Как изменить стандартные права доступа для создаваемых групповых политик (GPO) в Windows Server 2008 R2/2012 R2
Разберем как модифицировать шаблон прав доступа, применяемых по-умолчанию к создаваемым групповым политикам. Этот шаблон хранится в AD Schema в объекте Group-Policy-Container, атрибуте defaultSecurityDescriptor.
По умолчанию, права на групповые политики предоставлены следующим группам:
Authenticated Users Domain Admins Enterprise Admins ENTERPRISE DOMAIN CONTROLLERS SYSTEM
Добавим в шаблон, права для группы Domain Computers, с разрешением Read.
[stextbox id=’info’]Информация: Для внесения изменений в Active Directory Schema ваша учетная запись должна входить в группу Schema Admins[/stextbox]