Разберем как модифицировать шаблон прав доступа, применяемых по-умолчанию к создаваемым групповым политикам. Этот шаблон хранится в AD Schema в объекте Group-Policy-Container, атрибуте defaultSecurityDescriptor.
По умолчанию, права на групповые политики предоставлены следующим группам:
Authenticated Users Domain Admins Enterprise Admins ENTERPRISE DOMAIN CONTROLLERS SYSTEM
Добавим в шаблон, права для группы Domain Computers, с разрешением Read.
Запускаем консоль ADSIEdit.msc. Выбираем пункт меню Action — Connect to и подключаем контекст Schema вашего домена:
В дереве схемы переходим в раздел CN=Schema, CN=Configuration и находим объект CN=Group-Policy-Container:
Переходим в контейнер и находим атрибут defaultSecurityDescriptor. В значении этого атрибута в формате SDDL (Security Descriptor Definition Language) хранятся разрешения, применяемые для создаваемых групповых политик.
В конце строки атрибута SDDL, добавляем значение:
(A;CI;LCRPLORC;;;DC)
Чтобы применить изменения, нужно перезагрузить схему. Если оснастка AD Schema отсутствует, зарегистрируйте библиотеку regsvr32 schmmgmt.dll
Открываем MMC консоль и добавляем оснастку AD Schema. Щелкаем ПКМ по Active Directory Schema и выберите Reload the Schema:
Проверяем работу внесенных изменений. Создаем новую групповую политику (GPO), переходим во вкладку Delegation, видим что группа Domain Computers с правами Read присутствует.
ПОНРАВИЛАСЬ ИЛИ ОКАЗАЛАСЬ ПОЛЕЗНОЙ СТАТЬЯ, ПОДДЕРЖИ АВТОРА ДОНАТОМ
Спасибо! Весьма полезный гайд, как раз то, что искал!
Рад что статья оказалась полезной !
а если у меня лес из 15 доменов. создана отдельная группа, которой делегировано право создания GPO в остальных доменах. Но при создании политики на вкладке делегирования присутствует только пользователь создавший её и дефолтовые разрешения. как вот эту созданную группу добавлять по умолчанию?
вариант с созданием в каждом домене подобной группы и в каждую в группу добавить необходимых членов я рассмотрел. просто лениво создавать множество групп. хотелось бы узнать, чтобы можно было обойтись одной
Все оказывается просто! Просто указываем SID необходимой группы и необходимые разрешения.