。也有偷懶的辦法，因為系統自帶了一些安全模板，在%windir%\security\templates目錄下。開啟這些模板，基本上包含了常用的安全設定語法，一看就懂。

用 /export 來匯出策略 

看一下策略有沒有匯出來，執行type secedit.inf 

刪除             del  secedit.inf