Определение шаблонов безопасности с помощью шаблонов безопасности Snap-In

В этой статье приводится несколько действий по определению шаблонов безопасности с помощью оснастки «Шаблоны безопасности».

Исходная версия продукта: Windows Server 2003
Исходный номер КБ: 816297

Аннотация

В этой пошаговой статье описывается создание и определение нового шаблона безопасности с помощью оснастки «Шаблоны безопасности» в Microsoft Windows Server 2003.

С помощью оснастки «Шаблоны безопасности» можно создать политику безопасности для сети или компьютера с помощью шаблонов безопасности. Шаблон безопасности — это текстовый файл, который представляет конфигурацию безопасности. Можно применить шаблон безопасности к локальному компьютеру, импортировать шаблон безопасности в групповую политику или использовать шаблон безопасности для анализа безопасности. Можно использовать предопределяемый шаблон безопасности, включаемый в Windows Server 2003, изменять предопределяемый шаблон безопасности или создавать настраиваемый шаблон безопасности, содержащий нужные параметры безопасности. Шаблоны безопасности можно использовать для определения следующих компонентов:

Политики учетных записей

• Политика паролей
• Политика блокировки учетной записи
• Политика Kerberos

• Политика аудита
• Назначение прав пользователя
• Параметры безопасности

Журнал событий: параметры журнала событий приложений, системы и безопасности

Ограниченные группы: членство в группах, чувствительных к безопасности

Системные службы: режимы запуска и разрешения для системных служб

Реестр: разрешения для ключей реестра

Файловая система: разрешения файлов и папок

Добавление шаблонов безопасности Snap-In консоли управления (MMC)

Чтобы добавить оснастку «Шаблоны безопасности» в консоль MMC, выполните следующие действия.

Нажмите кнопку Пуск и выберите пункт Выполнить.

В поле «Открыть» введите mmc и нажмите кнопку «ОК».

В меню «Файл» выберите пункт «Добавить или удалить оснастку».

В диалоговом окне «Добавление и удаление оснастки» щелкните вкладку «Автономный» и нажмите кнопку «Добавить».

В диалоговом окне «Добавление автономных оснастки» щелкните «Шаблоны безопасности», «Добавить»,«Закрыть» и «ОК».

В дереве консоли разкроем шаблоны безопасности, а затем — %SystemRoot%\Security\Templates.

На правой области появится список предварительно заранее задав шаблоны безопасности и их описания.

Создание и определение нового шаблона безопасности

Чтобы определить новый шаблон безопасности, выполните следующие действия.

В дереве консоли разбейте шаблоны безопасности.

Щелкните правой кнопкой мыши %SystemRoot%\Security\Templates и выберите «Новый шаблон».

В поле «Имя шаблона» введите имя нового шаблона.

При этом можно ввести описание в поле «Описание» и нажать кнопку «ОК».

Новый шаблон безопасности отображается в списке шаблонов безопасности. Обратите внимание, что параметры безопасности для этого шаблона еще не определены. Если развернуть новый шаблон безопасности в дереве консоли, развернуть каждый компонент шаблона, а затем дважды щелкнуть каждый параметр безопасности, содержащийся в этом компоненте, в столбце «Параметр компьютера» появится состояние «Не определено».

Чтобы определить политики учетных записей, локальные политики или политики журнала событий, выполните следующие действия:

1. В дереве консоли раз expand the component that contains the security setting that you want to configure.
   Например, чтобы установить политику максимального возраста паролей, развяйте «Политики учетных записей».
2. В правой области дважды щелкните параметр безопасности, который необходимо настроить. Например, чтобы установить политику максимального возраста паролей, дважды щелкните «Политика паролей», а затем дважды щелкните «Максимальный возраст пароля».
3. Щелкните, чтобы выбрать параметр «Определить этот параметр политики» в окне «Шаблон», укажите нужный параметр или параметр, а затем нажмите кнопку «ОК».

Чтобы определить политику ограниченных групп, выполните следующие действия.

