SCROLL
Среднее время на прочтение: 2 мин.

Как изменить стандартные права доступа для создаваемых групповых политик (GPO) в Windows Server 2008 R2/2012 R2

Разберем как модифицировать шаблон прав доступа, применяемых по-умолчанию к создаваемым групповым политикам. Этот шаблон хранится в AD Schema в объекте Group-Policy-Container, атрибуте defaultSecurityDescriptor.

 

По умолчанию, права на групповые политики предоставлены следующим группам:

Authenticated Users
Domain Admins
Enterprise Admins
ENTERPRISE DOMAIN CONTROLLERS
SYSTEM

Добавим в шаблон, права для группы Domain Computers, с разрешением Read.

[stextbox id=’info’]Информация: Для внесения изменений в Active Directory Schema ваша учетная запись должна входить в группу Schema Admins[/stextbox]

 

Запускаем консоль ADSIEdit.msc. Выбираем пункт меню Action Connect to и подключаем контекст Schema вашего домена:

 

JUQwJTkyJTIwJUQwJUI0JUQwJUI1JUQxJTgwJUQwJUI1JUQwJUIyJUQwJUI1JTIwJUQxJTgxJUQxJTg1JUQwJUI1JUQwJUJDJUQxJThCJTIwJUQwJUJGJUQwJUI1JUQxJTgwJUQwJUI1JUQxJTg1JUQwJUJFJUQwJUI0JUQwJUI4JUQwJUJDJTIwJUQwJUIyJTIwJUQxJTgwJUQwJUIwJUQwJUI3JUQwJUI0JUQwJUI1JUQwJUJCJUMyJUEwQ04lM0RTY2hlbWElMkMlQzIlQTBDTiUzRENvbmZpZ3VyYXRpb24lQzIlQTAlRDAlQjglMjAlRDAlQkQlRDAlQjAlRDElODUlRDAlQkUlRDAlQjQlRDAlQjglRDAlQkMlMjAlRDAlQkUlRDAlQjElRDElOEElRDAlQjUlRDAlQkElRDElODIlQzIlQTBDTiUzREdyb3VwLVBvbGljeS1Db250YWluZXIlM0E=

 

Переходим в контейнер и находим атрибут defaultSecurityDescriptor. В значении этого атрибута в формате SDDL (Security Descriptor Definition Language) хранятся разрешения, применяемые для создаваемых групповых политик.

 

[stextbox id=’info’]Информация: скопируйте строку SDDL, чтобы в случае чего можно вернуться к стандартному значению.[/stextbox]

 

JUQwJTkyJTIwJUQwJUJBJUQwJUJFJUQwJUJEJUQxJTg2JUQwJUI1JTIwJUQxJTgxJUQxJTgyJUQxJTgwJUQwJUJFJUQwJUJBJUQwJUI4JTIwJUQwJUIwJUQxJTgyJUQxJTgwJUQwJUI4JUQwJUIxJUQxJTgzJUQxJTgyJUQwJUIwJTIwU0RETCUyQyUyMCVEMCVCNCVEMCVCRSVEMCVCMSVEMCVCMCVEMCVCMiVEMCVCQiVEMSU4RiVEMCVCNSVEMCVCQyUyMCVEMCVCNyVEMCVCRCVEMCVCMCVEMSU4NyVEMCVCNSVEMCVCRCVEMCVCOCVEMCVCNSUzQQ==

(A;CI;LCRPLORC;;;DC)

JTVCc3RleHRib3glMjBpZCUzRCVFMiU4MCU5OWluZm8lRTIlODAlOTklNUQlRDAlOUYlRDAlQkUlRDElOEYlRDElODElRDAlQkQlRDAlQjUlRDAlQkQlRDAlQjglRDElOEYlM0E=

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

 

ПОНРАВИЛАСЬ ИЛИ ОКАЗАЛАСЬ ПОЛЕЗНОЙ СТАТЬЯ, ПОДДЕРЖИ АВТОРА ДОНАТОМ

Обсуждение

5 комментариев
  • а если у меня лес из 15 доменов. создана отдельная группа, которой делегировано право создания GPO в остальных доменах. Но при создании политики на вкладке делегирования присутствует только пользователь создавший её и дефолтовые разрешения. как вот эту созданную группу добавлять по умолчанию?

    • Это ответ на комментарий Max Ivanov

      вариант с созданием в каждом домене подобной группы и в каждую в группу добавить необходимых членов я рассмотрел. просто лениво создавать множество групп. хотелось бы узнать, чтобы можно было обойтись одной

      • Это ответ на комментарий Max Ivanov

        Все оказывается просто! Просто указываем SID необходимой группы и необходимые разрешения.

  • Спасибо! Весьма полезный гайд, как раз то, что искал!