Windows Server 2022: Restore di un oggetto cancellato dal Cestino di Active Directory tramite PowerShell

Nell'articolo precedente Windows Server 2022: Restore di un oggetto cancellato dal Cestino di Active Directory abbiamo visto come recuperare, tramite GUI, un oggetto di AD eliminato e presente nel Cestino di Active Directory. In questo articolo vedremo come eseguire l'operazione mediante PowerShell.

La prima operazione da eseguire consiste nell'individuare gli oggetti cancellati presenti nel cestino di Active Directory (container Deleted Objects). Per farlo, è possibile utilizzare il cmdlet Get-ADObject con il parametro IncludeDeletedObjects. Il comando sarà simile a:

Get-ADObject -Filter 'isDeleted -eq $True -and -not (isRecycled -eq $True) -and name -ne "Deleted Objects"' -IncludeDeletedObjects 

FIG 1 - Individuare gli oggetti cancellati presenti nel cestino di AD

Se si conosce il tipo di oggetto da recuperare (user, computer, site, ecc) è possibile specificarlo all'interno del filtro. Ad esempio, volendo elencare i computer presenti nel cestino di AD potremmo utilizzare il seguente comando:

Get-ADObject -Filter 'objectClass -eq "computer" -and isDeleted -eq $True -and -not (isRecycled -eq $True) -and name -ne "Deleted Objects"' -IncludeDeletedObjects 

FIG 2 - Individuare gli oggetti computer cancellati presenti nel cestino di AD

Per ripristinare un oggetto cancellato presente all'interno del cestino di Active directory si utilizza il cmdlet Restore-ADObject. Al parametro -Identity è possibile passare la stringa ObjectGUID recuperata con il comando precedente Get-ADObject. Il comando sarà simile a:

Restore-ADObject -Confirm:$false -Identity:"d77006e7-4109-48dc-97a8-6b75140877c7"

FIG 3 - Ripristino oggetto cancellato

Google: Scaricare un Apk dal Play Store

Gli utenti di dispositivi Android possono scaricare e installare le app in diversi modi. Il metodo più comune è attraverso il Google Play Store, che offre un'ampia selezione di app verificate e sicure. Tuttavia, è anche possibile scaricare app da altri siti (store alternativi) o eseguendo, direttamente sullo smartphone, gli installer in formato Apk (disabilitando, almeno temporaneamente, le funzioni di protezione e sicurezza integrate nel sistema operativo).

I file APK possono essere scaricati da portali alternativi o dai siti Web degli sviluppatori che li mettono a disposizione ma possono essere ottenuti anche dal Google Play Store tramite strumenti di terze parti. Scaricare i file .apk può essere utile per poter effettuare l'installazione manualmente, magari in un secondo momento o semplicemente per installare l'app su un dispositivo non connesso ad Internet.

Il primo passo per scaricare un file APK dal Google Play Store consiste nell'individuare l’indirizzo Url della pagina relativa all’app desiderata: aprire l’indirizzo https://play.google.com in un browser Web e cercare l’app o il gioco desiderato.

FIG 1 - Google Play Store

Copiare l’Url dalla barra degli indirizzi, accedere alla pagina https://apkcombo.com/downloader e incollare l’indirizzo Url nella casella di testo in alto.

FIG 2 - Apkcombo downloader

Nelle caselle sottostanti è possibile specificare il tipo di device (Phone, Tablet, Tv), l'architettura (armeabi-v7a, arm64-v8a,x86, x86_64) e la versione di Android. Solitamente non è necessario specificare tale impostazioni avanzate ma può tornare utile nel caso l'APK scaricato non dovesse funzionare correttamente.

FIG 3 - Apkcombo downloader, Android Device Configuration

Cliccare su Generate Download Link. Una volta completata la generazione del link non resta che cliccare sull’icona della freccia verso il basso per avviare il download dell'APK.

