Jak změnit standardní oprávnění pro nové GPO

Návrat k problémům zásad skupiny po instalaci aktualizací z bulletinu zabezpečení MS16-072 (KB3163622), chci mluvit o jednom důležitém bodě. Jak si pamatujete, po instalaci této aktualizace klienti pracují správně Filtrování zabezpečení GPO, musíte ručně upravit všechny zásady, které používají filtrování zabezpečení, a na kartě Delegace poskytují přístup pouze pro čtení Doménové počítače (nebo zcela přeloženo do cílení na úrovni položky). Ale co noví politici? Je nyní nutné pokaždé, když vytvoříte nový objekt zásad skupiny, ručně upravit seznamy řízení přístupu?

Naštěstí ne. Je možné opravit standardní práva v šabloně ACL, která se používá při vytváření nové zásady skupiny. Toto ACL je uloženo ve schématu AD v atributu defaultSecurityDescriptor zařízení Skupina-Zásady-Kontejner. Zvažte, jak upravit schéma AD, aby všechny nové zásady byly okamžitě vytvořeny s potřebnými právy. V našem příkladu musíme přidat oprávnění ke čtení pro skupinu Domain Computers.

Poznámka:. Chcete-li provést změny ve schématu služby Active Directory, musí být váš účet členem skupiny Schéma Správci.Je důležité. Při výměně obvodu AD musíte být velmi opatrní!
  1. Pokud jsou na serveru nainstalovány nástroje AD, spusťte konzolu ADSIEdit.msc. Vyberte položku nabídky Akce-> Připojte se do a připojit se k kontextu schématu AD vaší domény (Schéma)
  2. Ve schématickém stromu přejděte do sekce CN =Schéma, CN =Konfigurace a najděte objekt v pravém sloupci CN =Skupina-Zásady-Kontejner
  3. Poklepejte na kontejner a najděte atribut defaultSecurityDescriptor. V hodnotě tohoto atributu ve formátu SDDL (Security Descriptor Definition Language) ukládá oprávnění použitá pro generované GPO.
  4. Vyberte řádek SDDL a zkopírujte jej do programu Poznámkový blok (v takovém případě se můžete vrátit k výchozí hodnotě).

    Ve výchozím nastavení jsou práva GPO udělována následujícím skupinám:

    • Authenticated Users
    • Správci domén
    • Enterprise admins
    • PODNIKOVÉ ŘÍDICÍ DOMÁCE
    • SYSTÉM
  5. Na konec řetězce atributů SDDL přidejte následující hodnotu: (A;Ci;LCRPLORC;;;;DC)

    Poznámka:. Co tento řetězec znamená? Typ přístupu: A = Přístup povolen

    ACE flag: CI = Container Inherit

    Permissions:

    LC = obsah seznamu
    RP = Číst všechny vlastnosti
    LO = Seznam objektů
    RC = Oprávnění ke čtení

    Předmět přístupu: DC = doménové počítače

  6. Uložit změny
  7. Chcete-li použít změny, musíte znovu načíst obvod. Chcete-li to provést, otevřete konzolu mmc a přidejte snímek AD Schéma (pokud není k dispozici modul snap-in, zaregistrujte knihovnu regsvr32 schmmgmt.dll a restartujte konzolu MMC). Klikněte pravým tlačítkem myši Schéma služby Active Directory a vyberte Znovu načtěte schéma

Nyní zkuste vytvořit nový objekt zásad skupiny a ujistěte se, že se na kartě Delegace zobrazí práva pro čtení pro skupinu Domain Computers.

Poznámka:. Tato změna se týká pouze nově vytvořených objektů zásad skupiny, práva na všechny staré zásady bude nutné upravit ručně.
Kategorie