• Вы здесь : 
  • IT-блог Жаконды
  • /Active Directory /
  • Как изменить стандартные права доступа для создаваемых групповых политик (GPO) в Windows Server 2008 R2/2012 R2

Как изменить стандартные права доступа для создаваемых групповых политик (GPO) в Windows Server 2008 R2/2012 R2

07.08.2017 Автор:Жаконда
5 007 Просмотров 5 комментариев

Разберем как модифицировать шаблон прав доступа, применяемых по-умолчанию к создаваемым групповым политикам. Этот шаблон хранится в AD Schema в объекте Group-Policy-Container, атрибуте defaultSecurityDescriptor.

 

По умолчанию, права на групповые политики предоставлены следующим группам:

Authenticated Users
Domain Admins
Enterprise Admins
ENTERPRISE DOMAIN CONTROLLERS
SYSTEM

Добавим в шаблон, права для группы Domain Computers, с разрешением Read.

Информация: Для внесения изменений в Active Directory Schema ваша учетная запись должна входить в группу Schema Admins

 

Запускаем консоль ADSIEdit.msc. Выбираем пункт меню Action Connect to и подключаем контекст Schema вашего домена:

 

В дереве схемы переходим в раздел CN=Schema, CN=Configuration и находим объект CN=Group-Policy-Container:

 

Переходим в контейнер и находим атрибут defaultSecurityDescriptor. В значении этого атрибута в формате SDDL (Security Descriptor Definition Language) хранятся разрешения, применяемые для создаваемых групповых политик.

 

Информация: скопируйте строку SDDL, чтобы в случае чего можно вернуться к стандартному значению.

 

В конце строки атрибута SDDL, добавляем значение:

(A;CI;LCRPLORC;;;DC)
Пояснения:

Тип доступа: A = Access Allowed
Флаг ACE: CI = Container Inherit
Разрешения: LC = List Contents RP = Read All Properties LO = List Object RC = Read Permissions
Субъект доступа: DC = Domain Computers

 

Чтобы применить изменения, нужно перезагрузить схему. Если оснастка AD Schema отсутствует, зарегистрируйте библиотеку regsvr32 schmmgmt.dll 

 

Открываем MMC консоль и добавляем оснастку AD Schema. Щелкаем ПКМ по Active Directory Schema и выберите Reload the Schema:

 

Проверяем работу внесенных изменений. Создаем новую групповую политику (GPO), переходим во вкладку Delegation, видим что группа Domain Computers с правами Read присутствует.

 

ПОНРАВИЛАСЬ ИЛИ ОКАЗАЛАСЬ ПОЛЕЗНОЙ СТАТЬЯ, ПОБЛАГОДАРИ АВТОРА

Опубликовано в :  Active Directory
Метки :  , ,

Ссылка на эту запись:https://jakondo.ru/kak-izmenit-standartnye-prava-dostupa-dlya-sozdavaemyh-gruppovyh-politik-gpo-v-windows-server-2008-r2-2012-r2/

БесполезноСлабоватоПриемлемоОтличноПревосходно (Еще нет оценок)
Загрузка...

Всего комментариев: 5 Комментировать

  1. Кирилл /

    Спасибо! Весьма полезный гайд, как раз то, что искал!

    Ответить
    1. Жаконда / Автор записи

      Рад что статья оказалась полезной !

      Ответить
  2. Max Ivanov /

    а если у меня лес из 15 доменов. создана отдельная группа, которой делегировано право создания GPO в остальных доменах. Но при создании политики на вкладке делегирования присутствует только пользователь создавший её и дефолтовые разрешения. как вот эту созданную группу добавлять по умолчанию?

    Ответить
    1. Max Ivanov /

      вариант с созданием в каждом домене подобной группы и в каждую в группу добавить необходимых членов я рассмотрел. просто лениво создавать множество групп. хотелось бы узнать, чтобы можно было обойтись одной

      Ответить
      1. Max Ivanov /

        Все оказывается просто! Просто указываем SID необходимой группы и необходимые разрешения.

        Ответить

Оставить ответ

шестнадцать − 16 =

© IT-блог Жаконды All Rights Reserved.
Яндекс.Метрика