SCROLL
Среднее время на прочтение: 2 мин.

Как изменить стандартные права доступа для создаваемых групповых политик (GPO) в Windows Server 2008 R2/2012 R2

Разберем как модифицировать шаблон прав доступа, применяемых по-умолчанию к создаваемым групповым политикам. Этот шаблон хранится в AD Schema в объекте Group-Policy-Container, атрибуте defaultSecurityDescriptor.

 

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

Authenticated Users
Domain Admins
Enterprise Admins
ENTERPRISE DOMAIN CONTROLLERS
SYSTEM

JUQwJTk0JUQwJUJFJUQwJUIxJUQwJUIwJUQwJUIyJUQwJUI4JUQwJUJDJTIwJUQwJUIyJTIwJUQxJTg4JUQwJUIwJUQwJUIxJUQwJUJCJUQwJUJFJUQwJUJEJTJDJTIwJUQwJUJGJUQxJTgwJUQwJUIwJUQwJUIyJUQwJUIwJTIwJUQwJUI0JUQwJUJCJUQxJThGJTIwJUQwJUIzJUQxJTgwJUQxJTgzJUQwJUJGJUQwJUJGJUQxJThCJTIwRG9tYWluJTIwQ29tcHV0ZXJzJTJDJTIwJUQxJTgxJTIwJUQxJTgwJUQwJUIwJUQwJUI3JUQxJTgwJUQwJUI1JUQxJTg4JUQwJUI1JUQwJUJEJUQwJUI4JUQwJUI1JUQwJUJDJTIwUmVhZC4=

JTVCc3RleHRib3glMjBpZCUzRCVFMiU4MCU5OWluZm8lRTIlODAlOTklNUQlRDAlOTglRDAlQkQlRDElODQlRDAlQkUlRDElODAlRDAlQkMlRDAlQjAlRDElODYlRDAlQjglRDElOEYlM0ElMjAlRDAlOTQlRDAlQkIlRDElOEYlMjAlRDAlQjIlRDAlQkQlRDAlQjUlRDElODElRDAlQjUlRDAlQkQlRDAlQjglRDElOEYlMjAlRDAlQjglRDAlQjclRDAlQkMlRDAlQjUlRDAlQkQlRDAlQjUlRDAlQkQlRDAlQjglRDAlQjklMjAlRDAlQjIlMjBBY3RpdmUlMjBEaXJlY3RvcnklMjBTY2hlbWElMjAlRDAlQjIlRDAlQjAlRDElODglRDAlQjAlMjAlRDElODMlRDElODclRDAlQjUlRDElODIlRDAlQkQlRDAlQjAlRDElOEYlMjAlRDAlQjclRDAlQjAlRDAlQkYlRDAlQjglRDElODElRDElOEMlMjAlRDAlQjQlRDAlQkUlRDAlQkIlRDAlQjYlRDAlQkQlRDAlQjAlMjAlRDAlQjIlRDElODUlRDAlQkUlRDAlQjQlRDAlQjglRDElODIlRDElOEMlMjAlRDAlQjIlMjAlRDAlQjMlRDElODAlRDElODMlRDAlQkYlRDAlQkYlRDElODMlQzIlQTBTY2hlbWElQzIlQTBBZG1pbnMlNUIlMkZzdGV4dGJveCU1RA==

 

Запускаем консоль ADSIEdit.msc. Выбираем пункт меню Action Connect to и подключаем контекст Schema вашего домена:

 

В дереве схемы переходим в раздел CN=Schema, CN=Configuration и находим объект CN=Group-Policy-Container:

 

Переходим в контейнер и находим атрибут defaultSecurityDescriptor. В значении этого атрибута в формате SDDL (Security Descriptor Definition Language) хранятся разрешения, применяемые для создаваемых групповых политик.