FIG 4 - Apkcombo downloader, Download

Windows Server 2022: Restore di un oggetto cancellato dal Cestino di Active Directory

Un oggetto in AD eliminato può essere recuperato velocemente se nella propria infrastruttura è stato abilitato il cestino di Active Directory (si veda articolo Windows Server 2022: Abilitare il cestino di Active Directory).

Per procedere al restore di un oggetto eliminato:

Da Server Manager cliccare sul menu Strumenti e selezionare Centro di amministrazione di Active Directory. In alternativa premere la combinazione di tasti WIN+R, digitare dsac.exe e premere invio.

FIG 1 - Server Manager

Dal navigation pane (sul lato sinistro della finestra) selezionare il proprio dominio quindi eseguire un doppio click sul container Deleted Objects.

FIG 2 - Centro di amministrazione di Active Directory, container Deleted Objects

Cliccare, con il tasto destro del mouse, sull'oggetto che si intende recuperare e, dal menu contestuale, selezionare l'opzione Ripristina. L'oggetto sarà ripristinato all'interno del container/OU da cui era stato eliminato. Selezionando Ripristina in, sarà possibile selezionare manualmente il container nel quale l'oggetto sarà ripristinato (FIG 4).

FIG 3 - Centro di amministrazione di Active Directory, ripristina oggetto eliminato

FIG 4 - Ripristina in

Windows Server 2022: Abilitare il cestino di Active Directory

Per default tutti gli oggetti che vengono cancellati in Active Directory non possono essere recuperati. Chi ha avuto la sfortuna di cancellare accidentalmente un oggetto in AD e dovuto recuperarlo da un backup del server, sa bene che si tratta di un'operazione tutt'altro che semplice e veloce. Fortunatamente, a partire da Windows Server 2008 R2, Microsoft ha introdotto il cestino per Active Directory che permette il recupero degli oggetti cancellati in modo analogo a quanto avviene con il cestino di Windows per file e cartelle. Tale funzionalità è disattivata per default e va attivata manualmente. La procedura per abilitare il cestino di Active Directory è la stessa vista per Windows Server 2019.

Prima di attivare la funzione è necessario che siano rispettati alcuni prerequisiti e bisogna tenere in considerazione alcuni limiti.

Prerequisiti Cestino di Active Directory

• Almeno un Domain Controller deve avere Windows Server 2012 R2 con Centro di amministrazione di Active Directory.
• Tutti gli altri Domain Controller all'interno del dominio devono avere almeno Windows Server 2008 R2 o superiore.
• Il livello funzionale della foresta deve essere Windows Server 2008 R2 o superiore.

In Windows Server 2008 R2 il cestino di Active Directory poteva essere gestito solamente tramite PowerShell. A partire da Windows Server 2012 R2 il cestino può essere gestito tramite interfaccia grafica del Centro di amministrazione di Active Directory rendendo più semplice l'operazione di recupero degli oggetti cancellati.
Quando non è abilitato il cestino di Active Directory e si cancella un oggetto, questo viene contrassegnato per la cancellazione (tombstoned). Tali oggetti vengono definitivamente eliminati solo quando verrà eseguito il processo di garbacecollection.

Con il cestino di Active Directory abilitato, quando si cancella un oggetto questo viene contrassegnato come oggetto cancellato per l'arco di tempo specificato dalla proprietà msDS-DeletedObjectLifetime in Active Directory Domain Services (di default è nulla). Scaduto il tempo indicato in msDS-DeletedObjectLifetime  l'oggetto viene contrassegnato come recycled e i suoi attributi vengono rimossi. L'oggetto risiede ancora nel cestino e può essere recuperato per la durata della sua vita definita dall'attributo tombstoneLifetime in Active Directory DS. Quando viene abilitato il cestino di Active Directory, gli oggetti preesistenti e contrassegnati per la cancellazione (tombstoned) vengono convertiti in oggetti recycled tuttavia non potranno essere recuperati come qualsiasi altro oggetto recycled.

