Kako promijeniti standardna dopuštenja za nove GPO

Povratak na pitanja grupnih pravila nakon instaliranja ažuriranja iz sigurnosnog biltena MS16-072 (KB3163622), želim razgovarati o još jednoj važnoj točki. Kao što se sjećate, nakon instaliranja ovog ažuriranja klijenti ispravno rade GPO sigurnosno filtriranje, morate ručno urediti sva pravila koja koriste sigurnosno filtriranje i na kartici Delegacija pružaju pristup samo za čitanje Računala s domenama (ili u cijelosti prevedeno na ciljanje na razini predmeta). Ali što je s novim političarima? Je li sada potrebno svaki put kada kreirate novi GPO ručno uređivati ​​njegove popise kontrola pristupa?

Srećom ne. Moguće je ispraviti standardna prava u ACL predlošku koji se koristi prilikom stvaranja nove politike grupe. Ovaj ACL pohranjuje se u AD shemu u atributu defaultSecurityDescriptor objekt grupa-politika-kontejner. Razmislite kako izmijeniti shemu AD tako da se odmah stvore sva nova pravila s potrebnim pravima. U našem primjeru trebamo dodati dozvolu za čitanje grupe Domain Computers.

primjedba. Da biste promijenili shemu aktivnog imenika, vaš račun mora biti član grupe shema admini.Važno je. Kada mijenjate AD krug, morate biti izuzetno oprezni!
  1. Ako su na poslužitelj instalirani AD alati, pokrenite konzolu ADSIEdit.MSC. Odaberite stavku izbornika akcija-> Povezivanje u i povezati se s kontekstom AD sheme svoje domene (shema)
  2. U shematskom stablu idite na odjeljak CN = =shema, CN = =konfiguracija i pronađite objekt u desnom stupcu CN = =grupa-politika-kontejner
  3. Dvaput kliknite na spremnik i pronađite atribut defaultSecurityDescriptor. U vrijednosti ovog atributa u formatu SDDL (Jezik definicije sigurnosnog deskriptora) pohranjuje dopuštenja primijenjena na generirane GPO-ove.
  4. Odaberite SDDL liniju i kopirajte je u Notepad (u tom slučaju se možete vratiti na zadanu vrijednost).

    Prava GPO-a dodijeljena su sljedećim skupinama:

    • Autentični korisnici
    • Administratori domene
    • Enterprise admins
    • PREDUZEĆI DOMENI UPRAVLJAČI
    • SUSTAV
  5. Na kraju niza atributa SDDL dodajte sljedeću vrijednost: (;CI;LCRPLORC;;;DC)

    primjedba. Što znači ovaj niz? Vrsta pristupa: A = Pristup je dozvoljen

    ACE zastava: CI = Nasljedstvo spremnika

    dozvole:

    LC = Sadržaj popisa
    RP = Pročitajte sva svojstva
    LO = Popis objekata
    RC = Pročitajte dopuštenja

    Tema pristupa: DC = Domena Računala

  6. Spremite promjene
  7. Da biste primijenili promjene, morate ponovno učitati krug. Da biste to učinili, otvorite mmc konzolu i dodajte ugriz AD shema (ako nema dodataka, registrirajte knjižnicu regsvr32 schmmgmt.DLL i ponovo pokrenite mmc konzolu). Kliknite desnim klikom na Shema aktivnog imenika i odaberite Ponovo učitajte shemu

Sada pokušajte stvoriti novi GPO i osigurajte da se prava čitanja za grupu Računala na domeni prikazuju na kartici Delegacija.

primjedba. Ova promjena odnosi se samo na novo kreirane GPO-ove; prava na sve stare politike morat će se uređivati ​​ručno.
Kategorija