组策略对于系统管理员来说至关重要，但是大家了解组策略命令吗？下文对组策略命令作了详细的描述。

　　组策略命令是什么？

　　您只需单击选择“开始”→“运行”命令，在“运行”对话框的“打开”栏中输入“gpedit.msc”，然后单击“确定”按扭即可启动windowsxp组策略编辑器。（注：这个“组策略”程序位于“c:winntsystem32”中，文件名为“gpedit.msc”。）

　　当多人共用一台计算机时，在windowsxp中设置用户权限，可以按照以下步骤进行：

　　1、运行组策略编辑器程序（gpedit.msc）。

　　2、在编辑器窗口的左侧窗格中逐级展开“计算机配置”→“windows设置”→“安全设置”→“本地策略”→“用户权限指派”分支。

　　3、双击需要改变的用户权限。单击“增加”，然后双击想指派给权限的用户帐号。如图8所示。连续两次单击“确定”按扭。

　　在windowsxp中，新增了一条命令行工具“shutdown”，其作用是“关闭或重新启动本地或远程计算机”。利用它，我们不但可以注销用户，关闭或重新启动计算机，还可以实现定时关机、远程关机。

　　首先，我们来看一下该组策略命令的一些基本用法：

　　1、注销当前用户

　　shutdown-l

　　该命令只能注销本机用户，对远程计算机不适用。

　　2、关闭本地计算机

　　shutdown-s

　　3、重启本地计算机

　　shutdown-r

　　4、定时关机

　　shutdown-s-t30

　　指定在30秒之后自动关闭计算机。

　　组策略命令：向组策略安全组添加计算机和用户

　　无线网络策略经过配置并且能够正常工作之后，向控制该策略应用程序的安全组中添加其他计算机则非常简单。

　　向无线网络组策略安全组添加计算机

　　1.在“activedirectory用户和计算机”中，找到与要应用的无线网络策略相对应的wirelessnetworkpolicy-computer安全组。您必须作为对此组具有“修改成员身份”权限的用户进行登录。

　　2.向选定的安全组添加计算机。

　　向远程访问策略安全组添加用户

　　1.登录到管理计算机，要求作为domainadministrators组成员登录，或者使用具有修改remoteaccesspolicy-wirelessusers安全组成员身份所需的安全权限的其他帐户登录。

　　2.在“activedirectory用户和计算机”中，找到与控制无线lan访问的远程访问策略相对应的remoteaccesspolicy-wirelessusers安全组。

　　3.将用户添加到选定的安全组。

　　将计算机添加到远程访问策略安全组

　　1.登录到管理计算机上，要求作为domainadministrators组成员登录，或者使用具有修改remoteaccesspolicy-wirelesscomputers安全组成员身份所需的安全权限的其他帐户登录。

　　2.在“activedirectory用户和计算机”中，找到与控制无线lan访问的远程访问策略相对应的remoteaccesspolicy-wirelessusers安全组。

　　3.向选定的安全组中添加计算机。

　　下面是针对2003的将组策略应用于组织单位或域

　　1.依次单击“开始”、“管理工具”、“activedirectory用户和计算机”，打开“activedirectory用户和计算机”。

　　2.突出显示相关域或组织单位，单击“操作”菜单，选择“属性”。

　　3.选择“组策略”选项卡。

　　注意：每个容器可应用多个策略。这些策略的处理顺序是从列表的底部向上。如果出现冲突，最后应用的策略优先。

　　4.单击“新建”创建一个策略，并为其指定有实际意义的名称，如“域策略”。

　　注意：单击“选项”按钮可配置“禁止替代”设置。“禁止替代”是为每个单独的策略配置的，而不是为整个容器；“阻止策略继承”则是为整个容器配置的。如果“禁止替代”和“阻止策略继承”设置发生冲突，“禁止替代”设置优先。要配置“阻止策略继承”，请选中ou属性中的复选框。

　　组策略可自动更新，但为了立即启动更新过程，可在命令提示符下使用下面的gpupdate命令：

　　gpupdate/force

　　向“用户权限分配”添加安全组

　　1.依次单击“开始”、“管理工具”、“activedirectory用户和计算机”，打开“activedirectory用户和计算机”。

　　2.突出显示相关ou（如“成员服务器”），单击“操作”菜单，选择“属性”。

　　3.单击“组策略”选项卡，选择相关策略（如“成员服务器基准策略”），然后单击“编辑”。

　　4.在“组策略对象编辑器”中，依次展开“计算机配置”、“windows设置”、“安全设置”、“本地策略”，然后突出显示“用户权限分配”。

　　5.在右侧窗格中，右键单击相关用户权限。

　　6.选中“定义这些策略设置”复选框，单击“添加用户和组”修改该列表。

　　7.单击“确定”。

　　组策略命令：将安全模板导入组策略

　　导入安全模板

　　1.依次单击“开始”、“管理工具”、“activedirectory用户和计算机”，打开“activedirectory用户和计算机”。

　　2.突出显示相关域或ou，单击“操作”菜单，选择“属性”。

　　3.选择“组策略”选项卡。

　　4.突出显示相关策略，单击“编辑”。

　　5.依次展开“计算机配置”、“windows设置”，然后突出显示“安全设置”。

　　6.单击“操作”菜单，选择“导入策略”。

　　7.导航到securityguidejobaids，选择相关模板，单击“打开”。

　　8.在“组策略对象编辑器”中，单击“文件”菜单，选择“退出”。

　　9.在容器属性中，单击“确定”。

　　组策略命令：使用“安全配置和分析”

　　导入安全模板

　　1.依次单击“开始”、“运行”。在“打开”文本框中键入mmc，然后单击“确定”。

　　2.在microsoft管理控制台中，单击“文件”，选择“添加/删除管理单元”。

　　3.单击“添加”，突出显示列表中的“安全配置和分析”。

　　4.依次单击“添加”、“关闭”、“确定”。

　　5.突出显示“安全配置和分析”，单击“操作”菜单，选择“打开数据库”。

　　6.键入新的数据库名称（如bastionhost），单击“打开”。

　　7.在“导入模板”界面中，导航到securityguidejobaids，选择相关模板。单击“打开”。

　　分析导入的模板并与当前设置比较

　　1.突出显示microsoft管理单元中的“安全配置和分析”，单击“操作”菜单，并选择“立即分析计算机”。

　　2.单击“确定”，接受默认的“错误日志文件路径”。

　　3.完成分析后，展开节点标题对结果进行研究。

　　应用安全模板

　　1.突出显示microsoft管理单元中的“安全配置和分析”，单击“操作”菜单，选择“立即配置计算机”。

　　2.单击“确定”，接受默认的“错误日志文件路径”。

　　3.在microsoft管理控制台，单击“文件”，然后选择“退出”关闭“安全配置和分析”。

　　网堤安全（www.ddos.com）专注为互联网企业、云计算平台、IDC数据中心提供DDOS、CC防御解决服务及方案，无论在流量清洗能力、CC攻击防护能力均处于国内先进水平。提供HTTP/HTTPS以及TCP/UDP层的防护，具备WAF、数据可视化等功能。