PR
 概要  
システムのセキュリティ設定の分析や構成,設定内容のインポートとエクスポート,構文の確認を実行する。そのほか,設定の反映(Windows 2000 のみ)や,ロールバックの作成(Windows Server 2003,Windows Vista,Windows XP)も実施できる。環境により実行できるオプションに違いがある。また,Windows Vistaでは管理者ユーザーで実行する必要がある。

 構文  
secedit /analyze /db ファイル名 [/cfg ファイル名] [/log ファイル名] [/verbose] [/quiet]
または
secedit /configure /db ファイル名 [/cfg ファイル名] [/overwrite] [/areas エリア1 エリア2...] [/log ファイル名] [/quiet]
または
secedit /refreshpolicy {machine_policy | user_policy} [/enforce]
または
secedit /import /db ファイル名 /cfg ファイル名 [/overwrite] [/areas エリア1 エリア2...] [/log ファイル名] [/quiet]
または
secedit /export [/db ファイル名] [/mergedpolicy] /cfg ファイル名 [/areas エリア1 エリア2...] [/log ファイル名]
または
secedit /validate ファイル名
または
secedit /generaterollback /cfg ファイル名 /rbk ファイル名 [/log ファイル名] [/quiet]
または
secedit [? | /? | help]

 利用環境  
Windows 95 ×
Windows 98 ×
Windows Me ×
Windows NT 4.0 ×
Windows 2000 ○
Windows XP ○
Windows Server 2003 ○
 Windows Vista ○

 コマンド・オプション 
/analyze /db ファイル名 [/cfg ファイル名] [/log ファイル名] [/verbose] [/quiet]コンピュータのセキュリティ設定を,/dbで指定したセキュリティ・データベース(.sdbファイル)の内容と比較して分析する。分析結果は「セキュリティの構成と分析」で確認できる。また,/cfgオプションで分析前にデータベースにインポートするセキュリティ・テンプレートが,/logオプションで処理の状態ログを出力するファイルが指定できる。/quietオプションを指定すると,画面とログへの状態出力を行わずに処理を実行する。/verboseオプションを指定すれば詳細出力を行うこともできる(Windows 2000のみ)。
/configure /db ファイル名 [/cfg ファイル名] [/overwrite] [/areas エリア1 エリア2...] [/log ファイル名] [/quiet]コンピュータのセキュリティ設定を,/dbで指定したセキュリティ・データベースの内容を元に構成する。/cfgオプションで構成処理の実行前にデータベースにインポートするセキュリティ・テンプレートを指定できる。/cfgオプションと併せて/overwriteオプションを指定した場合はデータベース内にある既存の内容を一旦消去する。/areasオプションではセキュリティ構成の対象となる領域を「SECURITYPORICY」(アカウントポリシー,監査ポリシー,イベント・ログ設定,セキュリティ・オプション),「GROUP_MGMT」(制限されたグループの設定),「USER_RIGHTS」(ユーザー権利の割り当て),「REGKEYS」(レジストリのアクセス許可),「FILESTORE」(ファイル・システムのアクセス許可),「SERVICES」(システム・サービスの設定)のいずれか,あるいは複数の領域をスペースで区切って指定する。また,/logオプションで指定したファイルに処理の状態ログを出力できる。/quietオプションを指定すると,画面とログへの状態出力を行わずに処理を実行する。
/refreshpolicy {machine_policy | user_policy} [/enforce]machine_poricyとuser_policyのどちらかを指定して,グループ・ポリシー・オブジェクト(GPO)にセキュリティ設定を再適用し最新の情報に更新する。machine_poricyではローカル・コンピュータのセキュリティ設定を,user_policyではログオン中のユーザーに関するセキュリティ設定を更新する。また,/enforceオプションでは,設定に変更がない場合も強制的に最新の情報に更新する。この/refreshpolicyを使ったオプションはWindows 2000のみで有効で,Windows XP以降ではgpupdateコマンドに代替されている。
/import /db ファイル名 /cfg ファイル名 [/overwrite] [/areas エリア1 エリア2...] [/log ファイル名] [/quiet]/dbオプションでコンピュータのセキュリティ・データベースを指定し,/cfgオプションで指定したテンプレートをインポートする。/overwriteオプションを指定した場合は,データベース内にある既存の内容をいったん消去する。/areasオプションではインポートの対象となる領域を「SECURITYPORICY」(アカウントポリシー,監査ポリシー,イベント・ログ設定,セキュリティ・オプション),「GROUP_MGMT」(制限されたグループの設定),「USER_RIGHTS」(ユーザー権利の割り当て),「REGKEYS」(レジストリのアクセス許可),「FILESTORE」(ファイル・システムのアクセス許可),「SERVICES」(システム・サービスの設定)のいずれか,あるいは複数の領域をスペース区切って指定できる。また,/logオプションで指定したファイルに処理の状態ログを出力することができる。逆に/quietオプションでは画面とログへの状態出力を行わずに処理を実行する。
/export [/db ファイル名] [/mergedpolicy] /cfg ファイル名 [/areas エリア1 エリア2...] [/log ファイル名]データベースに格納されているコンピュータのセキュリティ設定を/cfgオプションで指定したファイルにエクスポートする。/dbオプションで設定をエクスポートするデータベースを指定することができ,/mergedpolicyオプションではドメインとローカル・コンピュータのセキュリティ・ポリシー設定を結合してエクスポートできる。また,/areasオプションではエクスポートの対象となる領域を「SECURITYPORICY」(アカウントポリシー,監査ポリシー,イベント・ログ設定,セキュリティ・オプション),「GROUP_MGMT」(制限されたグループの設定),「USER_RIGHTS」(ユーザー権利の割り当て),「REGKEYS」(レジストリのアクセス許可),「FILESTORE」(ファイル・システムのアクセス許可),「SERVICES」(システム・サービスの設定)のいずれか,あるいは複数の領域をスペースで区切って指定できる。また,/logオプションで指定したファイルにエクスポート処理の状態ログを出力できる。
/validate ファイル名MMCスナップインの「セキュリティ・テンプレート」で作成したテンプレート・ファイルを指定して構文をチェックする。
/generaterollback /cfg ファイル名 /rbk ファイル名 [/log ファイル名] [/quiet]/cfgオプションで指定したセキュリティ・テンプレート・ファイルを対象としたロールバック・テンプレートを,/rbkオプションでファイル名を指定して作成する。また,/logオプションで指定したファイルに処理の状態ログを出力することができ,逆に/quietオプションでは画面とログへの状態出力を行わずに処理を実行する。この/generaterollbackはWindows XP,Windows Server 2003,Windows Vistaで有効なオプションである。
? | /? | helpコマンドのヘルプを表示する。

 使用例:ローカル・セキュリティ・ポリシーを構成する(クリックで詳細表示)  
secedit /configure /db データベース・ファイル名