 

JTVCc3RleHRib3glMjBpZCUzRCVFMiU4MCU5OWluZm8lRTIlODAlOTklNUQlRDAlOTglRDAlQkQlRDElODQlRDAlQkUlRDElODAlRDAlQkMlRDAlQjAlRDElODYlRDAlQjglRDElOEYlM0ElMjAlRDElODElRDAlQkElRDAlQkUlRDAlQkYlRDAlQjglRDElODAlRDElODMlRDAlQjklRDElODIlRDAlQjUlMjAlRDElODElRDElODIlRDElODAlRDAlQkUlRDAlQkElRDElODMlMjBTRERMJTJDJTIwJUQxJTg3JUQxJTgyJUQwJUJFJUQwJUIxJUQxJThCJTIwJUQwJUIyJTIwJUQxJTgxJUQwJUJCJUQxJTgzJUQxJTg3JUQwJUIwJUQwJUI1JTIwJUQxJTg3JUQwJUI1JUQwJUIzJUQwJUJFJTIwJUQwJUJDJUQwJUJFJUQwJUI2JUQwJUJEJUQwJUJFJTIwJUQwJUIyJUQwJUI1JUQxJTgwJUQwJUJEJUQxJTgzJUQxJTgyJUQxJThDJUQxJTgxJUQxJThGJTIwJUQwJUJBJTIwJUQxJTgxJUQxJTgyJUQwJUIwJUQwJUJEJUQwJUI0JUQwJUIwJUQxJTgwJUQxJTgyJUQwJUJEJUQwJUJFJUQwJUJDJUQxJTgzJTIwJUQwJUI3JUQwJUJEJUQwJUIwJUQxJTg3JUQwJUI1JUQwJUJEJUQwJUI4JUQxJThFLiU1QiUyRnN0ZXh0Ym94JTVE

 

JUQwJTkyJTIwJUQwJUJBJUQwJUJFJUQwJUJEJUQxJTg2JUQwJUI1JTIwJUQxJTgxJUQxJTgyJUQxJTgwJUQwJUJFJUQwJUJBJUQwJUI4JTIwJUQwJUIwJUQxJTgyJUQxJTgwJUQwJUI4JUQwJUIxJUQxJTgzJUQxJTgyJUQwJUIwJTIwU0RETCUyQyUyMCVEMCVCNCVEMCVCRSVEMCVCMSVEMCVCMCVEMCVCMiVEMCVCQiVEMSU4RiVEMCVCNSVEMCVCQyUyMCVEMCVCNyVEMCVCRCVEMCVCMCVEMSU4NyVEMCVCNSVEMCVCRCVEMCVCOCVEMCVCNSUzQQ==

(A;CI;LCRPLORC;;;DC)

[stextbox id=’info’]Пояснения:

Тип доступа: A = Access Allowed
Флаг ACE: CI = Container Inherit
Разрешения: LC = List Contents RP = Read All Properties LO = List Object RC = Read Permissions
Субъект доступа: DC = Domain Computers
[/stextbox]

 

Чтобы применить изменения, нужно перезагрузить схему. Если оснастка AD Schema отсутствует, зарегистрируйте библиотеку regsvr32 schmmgmt.dll 

 

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

 

ПОНРАВИЛАСЬ ИЛИ ОКАЗАЛАСЬ ПОЛЕЗНОЙ СТАТЬЯ, ПОДДЕРЖИ АВТОРА ДОНАТОМ

Обсуждение

5 комментариев
  • а если у меня лес из 15 доменов. создана отдельная группа, которой делегировано право создания GPO в остальных доменах. Но при создании политики на вкладке делегирования присутствует только пользователь создавший её и дефолтовые разрешения. как вот эту созданную группу добавлять по умолчанию?

    • Это ответ на комментарий Max Ivanov

      вариант с созданием в каждом домене подобной группы и в каждую в группу добавить необходимых членов я рассмотрел. просто лениво создавать множество групп. хотелось бы узнать, чтобы можно было обойтись одной

      • Это ответ на комментарий Max Ivanov

        Все оказывается просто! Просто указываем SID необходимой группы и необходимые разрешения.

  • Спасибо! Весьма полезный гайд, как раз то, что искал!