1. Щелкните правой кнопкой мыши «Ограниченные группы» и выберите «Добавить группу».
2. Нажмите кнопку Обзор.
3. В диалоговом окне «Выбор групп» введите имя группы, доступ к которую нужно ограничить, нажмите кнопку «ОК» и нажмите кнопку «ОК».
4. В диалоговом окне «Свойства GroupName» в группе «Участники» щелкните «Добавить участников», чтобы добавить в группу нужных участников.
   Чтобы добавить эту группу в качестве члена другой группы, в группе «Эта группа» нажмите кнопку «Добавить группы».
5. Нажмите кнопку ОК.

Чтобы определить политику системных служб, выполните следующие действия.

1. Развернуть системные службы.
2. В правой области дважды щелкните службу, которую нужно настроить.
3. Укажите нужные параметры и нажмите кнопку «ОК».

Чтобы определить безопасность для ключей реестра, выполните следующие действия.

1. Щелкните правой кнопкой мыши реестр и выберите «Добавить ключ».
2. В диалоговом окне «Выбор ключа реестра» щелкните нужный ключ реестра и нажмите кнопку «ОК».
3. В диалоговом окне «Безопасность базы данных для RegistryKey» укажите разрешения для ключа реестра и нажмите кнопку «ОК».
4. В диалоговом окне «Добавление объекта» укажите, как разрешения для этого ключа наследуются, нажмите кнопку «ОК» и нажмите кнопку «ОК».

Чтобы определить безопасность для файлов или папок, выполните следующие действия.

1. Щелкните правой кнопкой мыши файловую систему и выберите «Добавить файл».
2. В диалоговом окне «Добавление файла или папки» щелкните файл или папку, в которую нужно добавить безопасность, и нажмите кнопку «ОК».
3. В диалоговом окне «Безопасность базы данных для имени файла» или «Имя папки» укажите нужные разрешения, нажмите кнопку «ОК» и нажмите кнопку «ОК».

Копирование параметров безопасности из предопределяемого шаблона в другой шаблон

Чтобы скопировать параметры безопасности из стандартного шаблона в настраиваемый шаблон, выполните следующие действия.

В дереве консоли разойдите предварительно заранее заранее задав шаблон, содержащий параметры, которые нужно скопировать, щелкните правой кнопкой мыши компонент, который нужно скопировать, и выберите «Копировать».

В дереве консоли разместите настраиваемый шаблон, щелкните правой кнопкой мыши соответствующий компонент и выберите «Вставку».

Например, чтобы использовать параметры политик учетных записей из шаблона «Hisecdc» в пользовательском шаблоне, разверните «Hisecdc», щелкните правой кнопкой мыши «Политики учетных записей» и выберите «Копировать». Разйдите пользовательский шаблон, щелкните правой кнопкой мыши «Политики учетных записей» и выберите «Ветвь».

Создание нового шаблона безопасности на основе предопределеного шаблона

Чтобы создать новый шаблон безопасности на основе параметров из предопределяемого шаблона, сохраните предварительно заранее задав имя файла. Для этого выполните указанные ниже действия.

Щелкните правой кнопкой мыши шаблон, который нужно скопировать, и выберите «Сохранить как».

В диалоговом окне «Сохранить как» введите имя шаблона безопасности в поле «Имя файла» и нажмите кнопку «Сохранить».

Новый шаблон безопасности отображается в списке шаблонов безопасности. Настройте шаблон с нужными настройками.

Ссылки

Дополнительные сведения о шаблонах безопасности в Windows Server 2003 см. в разделе «Диспетчер конфигураций безопасности» в разделе «Безопасность» документации по Windows 2003 Server.

Snap-ins

An MMC console has no native system or network management functionality, but rather provides a common user interface for whatever management functionality it is populated with in the form of snap-ins.

A snap-in is a Component Object Model (COM) in-process server dynamic-link library (DLL). This COM interface is situated between MMC and the snap-in. MMC does not care how the snap-in communicates with the managed service. Snap-ins can communicate with the managed service through any data protocol that the managed service supports. MMC has no knowledge of the mechanism used for this communication. Both Microsoft developers and independent software vendors (ISVs) can create snap-ins.

There are two types of snap-ins:

A stand-alone snap-in, when loaded in a console, can perform its designated management task as the only snap-in loaded in the console.

