恢复本地安全策略

2023年11月27日发(作者：)

ＸＰ下的解决方法：

“开始”菜单，“运行”，输入“CMD /D”，回车；然后在打开的类似ＤＯＳ窗

口里输入或者粘贴以下蓝字命令：

１、恢复安全选项的命令

Secedit /configure /cfg %windir% /db

/areas SECURITYPOLICY /verbose

２、恢复用户权利指派选项的命令

Secedit /configure /cfg %windir% /db

/areas USER_RIGHTS /verbose

还有一条可选命令，就是强制刷新策

略： gpupdate

解决“您没有许可来更新WindowsXP,请和你的系统管理员联络”的问

题 secedit /configure /cfg %windir% /db

/verbose

[系统故障]WINDOWS 2000/NT/XP恢复本地安全策略（不能确定应用程序到此机

器的组策略安全性设

置）

关于本地安全组策略

的设置请参考《WIN2000或者WIN XP下的本地安全策略设置（个人意见，仅供

参考）

一般情况下，有两种情况下你需要恢复本地安全组策略：

一、你乱调本地安全组策略后悔了，希望恢复默认值；

二、WINDOWS 2000/NT下点击本地安全组策略的内容没反应，也不可查看具

体设置；

WINDOWS XP下打开本地安全组策略出错，显示“不能确定应用程序到

此机器的组策略安全性设置。在尝试从本地安全数据库

(%windir%)中检索这些设置时返回的错误为:

参数不正确。”如图：

ＸＰ下的解决方法：

“开始”菜单，“运行”，输入“CMD /D”，回车；然后在打开的类

似ＤＯＳ窗口里输入或者粘贴以下蓝字命令：

１、恢复安全选项的命令

Secedit /configure /cfg %windir% /db

/areas SECURITYPOLICY /verbose

２、恢复用户权利指派选项的命令

Secedit /configure /cfg %windir% /db

/areas USER_RIGHTS /verbose

还有一条可选命令，就是强制刷新策略：gpupdate

另外，官方也有相关的文章《如何将安全设置重置回默认值》

/kb/313222/zh-cn，

/kb/313222/en-us官方介绍的命令是：

secedit /configure /cfg %windir% /db

/verbose

至于命令参数的解释：

? /configure - 指定 应设置系统安全设置。

? /DB filename - 提供包含要应用的安全模板的数据库的路径。这是一个必需

参数，但如果您使用“/CFG”开关指定安全模板，则该数据库文件便不必存在。

? /CFG filename - 此变量仅在与“/DB”参数一起使用时才有效。它是将导入

到数据库并应用于系统的安全模板的路径。如果您不指定此参数，将应用已存储

在数据库中的模板。

? /overwrite - 此参数仅在与“/CFG”参数一起使用时才有效。它用于指定

“/CFG”参数中的安全模板是否覆盖数据库中存储的任何单独模板或复合模板，

而不是将结果追加到存储的模板中。如果未指定此参数，则“/CFG”参数中的模

板将追加到存储的模板中。

? /areas AreaName1 AreaName2...指定将应用于系统的安全区域。默认值为

“all areas”。每一个区域都必须用一个空格分开。

AreaNameX - 说明

SECURITYPOLICY - 系统的本地策略和域策略，包括帐户策略、审核策略及其他

策略。

GROUP_MGMT - 安全模板中指定的所有组的受限组设置。

USER_RIGHTS - 用户登录权限和授予特权。

REGKEYS - 本地注册表项的安全性。

FILESTORE - 本地文件存储的安全性。

SERVICES - 所有已定义服务的安全性。

注意：这些区域中的每一个区域都在安全模板中有类似的名称。

? /log logpath - 您可以使用此开关配置用于跟踪更改的日志文件的位置。

? /verbose - 指定更加详细的进度信息。

? /quiet - 最小化更新期间在屏幕上和日志文件中提供的反馈数量

二、２０００/ＮＴ下的解决方法：

２、肯定能用的方法：

２．１、［①］打开 %SystemRoot%Security 目录（文件夹），［②］

创建一个子目录（文件夹）并改名 为“Old”，［③④］

将 %SystemRoot%Security 目录下的所有扩展名为log的文件移动到这个新

建的Old目录；

２．２、［⑤⑥］在 %SystemRoot%Securitydatabase 目录下将

“”文件改名，例如改为“”；

２．３、［①］“开始”菜单，“运行”，输入“MMC”，回车；［②］

然后选择管理控制台菜单“文件”，［③］“添加/删除管理单元(M)...”，［④］

然后按“添加(D)”按钮，［⑤］选择“安全配置和分析”，［⑥］再按“添加

(A)”按钮，这时候在左边的空白处可看见“安全配置和分析”管理单元；［⑦⑧］

再按“关闭”、“确定”按钮。

２．４、［①］对“安全配置和分析”右键，选择菜单“打开数据库”，浏

览“C:WINNTsecurityDatabase”文件夹（这一步可能可以省略），［②］输

入文件名“”，［③］按“打开”按钮；当系统提示输入一个模板

时，［④］选择“Setup ”，［⑤］单击“打开”按钮；［⑥］如

果系统提示“拒绝访问数据库”，不用理会。

成功的话，你会发现在“C:WINNTsecurityDatabase”子文件夹中重新生

成了新的安全数据库，在“C:WINNTsecurity”子文件夹下重新生成了log文

件，至此安全数据库重建完成。