Повратак на проблеме са групном политиком након инсталирања ажурирања из Безбедносног билтена МС16-072 (КБ3163622), желим да разговарам о још једној важној ствари. Као што се сећате, клијенти су након инсталације овог ажурирања исправно радили ГПО безбедно филтрирање, морате ручно да измените све смернице које користе Безбедносно филтрирање и на картици Делегација пружају приступ само за читање Рачунари на домену (или у потпуности преведено у циљање на нивоу предмета). Али шта је са новим политичарима? Да ли је сада потребно сваки пут када креирате нови ГПО да ручно измените његове листе приступа?
Срећом не. Могуће је исправити стандардна права у АЦЛ предлошку, који се користи приликом креирања нове групне политике. Овај АЦЛ је смештен у АД схеми у атрибуту дефаултСецуритиДесцриптор објекта Групно-Политика-Контејнер. Размислите о томе како да модификујете шему АД тако да се све нове политике одмах креирају са потребним правима. У нашем примеру морамо додати дозволу за читање групе Домаин Цомпутерс.
Напомена. Да бисте извршили измене у шеми Ацтиве Дирецтори, ваш налог мора бити члан групе Шема Админи.Важно је. Приликом промене АД склопа, морате бити веома опрезни!- Ако су на сервер инсталирани АД алати, покрените конзолу АДСИЕдит.мсц. Изаберите ставку менија Акција-> Повежи се до и повежите се са контекстом АД схеме вашег домена (Шема)
- У схематском стаблу идите на одељак ЦН =Шема, ЦН =Конфигурација и пронађите објект у десној колони ЦН =Групно-Политика-Контејнер
- Двапут кликните на контејнер и пронађите атрибут дефаултСецуритиДесцриптор. У вредности овог атрибута у формату СДДЛ (Језик дефиниције безбедносног дескриптора) чува дозволе примењене на генерисане ГПО.
- Изаберите СДДЛ линију и копирајте је у Нотепад (у том случају се можете вратити на задану вредност).
Права ГПО-а подразумевано су додељена следећим групама:
- Аутентични корисници
- Администратори домена
- Ентерприсе админс
- ПРЕДУЗЕЋИ ДОМЕНИ УПРАВЉАЧИ
- СИСТЕМ
- На крају низа атрибута СДДЛ додајте следећу вредност: (А;Ци;ЛЦРПЛОРЦ;;;ДЦ)
Напомена. Што значи овај низ? Тип приступа: А = Приступ дозвољен
АЦЕ застава: ЦИ = Наследица контејнера
Дозволе:
ЛЦ = Листа садржаја
РП = Прочитајте сва својства
ЛО = Листа објеката
РЦ = Дозволе за читањеТема приступа: ДЦ = Рачунари домене
- Сачувај промене
- Да бисте применили промене, потребно је да поново учитате круг. Да бисте то учинили, отворите ммц конзолу и додајте резницу АД Шема (ако нема прикључка, региструјте библиотеку регсвр32 сцхммгмт.длл и поново покрените ммц конзолу). Десним кликом на Схема активног директорија и изаберите Поново учитајте шему
Сада покушајте да креирате нови ГПО и уверите се да се права читања групе Домаин Цомпутерс приказују на картици Делегација.
Напомена. Ова промена односи се само на ново креиране ГПО-ове; права на све старе политике мораће се уређивати ручно.