Visszatérés a csoportházirend-problémákhoz a frissítéseknek a biztonsági közleményből történő telepítése után MS16-072 (KB3163622), még egy fontos pontról szeretnék beszélni. Mint emlékszik, a frissítés telepítése után az ügyfelek megfelelően működnek GPO biztonsági szűrés, manuálisan kell szerkesztenie az összes olyan irányelvet, amely a Biztonsági szűrést használja, és a Delegálás lapon csak olvasható hozzáférést biztosít Domain számítógépek (vagy teljesen lefordítva elemszintű célzásra). De mi lesz az új politikusokkal? Szüksége van-e minden egyes új csoportházirend-objektum létrehozására, hogy manuálisan szerkessze a hozzáférés-vezérlő listáit?
Szerencsére nem. Javítható a szabványos jogok az ACL-sablonban, amelyet egy új csoportházirend létrehozásakor használnak. Ezt az ACL-t az AD séma az attribútumban tárolja defaultSecurityDescriptor objektum csoport-politika-konténer. Fontolja meg, hogyan lehet módosítani az AD sémát, hogy minden új házirend azonnal létrejöjjön a szükséges jogokkal. Példánkban hozzá kell adnunk az Olvasási engedélyt a Domain Computers csoporthoz.
megjegyzés. Az Active Directory sémájának módosításához a fiókjának egy csoport tagjának kell lennie séma Adminok.Fontos. Az AD áramkör megváltoztatásakor rendkívül óvatosnak kell lennie!- Ha az AD eszközök telepítve vannak a kiszolgálóra, indítsa el a konzolt ADSIEdit.msc. Válassza a menüpontot akció-> Csatlakozás hogy és csatlakozzon a domain AD sémakörnyezetéhez (séma)
- A sematikus fában ugorjon a szakaszra CN =séma, CN =Configuration és keresse meg az objektumot a jobb oszlopban CN =csoport-politika-konténer
- Kattintson duplán a tárolóra, és keresse meg az attribútumot defaultSecurityDescriptor. Az attribútum értéke formátumban SDDL (Biztonsági leíró meghatározási nyelv) tárolja a generált GPO-khoz alkalmazott engedélyeket.
- Válassza ki az SDDL sort, és másolja a Jegyzettömbbe (ebben az esetben visszatérhet az alapértelmezett értékhez).
Alapértelmezés szerint a GPO-jogokat a következő csoportok kapják:
- Hitelesített felhasználók
- Domain adminok
- Enterprise adminok
- VÁLLALKOZÁSOK DOMAINVEZÉRLŐI
- SYSTEM
- Az SDDL attribútum karakterlánc végére adja hozzá a következő értéket: (A;CI;LCRPLORC;;;DC)
megjegyzés. Mit jelent ez a karakterlánc? Hozzáférés típusa: A = Hozzáférés engedélyezett
ACE jelző: CI = Container Inherit
Engedélyek:
LC = tartalomjegyzék
RP = Olvassa el az összes tulajdonságot
LO = Objektum lista
RC = Olvasási engedélyekHozzáférési tárgy: DC = Domain Computers
- Mentés a változásokra
- A változtatások alkalmazásához újra kell töltenie az áramkört. Ehhez nyissa meg az mmc konzolt és adjon hozzá egy pillanat alatt AD séma (ha nincs beépülő modul, regisztrálja a könyvtárat regsvr32 schmmgmt.dll és indítsa újra az MMC konzolt). Kattintson a jobb gombbal Active Directory séma és válassza ki Töltse újra a sémát
Most próbáljon meg létrehozni egy új csoportházirend-objektumot, és győződjön meg arról, hogy a Domain Computers csoport olvasási jogosultságai megjelennek-e a Delegálás lapon.