Limiti

Il Centro di amministrazione di Active Directory è in grado di gestire solo partizioni di dominio pertanto non è possibile ripristinare oggetti eliminati dalle partizioni di configurazione, DNS del dominio o DNS della foresta (non è possibile eliminare oggetti dalla partizione dello schema). Per ripristinare gli oggetti da partizioni non di dominio, è possibile usare il cmdlet Restore-ADObject di PowerShell.

Nel Centro di amministrazione di Active Directory non è possibile ripristinare sottoalberi di oggetti in un'unica operazione. Se ad esempio si elimina un'unità organizzativa con unità amministrative, utenti, gruppi e computer annidati, il ripristino dell'unità organizzativa di base non ripristina gli oggetti figlio.

Il Cestino di Active Directory comporta un aumento delle dimensioni del database di Active Directory (NTDS.DIT) in ogni controller di dominio della foresta. Lo spazio su disco usato dal cestino continua ad aumentare nel tempo, in quanto conserva gli oggetti e tutti i dati degli attributi.

Abilitare il cestino di Active Directory tramite Centro di amministrazione di Active Directory

Da Server Manager cliccare sul menu Strumenti e selezionare Centro di amministrazione di Active Directory. In alternativa premere la combinazione di tasti WIN+R, digitare dsac.exe e premere invio.

FIG 1 - Server Manager

Selezionare il proprio dominio quindi, sul pannello delle Attività presente sulla destra della finestra, cliccare su Abilita Cestino....

FIG 2 - Centro di amministrazione di Active Directory

Una finestra di dialogo ci avvisa che l'operazione non è reversibile: una volta abilitato il cestino di Active Directory non potrà essere più disabilitato. Confermare cliccando su OK per proseguire.

FIG 3 - Conferma abilitazione cestino AD

Una nuova finestra di dialogo avvisa l'utente che il cestino non sarà disponibile finché l'abilitazione non verrà replicata a tutti i Domain Controller della foresta e non verrà aggiornato il Centro di amministrazione di Active Directory. Cliccare su OK.

FIG 4 - Abilitazione cestino AD

Terminata la replica dell'abilitazione basta cliccare sull'apposto link per aggiornare le informazioni visualizzate nella finestra del Centro di amministrazione di Active Directory e vedremo apparire un nuovo container nominato Deleted Objects. Da questo momento gli oggetti eliminati da AD potranno essere recuperati all'interno di tale container.

FIG 5 - Centro di amministrazione di Active Directory, Container Deleted Objects

Abilitare il cestino di Active Directory tramite PowerShell

In alternativa al Centro di amministrazione di Active Directory è possibile abilitare il cestino di AD tramite PowerShell e l'utilizzo del cmdlet Enable-ADOptionalFeature. 
Da Windows PowerShell avviato come amministratore eseguire il comando 
Enable-ADOptionalFeature –Identity 'CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=mycompany,DC=local' –Scope ForestOrConfigurationSet –Target 'mycompany.local'
Rispondere affermativamente alla richiesta di esecuzione dell'operazione.

FIG 6 - Abilitazione del cestino di Active Directory mediante PowerShell

Dopo aver atteso i tempi di replica dal Centro di amministrazione di Active Directory sarà visibile il nuovo container Deleted Objects.

Windows Server 2022: Introduzione alle Group Policy (GPO)

In aziende medio-grandi, la modifica manuale delle impostazioni sui singoli computer diventa un compito impossibile. È qui che entrano in gioco le Group Policy (Criteri di gruppo).

I Criteri di gruppo consentono di creare un criterio e di indirizzarlo agli utenti o ai sistemi all'interno di unità organizzative (OU), gruppi di sicurezza o persino su base individuale. 

