Как изменить стандартные права доступа для создаваемых групповых политик (GPO) в Windows Server 2008 R2/2012 R2
Разберем как модифицировать шаблон прав доступа, применяемых по-умолчанию к создаваемым групповым политикам. Этот шаблон хранится в AD Schema в объекте Group-Policy-Container, атрибуте defaultSecurityDescriptor.
JUQwJTlGJUQwJUJFJTIwJUQxJTgzJUQwJUJDJUQwJUJFJUQwJUJCJUQxJTg3JUQwJUIwJUQwJUJEJUQwJUI4JUQxJThFJTJDJTIwJUQwJUJGJUQxJTgwJUQwJUIwJUQwJUIyJUQwJUIwJTIwJUQwJUJEJUQwJUIwJTIwJUQwJUIzJUQxJTgwJUQxJTgzJUQwJUJGJUQwJUJGJUQwJUJFJUQwJUIyJUQxJThCJUQwJUI1JTIwJUQwJUJGJUQwJUJFJUQwJUJCJUQwJUI4JUQxJTgyJUQwJUI4JUQwJUJBJUQwJUI4JTIwJUQwJUJGJUQxJTgwJUQwJUI1JUQwJUI0JUQwJUJFJUQxJTgxJUQxJTgyJUQwJUIwJUQwJUIyJUQwJUJCJUQwJUI1JUQwJUJEJUQxJThCJTIwJUQxJTgxJUQwJUJCJUQwJUI1JUQwJUI0JUQxJTgzJUQxJThFJUQxJTg5JUQwJUI4JUQwJUJDJTIwJUQwJUIzJUQxJTgwJUQxJTgzJUQwJUJGJUQwJUJGJUQwJUIwJUQwJUJDJTNB
Authenticated Users Domain Admins Enterprise Admins ENTERPRISE DOMAIN CONTROLLERS SYSTEM
JUQwJTk0JUQwJUJFJUQwJUIxJUQwJUIwJUQwJUIyJUQwJUI4JUQwJUJDJTIwJUQwJUIyJTIwJUQxJTg4JUQwJUIwJUQwJUIxJUQwJUJCJUQwJUJFJUQwJUJEJTJDJTIwJUQwJUJGJUQxJTgwJUQwJUIwJUQwJUIyJUQwJUIwJTIwJUQwJUI0JUQwJUJCJUQxJThGJTIwJUQwJUIzJUQxJTgwJUQxJTgzJUQwJUJGJUQwJUJGJUQxJThCJTIwRG9tYWluJTIwQ29tcHV0ZXJzJTJDJTIwJUQxJTgxJTIwJUQxJTgwJUQwJUIwJUQwJUI3JUQxJTgwJUQwJUI1JUQxJTg4JUQwJUI1JUQwJUJEJUQwJUI4JUQwJUI1JUQwJUJDJTIwUmVhZC4=
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
Запускаем консоль ADSIEdit.msc. Выбираем пункт меню Action — Connect to и подключаем контекст Schema вашего домена:
В дереве схемы переходим в раздел CN=Schema, CN=Configuration и находим объект CN=Group-Policy-Container:
Переходим в контейнер и находим атрибут defaultSecurityDescriptor. В значении этого атрибута в формате SDDL (Security Descriptor Definition Language) хранятся разрешения, применяемые для создаваемых групповых политик.
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
JUQwJTkyJTIwJUQwJUJBJUQwJUJFJUQwJUJEJUQxJTg2JUQwJUI1JTIwJUQxJTgxJUQxJTgyJUQxJTgwJUQwJUJFJUQwJUJBJUQwJUI4JTIwJUQwJUIwJUQxJTgyJUQxJTgwJUQwJUI4JUQwJUIxJUQxJTgzJUQxJTgyJUQwJUIwJTIwU0RETCUyQyUyMCVEMCVCNCVEMCVCRSVEMCVCMSVEMCVCMCVEMCVCMiVEMCVCQiVEMSU4RiVEMCVCNSVEMCVCQyUyMCVEMCVCNyVEMCVCRCVEMCVCMCVEMSU4NyVEMCVCNSVEMCVCRCVEMCVCOCVEMCVCNSUzQQ==
(A;CI;LCRPLORC;;;DC)
[stextbox id=’info’]Пояснения:
Тип доступа: A = Access Allowed
Флаг ACE: CI = Container Inherit
Разрешения: LC = List Contents RP = Read All Properties LO = List Object RC = Read Permissions
Субъект доступа: DC = Domain Computers
[/stextbox]
Чтобы применить изменения, нужно перезагрузить схему. Если оснастка AD Schema отсутствует, зарегистрируйте библиотеку regsvr32 schmmgmt.dll
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
ПОНРАВИЛАСЬ ИЛИ ОКАЗАЛАСЬ ПОЛЕЗНОЙ СТАТЬЯ, ПОДДЕРЖИ АВТОРА ДОНАТОМ
а если у меня лес из 15 доменов. создана отдельная группа, которой делегировано право создания GPO в остальных доменах. Но при создании политики на вкладке делегирования присутствует только пользователь создавший её и дефолтовые разрешения. как вот эту созданную группу добавлять по умолчанию?
вариант с созданием в каждом домене подобной группы и в каждую в группу добавить необходимых членов я рассмотрел. просто лениво создавать множество групп. хотелось бы узнать, чтобы можно было обойтись одной
Все оказывается просто! Просто указываем SID необходимой группы и необходимые разрешения.
Спасибо! Весьма полезный гайд, как раз то, что искал!
Рад что статья оказалась полезной !