An extension snap-in adds functionality to a stand-alone snap-in. Extension snap-ins can add their own nodes as children of the stand-alone snap-in’s node. They can also add context menu items, toolbar buttons, property pages, and taskpad tasks to the stand-alone snap-in’s node. Depending on the item extended, an extension snap-in can further be classified as any combination of the following:

• Namespace extension
• Context menu extension
• Toolbar extension
• Menu button extension
• Property page extension
• Taskpad extension

It is possible for a snap-in to operate as a stand-alone snap-in and also to extend the functionality of another snap-in as an extension snap-in. Snap-ins that take this double role are dual-mode snap-ins. For example, the Event Viewer snap-in reads the event logs of computers. If the Computer Management snap-in’s computer object exists in the console, the Event Viewer snap-in automatically extends each instance of the computer object and provides appropriate event logs. When the Event Viewer snap-in is used as a stand-alone snap-in, an administrator must manually provide a computer name when the snap-in is opened, and the snap-in simply provides the event logs of this one computer.

How to use the Disk Management Snap-in to manage Basic and Dynamic Disks

This article describes how to use the Disk Management Snap-in to manage Basic and Dynamic Disks.

Original product version: В Windows Server 2012 R2, Windows 10 — all editions
Original KB number: В 323442

Summary

You can use the Windows Server 2003 Disk Management snap-in tool to manage your hard disks and the volumes or partitions that they contain. With Disk Management, you can create and delete partitions; format volumes with the FAT, FAT32, or NTFS file systems; change basic disks to dynamic disks, and change dynamic disks back to basic disks; and create fault-tolerant disk systems. You can perform most disk-related tasks without having to restart your computer because most configuration changes take effect immediately. This article describes some of the more common disk storage management tasks that you can perform by using Disk Management.

Start Disk Management

You must be logged on as Administrator or a member of the Administrators group to use Disk Management.

Click Start, point to Administrative Tools, and then click Computer Management.

In the console tree, click Disk Management.

The Disk Management window that appears displays your disks and volumes in a graphical view or list view.

To customize whether you view your disks and volumes in the upper or lower pane of the window, point to Top or Bottom on the View menu, and then click the view that you want.

Before a new, unpartitioned disk can be used in Windows (partitioned or upgraded to Dynamic Disk), it must contain a disk signature. The first time that you run the Disk Management snap-in after a new hard disk is installed, the Disk Signature and Upgrade Disk Wizard starts. If you cancel the wizard, you may find that when you try to create a partition on the new hard disk, the Create Partition option is unavailable (appears dimmed).

How to Manage Basic Disks

Basic disk storage supports partition-oriented disks. A basic disk is a physical disk that contains basic volumes (primary partitions, extended partitions, or logical drives). On master boot record (MBR) disks, you can create up to four primary partitions on a basic disk, or up to three primary partitions and one extended partition. You can also use free space on an extended partition to create logical drives. On GUID partition table (GPT) disks, you can create up to 128 primary partitions. Because you are not limited to four partitions on GPT disks, you do not have to create extended partitions on logical drives.

Use basic disks, instead of dynamic disks, on computers that run Microsoft Windows XP Professional or a member of Windows Server 2003 that are configured to dual-boot or multi-boot with Microsoft Windows XP Home Edition, Microsoft Windows NT 4.0, Microsoft Windows Millennium Edition (Me), Microsoft Windows 98 or earlier, or Microsoft MS-DOS. These operating systems cannot access data that is stored on dynamic disks.

Windows Server 2003 operating systems and Windows XP Professional do not support multidisk basic volumes (such as spanned, mirrored, stripe sets, or stripe sets with parity) that were created by using Windows NT 4.0 or earlier.

Create a New Partition or Logical Drive

In the Disk Management window, choose one to create:

• To create a new partition, right-click unallocated space on the basic disk where you want to create the partition, and then click New Partition.

• To create a new logical drive, right-click free space on an extended partition where you want to create the logical drive, and then click New Logical Drive.

On the Welcome to the New Partition Wizard page, click Next.

On the Select Partition Type page, click the type of partition that you want to create, and then click Next.

