Просмотр и редактирование шаблона безопасности
Щелкните на одном из стандартных шаблонов безопасности, которые вы видите в окне оснастки Шаблоны безопасности. Если вы хотите модифицировать какую-либо настройку безопасности, дважды щелкните на ней и отредактируйте значения параметров.
Создание пользовательского объекта в папке Файловая система или Реестр
Обратите внимание, что для этих папок в правом подокне отображаются не все объекты, а только те, которые представляют интерес с точки зрения политики безопасности.
Кроме того, важно отметить, что модель наследования дискреционного списка управления доступом (Discretionary Access Control List, DACL), принятая в Windows 2000, позволяет распространять действие настроек безопасности на дочерние объекты файловой системы или реестра, список которых приведен в шаблоне безопасности. Например, даже если каталог 96SystemRoot96\System32 не присутствует в списке объектов файловой системы шаблона securews, он унаследует настройки безопасности от своего родительского каталога %SystemRoot%, который определен в списке объектов.
Для того чтобы добавить объект в папку Файловая система:
- Выберите папку в окне структуры оснастки Шаблоны безопасности и нажмите правую кнопку мыши.
- В появившемся контекстном меню выберите команду Добавить файл (Add File).
- В открывшемся окне диалога Добавление файла или папки (Add file or Folder) выберите устройство или папку, которые вы хотите добавить в список объектов файловой системы, и нажмите кнопку ОК.
- В окне Безопасность базы данных можно выбрать пользователей и группы и задать им разрешения на указанный файл или папку. Нажмите кнопку ОК.
- Откроется окно диалога Параметры шаблона политики безопасности. Здесь можно выбрать один из способов применения устанавливаемой безопасности (например, Распространить наследуемые разрешения на все подпапки и файлы).
- Если нужно вернуться к настройкам разрешений, нажмите кнопку Изменить безопасность. Откроется стандартное окно редактора списков управления доступом (ACL). В нем можно установить необходимые значения параметров безопасности.
- После ввода необходимых значений нажмите кнопку ОК.
Следует отметить, что установленные вами настройки безопасности записываются в файл шаблона безопасности. Их работа начнется, только когда конфигурация, определенная данным шаблоном, будет активизирована в системе (например, импортирована в некоторую групповую политику).
Рис. 27.9 Выбор способа применения устанавливаемой безопасности
Ограничение доступа к группе
Для ограничения членства в группе:
- В окне оснастки Шаблоны безопасности выберите необходимый шаблон безопасности и откройте его. Укажите папку Группы с ограниченным доступом и нажмите правую кнопку мыши.
- Выберите команду Добавить группу (Add Group).
- В открывшемся окне диалога Добавление группы (Add Groups) введите имя нужной группы или нажмите кнопку Обзор и выберите группу из списка. Эта группа будет добавлена в список групп, членством в которых вы хотите управлять.
- Двойным щелчком выберите настраиваемую группу в правом подокне окна оснастки Шаблоны безопасности.
- В окне Настройка членства (Configure Membership) можно выбрать пользователей, которые имеют право быть членами конфигурируемой группы, а также указать, в какие группы входит данная группа (эта возможность отсутствует на изолированных компьютерах).
- Нажмите кнопку ОК и закройте окно.
Сохранение пользовательских шаблонов безопасности
Для сохранения откорректированного стандартного шаблона безопасности под другим именем:
- Укажите откорректированный стандартный шаблон и нажмите правую кнопку мыши.
- В появившемся контекстном меню выберите команду Сохранить как (Save As).
- Введите с клавиатуры новое имя файла (например, custom.inf). По умолчанию шаблоны безопасности располагаются в каталоге %SystemJRoot98\Security\Templates.
Пользовательский шаблон будет добавлен в определенную заранее конфигурацию безопасности и сохранен под введенным вами именем.