Как изменить стандартные права доступа для создаваемых групповых политик (GPO) в Windows Server 2008 R2/2012 R2
Разберем как модифицировать шаблон прав доступа, применяемых по-умолчанию к создаваемым групповым политикам. Этот шаблон хранится в AD Schema в объекте Group-Policy-Container, атрибуте defaultSecurityDescriptor.
По умолчанию, права на групповые политики предоставлены следующим группам:
Authenticated Users Domain Admins Enterprise Admins ENTERPRISE DOMAIN CONTROLLERS SYSTEM
Добавим в шаблон, права для группы Domain Computers, с разрешением Read.
[stextbox id=’info’]Информация: Для внесения изменений в Active Directory Schema ваша учетная запись должна входить в группу Schema Admins[/stextbox]
Запускаем консоль ADSIEdit.msc. Выбираем пункт меню Action — Connect to и подключаем контекст Schema вашего домена:
JUQwJTkyJTIwJUQwJUI0JUQwJUI1JUQxJTgwJUQwJUI1JUQwJUIyJUQwJUI1JTIwJUQxJTgxJUQxJTg1JUQwJUI1JUQwJUJDJUQxJThCJTIwJUQwJUJGJUQwJUI1JUQxJTgwJUQwJUI1JUQxJTg1JUQwJUJFJUQwJUI0JUQwJUI4JUQwJUJDJTIwJUQwJUIyJTIwJUQxJTgwJUQwJUIwJUQwJUI3JUQwJUI0JUQwJUI1JUQwJUJCJUMyJUEwQ04lM0RTY2hlbWElMkMlQzIlQTBDTiUzRENvbmZpZ3VyYXRpb24lQzIlQTAlRDAlQjglMjAlRDAlQkQlRDAlQjAlRDElODUlRDAlQkUlRDAlQjQlRDAlQjglRDAlQkMlMjAlRDAlQkUlRDAlQjElRDElOEElRDAlQjUlRDAlQkElRDElODIlQzIlQTBDTiUzREdyb3VwLVBvbGljeS1Db250YWluZXIlM0E=
Переходим в контейнер и находим атрибут defaultSecurityDescriptor. В значении этого атрибута в формате SDDL (Security Descriptor Definition Language) хранятся разрешения, применяемые для создаваемых групповых политик.
[stextbox id=’info’]Информация: скопируйте строку SDDL, чтобы в случае чего можно вернуться к стандартному значению.[/stextbox]
JUQwJTkyJTIwJUQwJUJBJUQwJUJFJUQwJUJEJUQxJTg2JUQwJUI1JTIwJUQxJTgxJUQxJTgyJUQxJTgwJUQwJUJFJUQwJUJBJUQwJUI4JTIwJUQwJUIwJUQxJTgyJUQxJTgwJUQwJUI4JUQwJUIxJUQxJTgzJUQxJTgyJUQwJUIwJTIwU0RETCUyQyUyMCVEMCVCNCVEMCVCRSVEMCVCMSVEMCVCMCVEMCVCMiVEMCVCQiVEMSU4RiVEMCVCNSVEMCVCQyUyMCVEMCVCNyVEMCVCRCVEMCVCMCVEMSU4NyVEMCVCNSVEMCVCRCVEMCVCOCVEMCVCNSUzQQ==
(A;CI;LCRPLORC;;;DC)
JTVCc3RleHRib3glMjBpZCUzRCVFMiU4MCU5OWluZm8lRTIlODAlOTklNUQlRDAlOUYlRDAlQkUlRDElOEYlRDElODElRDAlQkQlRDAlQjUlRDAlQkQlRDAlQjglRDElOEYlM0E=