Le Group Policy sono un insieme di regole che controllano l'ambiente di lavoro degli utenti e dei computer fornendo una gestione centralizzata e consentendo la configurazione dei sistemi operativi, impostazioni degli utenti e applicazioni in un ambiente Active Directory. In pratica le Group Policy stabiliscono, in parte, cosa l'utente può e non può fare su un computer del dominio e possono essere utilizzate, ad esempio, per bloccare l'accesso al pannello di controllo/gestione attività, impedire/autorizzare l'accesso a cartelle condivise, disabilitare il download di file eseguibili, consentire l'installazione automatica di software, implementare restrizioni su quote disco, sulla lunghezza della password, gestire le impostazioni di BitLocker e tanto altro. Le Group policy vengono gestite tramite lo strumento Gestione Criteri di gruppo (Group Policy Management Console o GPMC) e create/modificate tramite l'Editor Gestione Criteri di gruppo (Group Policy Management Editor o GPME).

Prima di mostrare come creare le Group Policy è bene chiarire e approfondire alcuni concetti basilari.

Le Group Policy vengono configurate e distribuite dagli amministratori di dominio mediante la creazione di oggetti Criteri di gruppo (Group Policy Object o GPO). Gli oggetti Criteri di gruppo sono container per gruppi di impostazioni (policy settings) che possono essere applicate agli account utente, agli account computer o ad entrambi attraverso Active Directory. Tali oggetti vengono creati utilizzando l'Editor Gestione Criteri di gruppo (GPME) che viene invocato quando si modifica un GPO all'interno dello strumento Gestione Criteri di gruppo (GPMC). 

Contrariamente a quanto possa far credere il nome, gli oggetti Criteri di gruppo non sono affatto orientati al gruppo: non è possibile applicarli direttamente ai gruppi. Possono essere applicati a livello locale, a siti, ai domini e alle OU (Microsoft li abbrevia con LSDOU: Locale, Sito, Dominio, OU) all'interno di una data foresta. 

Le Group Policy applicano le impostazioni nel seguente ordine prestabilito:

1. Criteri locali (impostati da gpedit.msc)
2. Criteri del sito
3. Criteri di dominio
4. Criteri delle OU

Si tratta di un approccio all'elaborazione dall'alto verso il basso: dopo l'applicazione dei criteri locali, le GPO del sito sono le più ampie, seguite dalle GPO del dominio e quindi dalle GPO dell'OU. La maggior parte degli amministratori di sistema ha esperienza nella gestione delle GPO a livello di dominio e OU. Un problema comune che si verifica è quando un amministratore di sistema apporta una modifica a un criterio a livello di dominio, ma la modifica non sembra essere applicata. La causa più comune è un criterio a livello di OU che sovrascrive l'impostazione del criterio di dominio.

L'assegnazione delle policy viene anche chiamata linking. Il rapporto tra GPO e LSDOU può essere del tipo molti a uno (ad es. più GPO assegnati ad un sola OU) o di uno a molti (ad es. una sola GPO assegnata a più OU). Quando viene assegnato un oggetto Group Policy ad un'unità organizzativa questo agisce su tutti gli account in essa contenuti e sulle OU sottostanti.  

Affermare che i Criteri di Gruppo/GPO vengono memorizzati all'interno di Active Directory non è del tutto corretto. Gli oggetti Criteri di gruppo vengono memorizzati in due posti distinti: all'interno di un container di Group Policy (Group Policy Container o GPC) e all'interno di un Group Policy Template (GPT). Il GPC è memorizzato all'interno del database Active Directory e contiene informazioni sulla proprietà, versione, stato e una lista dei componenti. Il GPT, invece, viene conservato all'interno della cartella Windows\SYSVOL\sysvol\<Nome del dominio>\Policies\GUID\ dove GUID rappresenta il Global Unique Identifier dell'oggetto Criteri di gruppo. Tale cartella contiene impostazioni amministrative, impostazioni di sicurezza, informazioni sulle applicazioni disponibili, impostazioni del registro di sistema, script e altro.

