Kako spremeniti standardna dovoljenja za nove GPO

Vrnitev na vprašanja skupinske politike po namestitvi posodobitev iz varnostnega biltena MS16-072 (KB3163622), želim spregovoriti o eni pomembnejši točki. Kot se spomnite, po namestitvi te posodobitve stranke pravilno delujejo GPO varnostno filtriranje, morate ročno urediti vse pravilnike, ki uporabljajo varnostno filtriranje in na zavihku Delegacija omogočajo dostop samo za branje Domači računalniki (ali v celoti prevedeno v ciljanje na ravni predmeta). Kaj pa novi politiki? Ali je zdaj potrebno vsakič, ko ustvarite nov GPO, ročno urediti njegove sezname nadzora dostopa?

Na srečo ne. Možno je popraviti standardne pravice v predlogi ACL, ki se uporablja pri ustvarjanju nove politike skupine. Ta ACL je shranjen v shemi AD v atributu defaultSecurityDescriptor objekt Skupina-Politika-Posoda. Razmislite o tem, kako spremeniti shemo AD, tako da se takoj ustvarijo vse nove politike s potrebnimi pravicami. V našem primeru moramo dodati skupino za dovoljenje za branje za skupino domenskih računalnikov.

Opomba. Če želite spremeniti shemo Active Directory, mora biti vaš račun član skupine Shema Administratorji.Je pomembno. Pri menjavi vezja AD morate biti izredno previdni!
  1. Če so na strežniku nameščena orodja AD, zaženite konzolo ADSIEdit.msc. Izberite element menija Ukrep-> Povežite se do in se povežite s kontekstom sheme AD svoje domene (Shema)
  2. V shematičnem drevesu pojdite na razdelek CN =Shema, CN =Konfiguracija in poiščite predmet v desnem stolpcu CN =Skupina-Politika-Posoda
  3. Dvokliknite vsebnik in poiščite atribut defaultSecurityDescriptor. V vrednosti tega atributa v obliki SDDL (Jezik definicije varnostnega deskriptorja) shranjuje dovoljenja, uporabljena za ustvarjene skupinske oznake.
  4. Izberite vrstico SDDL in jo kopirajte v Notepad (v tem primeru se lahko vrnete na privzeto vrednost).

    Pravice GPO so privzeto dodeljene naslednjim skupinam:

    • Pooblaščeni uporabniki
    • Administratorji domene
    • Administratorji podjetij
    • PODJETNIŠKI UPRAVLJAČI
    • SISTEM
  5. Na koncu atributnega niza SDDL dodajte naslednjo vrednost: (A;Ci;LCRPLORC;;;DC)

    Opomba. Kaj pomeni ta niz? Vrsta dostopa: A = Dovoljen dostop

    Oznaka ACE: CI = Dedovanje posode

    Dovoljenja:

    LC = Seznam vsebin
    RP = Preberi vse lastnosti
    LO = Seznam predmeta
    RC = bralna dovoljenja

    Predmet dostopa: DC = Dominjski računalniki

  6. Spremembe shranite
  7. Če želite uporabiti spremembe, morate ponovno naložiti vezje. Če želite to narediti, odprite konzolo mmc in dodajte zatič AD Shema (če vtičnika ni, registrirajte knjižnico regsvr32 schmmgmt.dll in znova zaženite konzolo mmc). Z desno miškino tipko kliknite Shema aktivnega imenika in izberite Ponovno naložite shemo

Zdaj poskušajte ustvariti nov GPO in se prepričajte, da se pravice za branje za skupino računalnikov domene pojavijo na zavihku Delegiranje.

Opomba. Ta sprememba velja samo za novo ustvarjene skupinske predstavnike, pravice do starih pravilnikov pa je treba urediti ročno.