Разберем как модифицировать шаблон прав доступа, применяемых по-умолчанию к создаваемым групповым политикам. Этот шаблон хранится в AD Schema в объекте Group-Policy-Container, атрибуте defaultSecurityDescriptor.
По умолчанию, права на групповые политики предоставлены следующим группам:
Authenticated Users Domain Admins Enterprise Admins ENTERPRISE DOMAIN CONTROLLERS SYSTEM
Добавим в шаблон, права для группы Domain Computers, с разрешением Read.
Запускаем консоль ADSIEdit.msc. Выбираем пункт меню Action — Connect to и подключаем контекст Schema вашего домена:
В дереве схемы переходим в раздел CN=Schema, CN=Configuration и находим объект CN=Group-Policy-Container:
Переходим в контейнер и находим атрибут defaultSecurityDescriptor. В значении этого атрибута в формате SDDL (Security Descriptor Definition Language) хранятся разрешения, применяемые для создаваемых групповых политик.
В конце строки атрибута SDDL, добавляем значение:
(A;CI;LCRPLORC;;;DC)
Тип доступа: A = Access Allowed
Флаг ACE: CI = Container Inherit
Разрешения: LC = List Contents RP = Read All Properties LO = List Object RC = Read Permissions
Субъект доступа: DC = Domain Computers
Чтобы применить изменения, нужно перезагрузить схему. Если оснастка AD Schema отсутствует, зарегистрируйте библиотеку regsvr32 schmmgmt.dll
Открываем MMC консоль и добавляем оснастку AD Schema. Щелкаем ПКМ по Active Directory Schema и выберите Reload the Schema:
Проверяем работу внесенных изменений. Создаем новую групповую политику (GPO), переходим во вкладку Delegation, видим что группа Domain Computers с правами Read присутствует.
ПОНРАВИЛАСЬ ИЛИ ОКАЗАЛАСЬ ПОЛЕЗНОЙ СТАТЬЯ, ПОБЛАГОДАРИ АВТОРА
ПОНРАВИЛАСЬ ИЛИ ОКАЗАЛАСЬ ПОЛЕЗНОЙ СТАТЬЯ, ПОБЛАГОДАРИ АВТОРА
Спасибо! Весьма полезный гайд, как раз то, что искал!
Рад что статья оказалась полезной !
а если у меня лес из 15 доменов. создана отдельная группа, которой делегировано право создания GPO в остальных доменах. Но при создании политики на вкладке делегирования присутствует только пользователь создавший её и дефолтовые разрешения. как вот эту созданную группу добавлять по умолчанию?
вариант с созданием в каждом домене подобной группы и в каждую в группу добавить необходимых членов я рассмотрел. просто лениво создавать множество групп. хотелось бы узнать, чтобы можно было обойтись одной
Все оказывается просто! Просто указываем SID необходимой группы и необходимые разрешения.