Anche se una Group Policy può contenere numerose impostazioni è buona norma configurarne solo un numero ristretto. Le Group Policy sono cumulative e supportano l'ereditarietà (possono essere ereditate dai container superiori in Active Directory). Le policy vengono applicate in background. Generalmente il computer effettua un refresh delle policy ogni 90 minuti ma è possibile forzarne la sincronizzazione tramite il comando gpupdate /force dal Prompt dei comandi. I domain controller, a differenza dei normali computer, eseguono il refresh delle Group Policy ogni 5 minuti. Un eccezione alla regola viene fatta per le policy che includono il reindirizzamento di cartelle, l'installazione del software, l'applicazione di script, impostazioni Stampanti e dischi di rete mappati. Tali policy, infatti, vengono applicate solo al logon dell'utente (per gli account utente) o all'avvio del sistema (per gli account computer).

Le Group Policy vengono replicate automaticamente. L'Active Directory viene replicato utilizzando AD Replication (controllato da Knowledge Consistency Checker e Intersite Topology Generator) ed è controllato dal servizio File Replication o dal servizio Distributed File Replication.

Le impostazioni specificate all'interno di un oggetto Group Policy vengono scritte all'interno del registro di sistema e vengono eliminate quando l'impostazione della policy viene eliminata o l'oggetto Group Policy viene cancellato. Tale comportamento previene l'effetto "tattooing", un tempo presente, che costringeva gli amministratori a creare un nuovo GPO per annullare le impostazioni di un GPO cancellato. 

Nell'Editor Gestione Criteri di gruppo le impostazioni, sia per il computer che per l'utente, possono essere configurate con Criteri e Preferenze. Le principali differenze tra i due tipi di configurazioni sono riportate nella seguente tabella.

Criteri	Preferenze
Quando un criterio dei Criteri di gruppo non è più applicabile, l'impostazione viene rimossa e viene ripristinato il valore originale.	Quando una preferenza dei Criteri di gruppo non è più applicabile, l'impostazione rimane nel registro.
Quando un criterio dei Criteri di gruppo è impostato su un determinato valore per un'applicazione, quest'ultima utilizza il valore impostato dal criterio. Se il criterio viene rimosso, l'applicazione utilizzerà il valore originale.	Quando una preferenza dei Criteri di gruppo è impostata su un determinato valore per un'applicazione, sovrascrive il valore predefinito dell'applicazione. Se la preferenza viene rimossa, il valore dell'applicazione rimane invariato.
Quando un criterio dei Criteri di gruppo viene utilizzato per applicare le impostazioni, gli utenti visualizzano opzioni in grigio per informarli che l'impostazione è gestita dai loro amministratori.	Quando una preferenza dei Criteri di gruppo viene utilizzata per applicare le impostazioni, gli utenti possono modificarle manualmente. Criteri di gruppo non riapplicherà il valore configurato dopo la prima applicazione.

FIG 1 - Editor Gestione Criteri di gruppo

Fin dal rilascio di Windows Server 2000, le Group Policy hanno permesso agli amministratori di rete di poter configurare in maniera centralizzata i computer della propria organizzazione. Tuttavia esiste un modo più recente di configurare i sistemi: PowerShell Desired State Configuration (DSC).

Per evitare conflitti tra i due metodi, i Criteri di gruppo e PowerShell DSC non devono essere utilizzati contemporaneamente per settare impostazioni sugli stessi sistemi. In un ambiente aziendale che utilizza già i Criteri di gruppo,  è consigliabile proseguire con tale metodo. Se, invece, si sta configurando un ambiente da zero, allora PowerShell DSC potrebbe essere la scelta migliore. 

Nei prossimi articoli approfondirò il discorso sui Criteri di gruppo mentre Powershell DSC è un argomento che tratterò più avanti.