On the Specify Partition Size page, specify the size in megabytes (MB) of the partition that you want to create, and then click Next.

On the Assign Drive Letter or Path page, enter a drive letter or drive path, and then click Next.

On the Format Partition page, specify the formatting options that you want, and then click Next.

On the Completing the New Partition Wizard page, verify that the options that you selected are correct, and then click Finish.

Disk Management creates the new partition or logical drive and displays it in the appropriate basic disk in the Disk Management window. If you chose to format the partition in step 6, the format process now starts.

Format a Partition or Logical Drive

1. In the Disk Management window, right-click the partition or logical drive that you want to format, and then click Format.
2. Specify the formatting options that you want, and then click OK.
3. Click OK when you are prompted to confirm the formatting changes.

View the Properties of a Partition or Logical Drive

1. In the Disk Management window, right-click the partition or logical drive that you want to view the properties of, and then click Properties.
2. Click the appropriate tab to view a property.

Delete a Partition or Logical Drive

In the Disk Management window, right-click the partition or logical drive that you want to delete, and then click Delete Partition or Delete Logical Drive.

Click Yes when you are prompted to confirm the deletion.

• When you delete a partition or logical drive, you delete all data on that partition or logical drive and the partition or logical drive itself.
• You cannot delete the system partition, the boot partition, or a partition that contains the active paging (swap) file.
• You cannot delete an extended partition unless the extended partition is empty. You must delete all logical drives before you can delete the extended partition.

Change a Basic Disk to a Dynamic Disk

Before you change a basic disk to a dynamic disk, note the following instructions:

• You must have at least 1 megabyte (MB) of unallocated disk space available on any master boot record (MBR) basic disk that you want to change to a dynamic disk.
• When you change a basic disk to a dynamic disk, you change the existing partitions on the basic disk to simple volumes on the dynamic disk.
• After you change a basic disk to a dynamic disk, you cannot change the dynamic volumes back to partitions. Delete all dynamic volumes on the disk first, and then change the dynamic disk back to a basic disk.
• Windows Server 2003 operating systems, Windows XP Professional, and Windows 2000 support dynamic disks. After you change a basic disk to a dynamic disk, you can only access the disk locally from these operating systems.

To change a basic disk to a dynamic disk:

In the graphical view of the Disk Management window, right-click the basic disk that you want to change, and then click Convert to Dynamic Disk.

To right-click the basic disk, you must right-click the gray area that contains the disk title at the left of the Disk Management details pane (for example, Disk 0).

Click to select the check box next to the disk that you want to change, and then click OK.

If you want to view the list of volumes in the disk, click Details in the Disks to Convert dialog box.

Click Yes when you are prompted to confirm the conversion, and then click OK.

How to Manage Dynamic Disks

Dynamic disk storage supports volume-oriented disks. A dynamic disk is a physical disk that contains dynamic volumes. With dynamic disks, you can create simple volumes, volumes that span multiple disks (spanned and striped volumes), and fault-tolerant volumes (mirrored and RAID-5 volumes). Dynamic disks can contain an unlimited number of volumes.

Local access to dynamic disks (and the data that they contain) is limited to computers that run Windows Server 2003 operating systems, Windows XP Professional, or Windows 2000. You cannot access or create dynamic volumes on computers that are configured to dual-boot or multi-boot a Windows Server 2003, Windows XP Professional, or Windows 2000 and one or more of Windows XP Home Edition, Windows NT 4.0 and earlier, Windows Millennium Edition, Windows 98 Second Edition and earlier, or MS-DOS.

You create dynamic disks when you use the Convert to Dynamic Disk command in Disk Management to change a basic disk.

Create a Simple Volume or Spanned Volume

In the Disk Management window, choose one to create:

• To create a simple volume, right-click unallocated space on the dynamic disk where you want to create the simple volume, and then click New Volume.

• To create a spanned volume, right-click unallocated space on the dynamic disk where you want to create the spanned volume, and then click New Volume.

On the Welcome to the New Volume Wizard page, click Next.

On the Select Volume Type page, click either Simple volume or Spanned volume, and then click Next.

