Как изменить стандартные разрешения для новых GPO

Возвращаясь к проблемам, возникающим с применением групповых политик, после установки обновлений из бюллетеня безопасности MS16-072 (KB3163622), хочется поговорить еще об одном важном моменте. Как вы помните, чтобы после установки данного обновления на клиентах корректно работали GPO Security Filtering, нужно вручную отредактировать все политики, в которых используются Security Filtering и на вкладке Delegation предоставить доступ только на чтение для Domain Computers (или целиком переводится на Item-Level Targeting). Но как же быть с новыми политиками? Неужели теперь придется каждый раз при создании новой GPO, вручную  править ее списки контроля доступа?

К счастью, нет. Возможно поправить стандартные права в шаблоне ACL, который используется при создании новой групповой политики. Этот ACL хранится в схеме AD в атрибуте defaultSecurityDescriptor объекта Group-Policy-Container. Рассмотрим, как произвести модификацию схемы AD, чтобы все новые политики сразу создавались с нужными правами. В нашем примере нам нужно добавить разрешение Read для группы Domain Computers.

Примечание. Для внесения изменений в схему Active Directory ваша учетная запись должна входить в группу Schema Admins.
Важно. При изменении схемы AD нужно быть предельно внимательным!
  1. Если на сервере установлены AD tools, запустите консоль ADSIEdit.msc. Выберите пункт меню Action-> Connect to и подключитесь к контексту схемы AD вашего домена (Schema)ADSIEdit.msc подключиться к схеме AD
  2. В дереве схемы перейдите в раздел CN=Schema, CN=Configuration и найдите в правой колонке объект CN=Group-Policy-ContainerCN=Group-Policy-Container
  3. Щелкните дважды по контейнеру и найдите атрибут defaultSecurityDescriptor. В значении этого атрибута в формате SDDL (Security Descriptor Definition Language) хранятся разрешения, применяемые для создаваемых GPO.defaultSecurityDescriptor
  4. Выделите SDDL строку и скопируйте ее в Notepad (в случае чего можно вернуться к стандартному значению).

    По умолчанию, права на GPO предоставлены следующим группам:

    • Authenticated Users
    • Domain Admins
    • Enterprise Admins
    • ENTERPRISE DOMAIN CONTROLLERS
    • SYSTEM
  5. В конце SDDL строки атрибута нужно добавить следующее значение: (A;CI;LCRPLORC;;;DC)

    Примечание. Что означает сия строка.Тип доступа: A = Access Allowed

    Флаг ACE: CI = Container Inherit

    Разрешения:

    LC = List Contents
    RP = Read All Properties
    LO = List Object
    RC = Read Permissions

    Субъект доступа: DC = Domain Computers

  6. Сохраните изменения
  7. Чтобы применить изменения, нужно перезагрузить схему. Для этого откройте mmc консоль и добавьте оснастку AD Schema (если оснастка отсутствует, зарегистрируйте библиотеку regsvr32 schmmgmt.dll и перезапустите mmc консоль). Щелкните ПКМ по Active Directory Schema и выберите Reload the SchemaПерезагрузить схему AD

Теперь попробуйте создать новую GPO и удостоверится, что на вкладке Delegation появились права Read для группы Domain Computers.Разрешения на GPO по умолчанию

Примечание. Данное изменение касается только новых создаваемых GPO, права на любые старые политики придется редактировать вручную.

Предыдущая статья Следующая статья

Комментариев: 4 Оставить комментарий

Оставить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Я не робот( Обязательно отметьте)