Как изменить стандартные разрешения для новых GPO | Windows для системных администраторов

Как изменить стандартные разрешения для новых GPO

Возвращаясь к проблемам, возникающим с применением групповых политик, после установки обновлений из бюллетеня безопасности MS16-072 (KB3163622), хочется поговорить еще об одном важном моменте. Как вы помните, чтобы после установки данного обновления на клиентах корректно работали GPO Security Filtering, нужно вручную отредактировать все политики, в которых используются Security Filtering и на вкладке Delegation предоставить доступ только на чтение для Domain Computers (или целиком переводится на Item-Level Targeting). Но как же быть с новыми политиками? Неужели теперь придется каждый раз при создании новой GPO, вручную  править ее списки контроля доступа?

К счастью, нет. Возможно поправить стандартные права в шаблоне ACL, который используется при создании новой групповой политики. Этот ACL хранится в схеме AD в атрибуте defaultSecurityDescriptor объекта Group-Policy-Container. Рассмотрим, как произвести модификацию схемы AD, чтобы все новые политики сразу создавались с нужными правами. В нашем примере нам нужно добавить разрешение Read для группы Domain Computers.

Примечание. Для внесения изменений в схему Active Directory ваша учетная запись должна входить в группу Schema Admins.
Важно. При изменении схемы AD нужно быть предельно внимательным!
  1. Если на сервере установлены AD tools, запустите консоль ADSIEdit.msc. Выберите пункт меню Action-> Connect to и подключитесь к контексту схемы AD вашего домена (Schema)ADSIEdit.msc подключиться к схеме AD
  2. В дереве схемы перейдите в раздел CN=Schema, CN=Configuration и найдите в правой колонке объект CN=Group-Policy-ContainerCN=Group-Policy-Container
  3. Щелкните дважды по контейнеру и найдите атрибут defaultSecurityDescriptor. В значении этого атрибута в формате SDDL (Security Descriptor Definition Language) хранятся разрешения, применяемые для создаваемых GPO.defaultSecurityDescriptor
  4. Выделите SDDL строку и скопируйте ее в Notepad (в случае чего можно вернуться к стандартному значению).

    По умолчанию, права на GPO предоставлены следующим группам:

    • Authenticated Users
    • Domain Admins
    • Enterprise Admins
    • ENTERPRISE DOMAIN CONTROLLERS
    • SYSTEM
  5. В конце SDDL строки атрибута нужно добавить следующее значение: (A;CI;LCRPLORC;;;DC)

    Примечание. Что означает сия строка.Тип доступа: A = Access Allowed

    Флаг ACE: CI = Container Inherit

    Разрешения:

    LC = List Contents
    RP = Read All Properties
    LO = List Object
    RC = Read Permissions

    Субъект доступа: DC = Domain Computers

  6. Сохраните изменения
  7. Чтобы применить изменения, нужно перезагрузить схему. Для этого откройте mmc консоль и добавьте оснастку AD Schema (если оснастка отсутствует, зарегистрируйте библиотеку regsvr32 schmmgmt.dll и перезапустите mmc консоль). Щелкните ПКМ по Active Directory Schema и выберите Reload the SchemaПерезагрузить схему AD

Теперь попробуйте создать новую GPO и удостоверится, что на вкладке Delegation появились права Read для группы Domain Computers.Разрешения на GPO по умолчанию

Примечание. Данное изменение касается только новых создаваемых GPO, права на любые старые политики придется редактировать вручную.
Еще записи по теме: Group Policy
Понравилась статья? Скажи спасибо и расскажи друзьям!
Назад:
Вперед:

Комментариев: 4

Оставить комментарий
  1. andrey | 21.07.2016

    Не сохраняет,

    Ответить
  2. Alex Kornev | 25.07.2016

    Ято я делаю не так?
    После добавления в хвост строки (A;CI;LCRPLORC;;;DC)
    При нажатии на Apply вылезает матюг
    картинка

    Ответить
    • itpro | 25.07.2016

      Ошибка «Operation failed. Error code 0x202b.A referral was returned from the server» скорее всего связан с тем, что нужно консолью adsiedit подключавться к DC с FSMO ролью хозяина схемы (Schema Operations Master )

      Ответить
      • Alex Kornev | 26.07.2016

        Да. Спасибо. Заработало.

        p.s. К чему бы в голове зазвучало, нетленное — «Семеен Семееенович! …»

        Ответить
Полные правила комментирования на сайте winitpro.ru. Вопросы, не связанные с содержимым статьи или ее обсуждением удаляются.

Сказать Спасибо! можно на этой странице или (еще лучше) поделиться с друзями ссылкой на понравившуюся статью в любимой социальной сети(специально для этого на сайте присуствуют кнопки популярных соц. сетей).

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Я не робот( Обязательно отметьте)



MAXCACHE: 0.25MB/0.00094 sec