On the Select Disks page, select one below:

• If you are creating a simple volume, verify that the disk that you want to create a simple volume on is listed in the Selected dynamic disks box.

If you are creating a spanned volume, click to select the disks that you want under All available dynamic disks, and then click Add.

Verify that the disks that you want to create a spanned volume on are listed in the Selected dynamic disks box.

In the Size box, specify the size (in MB) that you want for the volume, and then click Next.

On the Assign Drive Letter or Path page, enter a drive letter or drive path, and then click Next.

On the Format Volume page, specify the formatting options that you want, and then click Next.

On the Completing the New Volume Wizard page, make sure that the options that you selected are correct, and then click Finish.

Extend a Simple Volume or Spanned Volume

If you want to increase the size of a simple or spanned volume after you create it, you can extend it by adding unallocated free space on the dynamic disk. To extend a simple or spanned volume:

In the Disk Management window, right-click the simple or spanned volume that you want to extend, and then click Extend Volume.

On the Welcome to the Extend Volume Wizard page, click Next.

On the Select Disks page, click to select the disk or disks that you want to extend the volume on, and then click Add.

Verify that the disks that you want to extend the volume on are listed in the Selected dynamic disks box.

In the Size box, specify how much unallocated disk space (in MB) that you want to add, and then Next.

On the Completing the Extend Volume Wizard page, make sure that the options that you selected are correct, and then click Finish.

• You can only extend NTFS volumes or volumes that do not yet contain a file system.
• If you upgraded from Windows 2000 to Windows Server 2003 (or to Windows XP Professional), you cannot extend a simple or spanned volume that you originally created as a basic volume and then changed to a dynamic volume in Windows 2000.
• You cannot extend the system or boot volume.

Create a RAID-5 Volume

A RAID-5 volume is a fault-tolerant volume in which data and parity is striped across three or more physical disks. If part of one physical disk fails, you can recover the data on the failed disk by using the data and parity information on the functioning disks.

Format a Dynamic Volume

1. In the Disk Management window, right-click the dynamic volume that you want to format, and then click Format.
2. Specify the formatting options that you want, and then click OK.
3. Click OK when you are prompted to confirm the formatting changes.

View the Properties of a Dynamic Volume

1. In the Disk Management window, right-click the dynamic volume that you want to view the properties of, and then click Properties.
2. Click the appropriate tab to view a property.

Delete a Dynamic Volume

1. In the Disk Management window, right-click the dynamic volume that you want to delete, and then click Delete Volume.
2. Click Yes when you are prompted to confirm the deletion.

• When you delete a volume, you delete all data on the volume and the volume itself.
• You cannot delete the system volume, the boot volume, or any volume that contains the active paging (swap) file.

Change a Dynamic Disk Back to a Basic Disk

Before you can change a dynamic disk back to a basic disk, you must delete all volumes from the dynamic disk.

To change a dynamic disk back to a basic disk, right-click the dynamic disk that you want to change back to a basic disk in the Disk Management window, and then click Convert to Basic Disk.

To right-click the disk, right-click the gray area that contains the disk title at the left of the Disk Management details pane (for example, Disk 0 ).

Troubleshooting

When a disk or volume fails, Disk Management displays status descriptions of disks and volumes in the Disk Management window. These descriptions, which are shown in the following list, inform you of the current status of the disk or volume.

Online: It is the normal disk status when the disk is accessible and functioning correctly.

Healthy: It is the normal volume status when the volume is accessible and functioning correctly.

Online (Errors) (displayed with dynamic disks only): I/O errors may have been detected on the dynamic disk.

To resolve this issue, right-click the disk, and then click Reactivate Disk to return the disk to Online status.

Offline or Missing (displayed with dynamic disks only): The disk may be inaccessible. This issue may occur if the disk is corrupted or made temporarily unavailable.

To resolve this issue, repair any disk, controller, or connection problems, verify that the physical disk is turned on and correctly attached to the computer, right-click the disk, and then click Reactivate Disk to return the disk to Online status.

For a complete list of disk and volume status descriptions, see Disk Management Help. (In the Disk Management snap-in, click the Action menu, and then click Help. )