Ссылка на скачивание сформирована

Скачать
 

Спасибо что просмотрели рекламу перед тем как скачать, это очень помогает в поддерке и обслуживании сайта, оплате хостига.

 

Лучшая благодарность автора за его труд и мотивация на создание нового полезного контента это донат.

 
 
 

Спасибо всем не равнодушным.

Пожалуйста отключите AdBlock!

Мы обнаружили, что вы используете AdBlock или другое программное обеспечение, блокирующее рекламу.

 

Скачивание возможно только с просмотром рекламы. Реклама на сайте необходима как для обслужвания и оплаты хостинга, так и в качестве мотивационной состовляющей автора блога.

 

Пожалуйста, добавьте наш сайт в ваш белый список блокировщика объявлений или отлючите программное обеспечение, блокирующее рекламу.

Как изменить стандартные права доступа для создаваемых групповых политик (GPO) в Windows Server 2008 R2/2012 R2

Разберем как модифицировать шаблон прав доступа, применяемых по-умолчанию к создаваемым групповым политикам. Этот шаблон хранится в AD Schema в объекте Group-Policy-Container, атрибуте defaultSecurityDescriptor.

 

По умолчанию, права на групповые политики предоставлены следующим группам:

Authenticated Users
Domain Admins
Enterprise Admins
ENTERPRISE DOMAIN CONTROLLERS
SYSTEM

Добавим в шаблон, права для группы Domain Computers, с разрешением Read.

Информация: Для внесения изменений в Active Directory Schema ваша учетная запись должна входить в группу Schema Admins

 

Запускаем консоль ADSIEdit.msc. Выбираем пункт меню Action Connect to и подключаем контекст Schema вашего домена:

 

В дереве схемы переходим в раздел CN=Schema, CN=Configuration и находим объект CN=Group-Policy-Container:

 

Переходим в контейнер и находим атрибут defaultSecurityDescriptor. В значении этого атрибута в формате SDDL (Security Descriptor Definition Language) хранятся разрешения, применяемые для создаваемых групповых политик.

 

Информация: скопируйте строку SDDL, чтобы в случае чего можно вернуться к стандартному значению.

 

В конце строки атрибута SDDL, добавляем значение:

(A;CI;LCRPLORC;;;DC)
Пояснения:

Тип доступа: A = Access Allowed
Флаг ACE: CI = Container Inherit
Разрешения: LC = List Contents RP = Read All Properties LO = List Object RC = Read Permissions
Субъект доступа: DC = Domain Computers

 

Чтобы применить изменения, нужно перезагрузить схему. Если оснастка AD Schema отсутствует, зарегистрируйте библиотеку regsvr32 schmmgmt.dll 

 

Открываем MMC консоль и добавляем оснастку AD Schema. Щелкаем ПКМ по Active Directory Schema и выберите Reload the Schema:

 

Проверяем работу внесенных изменений. Создаем новую групповую политику (GPO), переходим во вкладку Delegation, видим что группа Domain Computers с правами Read присутствует.

 

ПОНРАВИЛАСЬ ИЛИ ОКАЗАЛАСЬ ПОЛЕЗНОЙ СТАТЬЯ, ПОДДЕРЖИ АВТОРА ДОНАТОМ

БесполезноСлабоватоПриемлемоОтличноПревосходно (Еще нет оценок)
Загрузка...

Всего комментариев: 5 Комментировать

  1. Кирилл /

    Спасибо! Весьма полезный гайд, как раз то, что искал!

    1. Жаконда / Автор записи

      Рад что статья оказалась полезной !

  2. Max Ivanov /

    а если у меня лес из 15 доменов. создана отдельная группа, которой делегировано право создания GPO в остальных доменах. Но при создании политики на вкладке делегирования присутствует только пользователь создавший её и дефолтовые разрешения. как вот эту созданную группу добавлять по умолчанию?

    1. Max Ivanov /

      вариант с созданием в каждом домене подобной группы и в каждую в группу добавить необходимых членов я рассмотрел. просто лениво создавать множество групп. хотелось бы узнать, чтобы можно было обойтись одной

      1. Max Ivanov /

        Все оказывается просто! Просто указываем SID необходимой группы и необходимые разрешения.

Оставить ответ

семь + 20 =

© IT-блог Жаконды All Rights Reserved.
Яндекс.Метрика