Windows 11: Disabilitare la scritta Requisiti di sistema non sono soddisfatti

Windows 11 è stato ufficialmente rilasciato il 5 Ottobre 2021. Tra le numerose novità introdotte all'interno del sistema operativo Microsoft, spiccano i potenziamenti della sicurezza per rendere il nuovo Windows più sicuro e resistente agli attacchi informatici. Per tale motivo, a detta di Microsoft, Windows 11 è estremamente esigente riguardo alle specifiche hardware del computer. I requisiti minimi richiesti da Windows 11 potevano rappresentare un problema per le configurazioni disponibili qualche anno fa. Se i requisiti minimi sono stati ignorati e l'installazione di Windows 11 è stata forzata anche su sistemi non compatibili, potrebbe apparire il messaggio 

Requisiti di sistema non sono soddisfatti. Vai a Impostazioni per altre informazioni.

nell’angolo inferiore destro del desktop.

Per far sparire il messaggio relativo ai requisiti non soddisfatti è possibile procedere tramite il registro di sistema o tramite i criteri di gruppo.

Metodo 1 - Registro di sistema

• Avviare l'Editor del registro di sistema (WIN+R e digitare regedit seguito da invio); 
• Posizionarsi sulla seguente chiave di registro
  HKEY_CURRENT_USER\Control Panel\UnsupportedHardwareNotificationCache
• Eseguire un doppio click sul valore DWORD denominato S2 e modificare il suo valore da 1 a 0 quindi cliccare su OK. Nelle versioni più vecchie di Windows 11 il valore DWORD da modificare è denominato S1.
• Per rendere effettive le modifiche potrebbe essere necessario riavviare explorer.exe o l'intero sistema.

In alternativa, da riga di comando è possibile eseguire il comando

reg add "HKCU\Control Panel\UnsupportedHardwareNotificationCache" /v SV2 /t REG_DWORD /d 0 /f

oppure, per le versioni meno recenti di Windows 11

reg add "HKCU\Control Panel\UnsupportedHardwareNotificationCache" /v SV1 /t REG_DWORD /d 0 /f

Metodo 2 - Criteri di Gruppo

Per modificare Criteri di gruppo al fine di disattivare la filigrana dei requisiti minimi di sistema, procedere come segue:

• Avviare l'Editor Criteri di gruppo locali (WIN+R e digitare gpedit.msc seguito da Invio).
• Posizionarsi su Criteri computer locali -> Configurazione computer -> Modelli amministrativi -> Sistema.
• Cliccare due volte su Nascondi i messaggi quando i requisiti di sistema di Windows non sono soddisfatti quindi selezionare Attivata e confermare cliccando su OK. 

Abilitando questa impostazione dai criteri di gruppo, i messaggi relativi ai requisiti minimi di sistema non verranno più visualizzati sul desktop o in Impostazioni.

FIG 1 -  Nascondi i messaggi quando i requisiti di sistema di Windows non sono soddisfatti

Windows: Ripristinare i permessi degli utenti

La possibilità di poter reimpostare le autorizzazioni dell'utente in ambiente Windows può rivelarsi preziosa per risolvere problemi relativi all’accesso ad applicazioni o a documenti. Ad esempio, nel caso in cui si verifichino problemi con il profilo utente, potremmo non riuscire più ad accedere a particolari file o ad avviare alcune applicazioni in quanto non siamo autorizzati. Oppure potremmo dover accedere a un file proveniente da un vecchio backup o da un altro computer e che quindi è stato creato con un utente diverso; anche in questo caso, potrebbe non essere possibile accedere al file senza prima reimpostare le autorizzazioni utente di default. Windows offre diverse modalità per eseguire questa operazione. In questo articolo verrà mostrato come farlo tramite gli strumenti icacls e secedit.

ICACLS

Icacls è il sostituto di cacls (Change Access Control Lists), un'utilità a riga di comando che consente di mostrare ed eseguire alcune operazioni sulle ACL di file o directory.