JUQwJUEyJUQwJUI4JUQwJUJGJTIwJUQwJUI0JUQwJUJFJUQxJTgxJUQxJTgyJUQxJTgzJUQwJUJGJUQwJUIwJTNBJTIwQSUyMCUzRCVDMiVBMEFjY2VzcyUyMEFsbG93ZWQlMEElRDAlQTQlRDAlQkIlRDAlQjAlRDAlQjMlMjBBQ0UlM0ElMjBDSSUyMCUzRCUyMENvbnRhaW5lciUyMEluaGVyaXQlMEElRDAlQTAlRDAlQjAlRDAlQjclRDElODAlRDAlQjUlRDElODglRDAlQjUlRDAlQkQlRDAlQjglRDElOEYlM0ElMjBMQyUyMCUzRCUyMExpc3QlMjBDb250ZW50cyUyMFJQJTIwJTNEJTIwUmVhZCUyMEFsbCUyMFByb3BlcnRpZXMlMjBMTyUyMCUzRCUyMExpc3QlMjBPYmplY3QlMjBSQyUyMCUzRCUyMFJlYWQlMjBQZXJtaXNzaW9ucyUwQSVEMCVBMSVEMSU4MyVEMCVCMSVEMSU4QSVEMCVCNSVEMCVCQSVEMSU4MiUyMCVEMCVCNCVEMCVCRSVEMSU4MSVEMSU4MiVEMSU4MyVEMCVCRiVEMCVCMCUzQSUyMERDJTIwJTNEJTIwRG9tYWluJUMyJUEwQ29tcHV0ZXJzJTBBJTVCJTJGc3RleHRib3glNUQ=
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
JUQwJTlGJUQxJTgwJUQwJUJFJUQwJUIyJUQwJUI1JUQxJTgwJUQxJThGJUQwJUI1JUQwJUJDJTIwJUQxJTgwJUQwJUIwJUQwJUIxJUQwJUJFJUQxJTgyJUQxJTgzJTIwJUQwJUIyJUQwJUJEJUQwJUI1JUQxJTgxJUQwJUI1JUQwJUJEJUQwJUJEJUQxJThCJUQxJTg1JTIwJUQwJUI4JUQwJUI3JUQwJUJDJUQwJUI1JUQwJUJEJUQwJUI1JUQwJUJEJUQwJUI4JUQwJUI5LiUyMCVEMCVBMSVEMCVCRSVEMCVCNyVEMCVCNCVEMCVCMCVEMCVCNSVEMCVCQyUyMCVEMCVCRCVEMCVCRSVEMCVCMiVEMSU4MyVEMSU4RSUyMCVEMCVCMyVEMSU4MCVEMSU4MyVEMCVCRiVEMCVCRiVEMCVCRSVEMCVCMiVEMSU4MyVEMSU4RSUyMCVEMCVCRiVEMCVCRSVEMCVCQiVEMCVCOCVEMSU4MiVEMCVCOCVEMCVCQSVEMSU4MyUyMChHUE8pJTJDJTIwJUQwJUJGJUQwJUI1JUQxJTgwJUQwJUI1JUQxJTg1JUQwJUJFJUQwJUI0JUQwJUI4JUQwJUJDJTIwJUQwJUIyJUQwJUJFJTIwJUQwJUIyJUQwJUJBJUQwJUJCJUQwJUIwJUQwJUI0JUQwJUJBJUQxJTgzJTIwRGVsZWdhdGlvbiUyQyUyMCVEMCVCMiVEMCVCOCVEMCVCNCVEMCVCOCVEMCVCQyUyMCVEMSU4NyVEMSU4MiVEMCVCRSUyMCVEMCVCMyVEMSU4MCVEMSU4MyVEMCVCRiVEMCVCRiVEMCVCMCUyMERvbWFpbiUyMENvbXB1dGVycyUyMCVEMSU4MSUyMCVEMCVCRiVEMSU4MCVEMCVCMCVEMCVCMiVEMCVCMCVEMCVCQyVEMCVCOCUyMFJlYWQlMjAlRDAlQkYlRDElODAlRDAlQjglRDElODElRDElODMlRDElODIlRDElODElRDElODIlRDAlQjIlRDElODMlRDAlQjUlRDElODIu
ПОНРАВИЛАСЬ ИЛИ ОКАЗАЛАСЬ ПОЛЕЗНОЙ СТАТЬЯ, ПОДДЕРЖИ АВТОРА ДОНАТОМ
а если у меня лес из 15 доменов. создана отдельная группа, которой делегировано право создания GPO в остальных доменах. Но при создании политики на вкладке делегирования присутствует только пользователь создавший её и дефолтовые разрешения. как вот эту созданную группу добавлять по умолчанию?
вариант с созданием в каждом домене подобной группы и в каждую в группу добавить необходимых членов я рассмотрел. просто лениво создавать множество групп. хотелось бы узнать, чтобы можно было обойтись одной
Все оказывается просто! Просто указываем SID необходимой группы и необходимые разрешения.
Спасибо! Весьма полезный гайд, как раз то, что искал!
Рад что статья оказалась полезной !