Как да промените стандартните разрешения за нови GPO

Връщане към проблеми с груповата политика след инсталиране на актуализации от бюлетина за сигурност MS16-072 (KB3163622), искам да говоря за още един важен момент. Както си спомняте, след инсталирането на тази актуализация, клиентите работят правилно GPO филтриране за сигурност, трябва да редактирате ръчно всички политики, които използват филтриране на сигурността, и в раздела „Делегиране“ осигуряват достъп само за четене Компютри с домейни (или изцяло преведено в насочване на ниво елемент). Но какво да кажем за новите политици? Сега ли е необходимо всеки път, когато създавате нов GPO, да редактирате ръчно неговите списъци за контрол на достъп?

За щастие не. Възможно е да се коригират стандартните права в ACL шаблона, който се използва при създаване на нова групова политика. Този ACL се съхранява в AD схемата в атрибута defaultSecurityDescriptor обект група-политика-контейнер. Помислете как да промените AD схемата, така че всички нови политики да бъдат създадени незабавно с необходимите права. В нашия пример трябва да добавим разрешение за четене за групата Домейни компютри.

забележка. За да направите промени в схемата на Active Directory, акаунтът ви трябва да е член на група схема Администратори.Важно е. Когато сменяте AD веригата, трябва да бъдете изключително внимателни!

1. Ако AD сървърите са инсталирани на сървъра, стартирайте конзолата ADSIEdit.MSC. Изберете елемент от менюто действие-> Connect за и да се свържете с контекста на схемата на AD за вашия домейн (схема)
2. В схематичното дърво отидете на секцията CN =схема, CN =Конфигурация и намерете обекта в дясната колона CN =група-политика-контейнер
3. Щракнете двукратно върху контейнера и намерете атрибута defaultSecurityDescriptor. В стойността на този атрибут във формата SDDL (Език на дефиниране на защитата) съхранява разрешенията, приложени към генерираните GPO.
4. Изберете SDDL реда и го копирайте в Notepad (в този случай можете да се върнете към стойността по подразбиране).

   По подразбиране правата за GPO се предоставят на следните групи:

   • Удостоверени потребители
   • Администратори на домейни
   • Enterprise администратори
   • ПРЕДПРИЯТИЕ НА ДОМАШНИ КОНТРОЛЕРИ
   • СИСТЕМА
5. В края на низ за атрибут SDDL добавете следната стойност: (А;CI;LCRPLORC;;;DC)

   забележка. Какво означава този низ? Тип на достъп: A = Достъпът е разрешен

   ACE флаг: CI = наследство на контейнера

   Разрешения:

   LC = Списък на съдържанието
   RP = Прочетете всички свойства
   LO = Списък на обекта
   RC = Разрешения за четене

   Тема за достъп: DC = Компютри с домейни

6. Запазване на промените
7. За да приложите промените, трябва да презаредите веригата. За целта отворете конзолата mmc и добавете щракване АД схема (ако няма щракване, регистрирайте библиотеката regsvr32 schmmgmt.DLL и рестартирайте конзолата mmc). Щракнете с десния бутон върху Схема за активна директория и изберете Презаредете схемата

Сега опитайте да създадете нов GPO и се уверете, че правата за четене за групата на компютрите в домейна се показват в раздела Делегиране.

забележка. Тази промяна се отнася само за новосъздадените GPO; правата върху всички стари политики ще трябва да бъдат редактирани ръчно.