L'ACL (Access Control List) è un elenco di permessi per un oggetto del filesystem e definisce il modo in cui la sua sicurezza viene controllata gestendo chi e come può accedervi.

Le operazioni sulle ACL non sono le uniche possibili con questo strumento. Ciò che rende icacls uno strumento potente è anche la possibilità di eseguire operazioni di backup e ripristino su ACL per file o directory, o di cercare i file che hanno un utente specifico come proprietario. Inoltre, nel caso in cui una ACL venga danneggiata o distrutta, con icacls è possibile ripristinarla resettandola e impostando i permessi predefiniti o ereditando quelli del genitore.

Icacls è un comando nativo di Windows a partire da Windows Vista.

Supponiamo di avere una pendrive contenente una cartella Backup a cui non riusciamo ad accedere per la mancanza di autorizzazioni.

Provando ad accedere alla cartella verrà visualizzato il messaggio di FIG 1

FIG 1

FIG 1 - Non si dispone della autorizzazioni necessarie

In questi casi possiamo provare ad eseguire il reset delle autorizzazioni tramite icacls:

• Avviare un prompt dei comandi come amministratore.
• Posizionarsi sulla pendrive, quindi digitare il seguente comando per il ripristino delle autorizzazioni
  icacls * /t /q /c /reset
  il carattere jolly (*) include tutte le sottocartelle della directory corrente;
  /t estende la modifica alle sottocartelle e ai file all’interno della cartella corrente;
  /q esegue il comando senza visualizzare messaggi di conferma;
  /c consente di continuare l’operazione anche in caso di errori;
  /reset, infine, ripristina i valori predefiniti delle opzioni di autorizzazione.
  

  

  FIG 2 - Accesso negato

  
  
• Se, come in questo caso, il comando dovesse restituire il messaggio di Accesso negato è necessario acquisire prima la proprietà delle cartelle interessate attraverso il comando takeown. Eseguire il comando
  takeown /R /F *
  quindi digitare S seguito da Invio per confermare la sostituzione delle autorizzazioni. Il parametro /R esegue un'operazione ricorsiva su tutti i file nella directory e nelle sottodirectory specificate, mentre /F permette di specificare il nome file o nome della directory (il carattere jolly permette di includere tutti i file e le sottocartelle della directory corrente).

Secedit

Secedit (Security Configuration Editor) è un’utilità di sistema integrata in Windows che consente di configurare e analizzare la sicurezza del sistema, dei file e delle cartelle.  Con secedit è possibile applicare e modificare set di regole di sicurezza definite tramite appositi modelli: file in formato .inf o .sdb. I file .inf sono file testuali editabili con un comune editor di testo, mentre i file .sdb sono veri e propri database.

Generalmente il comando viene utilizzato dagli amministratori di sistema per automatizzare la gestione delle politiche di sicurezza del sistema operativo o per ripristinare le impostazioni predefinite di Windows. Il comando va utilizzato con attenzione e può essere utile nei casi in cui il sistema operativo Microsoft non risponde più come dovrebbe per via dei permessi non assegnati in modo corretto. Ad esempio, sui sistemi windows che non permettono l'accesso alle cartelle (comprese quelle di sistema) e/o sui sistemi che sembrano sprovvisti di account amministrativi in grado di compiere operazioni con privilegi elevati.

Per riportare le impostazioni predefinite di tutte le autorizzazioni utente tramite il comando Secedit:

• Avviare un prompt dei comandi come amministratore.
• Eseguire il comando
  secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb /verbose
  per procedere alla riconfigurazione automatica utilizzando le direttive contenute nel file di configurazione defltbase.inf e creando poi il database di sicurezza defltbase.sdb per archiviare le impostazioni.
• Al termine, bisognerà riavviare il computer e le autorizzazioni utente verranno ripristinate alle impostazioni di sistema predefinite.