Разберем как модифицировать шаблон прав доступа, применяемых по-умолчанию к создаваемым групповым политикам. Этот шаблон хранится в AD Schema в объекте Group-Policy-Container, атрибуте defaultSecurityDescriptor.

Authenticated Users
Domain Admins
Enterprise Admins
ENTERPRISE DOMAIN CONTROLLERS
SYSTEM

Добавим в шаблон, права для группы Domain Computers, с разрешением Read.

[stextbox id=’info’]Информация: Для внесения изменений в Active Directory Schema ваша учетная запись должна входить в группу Schema Admins[/stextbox]

Запускаем консоль ADSIEdit.msc. Выбираем пункт меню Action — Connect to и подключаем контекст Schema вашего домена:

В дереве схемы переходим в раздел CN=Schema, CN=Configuration и находим объект CN=Group-Policy-Container:

Переходим в контейнер и находим атрибут defaultSecurityDescriptor. В значении этого атрибута в формате SDDL (Security Descriptor Definition Language) хранятся разрешения, применяемые для создаваемых групповых политик.

[stextbox id=’info’]Информация: скопируйте строку SDDL, чтобы в случае чего можно вернуться к стандартному значению.[/stextbox]

В конце строки атрибута SDDL, добавляем значение:

(A;CI;LCRPLORC;;;DC)

Чтобы применить изменения, нужно перезагрузить схему. Если оснастка AD Schema отсутствует, зарегистрируйте библиотеку regsvr32 schmmgmt.dll 

Открываем MMC консоль и добавляем оснастку AD Schema. Щелкаем ПКМ по Active Directory Schema и выберите Reload the Schema:

Проверяем работу внесенных изменений. Создаем новую групповую политику (GPO), переходим во вкладку Delegation, видим что группа Domain Computers с правами Read присутствует.