Ako zmeniť štandardné povolenia pre nové GPO

Návrat k problémom zásad skupiny po inštalácii aktualizácií z bulletinu zabezpečenia MS16-072 (KB3163622), chcem hovoriť o jednom dôležitom bode. Ako si pamätáte, klienti po inštalácii tejto aktualizácie pracujú správne Filtrovanie zabezpečenia GPO, musíte manuálne upraviť všetky politiky, ktoré používajú filtrovanie zabezpečenia, a na karte Delegácia poskytnúť prístup iba na čítanie Doménové počítače (alebo úplne preložené na zacielenie na úrovni položky). Ale čo noví politici? Je teraz potrebné zakaždým, keď vytvoríte nový objekt GPO, manuálne upravovať svoje zoznamy riadenia prístupu?

Našťastie nie. Je možné opraviť štandardné práva v šablóne ACL, ktorá sa používa pri vytváraní novej skupinovej politiky. Toto ACL je uložené v schéme AD v atribúte defaultSecurityDescriptor objekt skupina-politika-kontajner. Zvážte, ako upraviť schému AD, aby sa všetky nové politiky okamžite vytvorili s potrebnými právami. V našom príklade potrebujeme pridať povolenie na čítanie pre skupinu Domain Computers.

poznámka. Ak chcete vykonať zmeny v schéme služby Active Directory, váš účet musí byť členom skupiny schéma administrátori.Je dôležité. Pri výmene obvodu AD musíte byť veľmi opatrní!
  1. Ak sú na serveri nainštalované nástroje AD, spustite konzolu ADSIEdit.msc. Vyberte položku ponuky akčné-> pripojiť na a pripojte sa ku kontextu schémy AD vašej domény (schéma)
  2. V schematickom strome prejdite na časť CN =schéma, CN =konfigurácia a nájdite objekt v pravom stĺpci CN =skupina-politika-kontajner
  3. Dvakrát kliknite na kontajner a vyhľadajte atribút defaultSecurityDescriptor. V hodnote tohto atribútu vo formáte SDDL (Security Descriptor Definition Language) ukladá oprávnenia aplikované na generované GPO.
  4. Vyberte riadok SDDL a skopírujte ho do programu Poznámkový blok (v takom prípade sa môžete vrátiť na predvolenú hodnotu).

    Práva GPO sa štandardne udeľujú týmto skupinám:

    • Overení používatelia
    • Správcovia domén
    • Enterprise admins
    • REGULÁTORY PODNIKOVÝCH DOMÁCNOSTÍ
    • SYSTEM
  5. Na koniec reťazca atribútov SDDL pridajte túto hodnotu: (;CI;LCRPLORC;;;DC)

    poznámka. Čo znamená tento reťazec? Typ prístupu: A = Prístup povolený

    ACE vlajka: CI = Zdedenie kontajnera

    oprávnenia:

    LC = obsah zoznamu
    RP = Prečítajte si všetky vlastnosti
    LO = Zoznam objektov
    RC = Povolenia na čítanie

    Predmet prístupu: DC = doménové počítače

  6. Uložte zmeny
  7. Ak chcete použiť zmeny, musíte znovu načítať obvod. Ak to chcete urobiť, otvorte konzolu mmc a pridajte snímku AD schéma (ak modul snap-in neexistuje, zaregistrujte si knižnicu regsvr32 schmmgmt.dll a reštartujte konzolu MMC). Kliknite pravým tlačidlom myši Schéma služby Active Directory a vyberte Znovu načítať schému

Teraz skúste vytvoriť nový objekt zásad skupiny a uistite sa, že na karte Delegácia sa zobrazujú práva na čítanie pre skupinu Počítačové domény.

poznámka. Táto zmena sa týka iba novo vytvorených GPO, práva na všetky staré politiky sa budú musieť upravovať manuálne.