none
Делегирование создания объектов групповой политики с использованием GPMC RRS feed

  • Вопрос

  • При добавлении доменного пользователя в группу «Group Policy Creator Owners» (Владельцы-создатели групповой политики) у него не появляются права на редактирование уже имеющихся GPO и создание новых GPO. Все делал по официальной инструкции от Microsoft: http://technet.microsoft.com/library/cc739363%28v=ws.10%29.aspx

    http://technet.microsoft.com/en-us/library/cc739363%28v=ws.10%29.aspx

    При делегировании прав доменному пользователю в контейнере Group Policy Objects появляются права на создание новых GPO, но не появляются права на редактирование уже имеющихся GPO. Вопрос, как делегировать права доменному пользователю (или группе) на редактирование уже имеющихся GPO? Почему при добавлении в группу «Group Policy Creator Owners» не появляются права на редактирование уже имеющихся GPO и создание новых GPO?



    • Изменено B-Cool 14 марта 2014 г. 5:26
    14 марта 2014 г. 5:23

Ответы

  • 1) доменным пользователем перелогинивались после добавления в группу? Новые должны создаваться.

    Где в статье сказано что Group Policy Creator Owners должны иметь права на редактирование уже имеющихся? Там вроде как наследование отключено.

    Можно ручками пройтись или скриптом и навесить.

    А вы понимаете что делегируя права на политики вы фактически даете возможность получить полный контроль над инфраструктурой? Что будет мешать делегируемому поправить дефолт домен контроллер полиси и дать себе права домен админа?

    • Помечено в качестве ответа B-Cool 17 марта 2014 г. 2:24
    14 марта 2014 г. 7:57
  • Да, действительно, редактировать имеющиеся GPO этот участник группы GPCO не сможет. Нашел статью: http://technet.microsoft.com/library/cc776858%28v=ws.10%29.aspx и http://technet.microsoft.com/en-us/library/cc978262.aspx

    "Способ добавления пользователя в группу «Владельцы-создатели групповой политики» и способ предоставления пользователю разрешений на создание объектов групповой политики напрямую с помощью нового метода, доступного в GPMC, являются одинаковыми с точки зрения разрешений. Пользователи имеют возможность создавать объекты групповой политики в домене, но не имеют разрешений на объекты групповой политики, созданные другими пользователями. Например, при предоставлении пользователю возможности создавать объекты групповой политики в домене, пользователь не получает прав на изменение и удаление существующих объектов групповой политики или возможность связывать объект групповой политики с сайтом, доменом или подразделением."

    If the domain administrator wants a non-administrator or group to be able to create Group Policy objects, that user or group can be added to the Group Policy Creator Owners security group. When a non-administrator who is a member of the Group Policy Creator Owners group creates a Group Policy object, that user becomes the Creator Owner of the Group Policy object. Then the user can edit the Group Policy object. Being a member of the Group Policy Creator Owners group gives the non-administrator full control of only those Group Policy objects that the user creates or those explicitly delegated to that user. It does not give the user full control of any other Group Policy objects, and does not allow the user to link Group Policy objects to sites, domains, or organizational units.

    Теперь вопрос над созданием скрипта, чтобы он предоставлял права на все имеющиеся GPO, но чтобы не перечислять их вручную...


    • Помечено в качестве ответа B-Cool 17 марта 2014 г. 3:21
    • Изменено B-Cool 17 марта 2014 г. 3:24
    17 марта 2014 г. 3:20
  • вроде встроенные GPMC'шные скрипты из набора умеют (в 2008м скрипты емнип отдельно качаются, в 2003м входили в комплект GPMC). не проверял, но гляньте.

    http://msdn.microsoft.com/en-us/library/aa814151%28v=vs.85%29.aspx#_win32_grant_permissions_for_all_gpos_in_a_domain

    ============

    Grant Permissions for all GPOs in a Domain

    The GrantPermissionOnAllGPOs.wsf sample takes a particular domain and then grants a user or a group the specified level of permission for all the GPOs in that domain. This sample grants the specified level of permission regardless of whether those GPOs are linked to an OU or not. Use the Permission switch to specify a permission level of Read, Apply, Edit, FullEdit, or None for the security principal specified in the GroupName parameter. Use the Replace switch to remove existing permissions for the group or user before you make the change. If a group or a user is already granted a permission level that is higher than the new permission level, and you do not specify the Replace switch, no change is made.

    Consider the following example:

    • The new permission level is Edit
    • The user already has Full Edit permission

    In this example, if you do not use the Replace switch, the user retains the Full Edit permission because the change is not applied

    Usage:  GrantPermissionOnAllGPOs.wsf <Group Name> /Permission: <Permission Level> [/Replace] [/Domain:<DNSDomainName>]

    Example:  GrantPermissionOnAllGPOs.wsf "Marketing Group Administrators"/Permission:FullEdit /Replace

    Example:  GrantPermissionOnAllGPOs.wsf TestUser /Permission:Read


    • Помечено в качестве ответа B-Cool 25 марта 2014 г. 7:50
    17 марта 2014 г. 10:34

Все ответы

  • 1) доменным пользователем перелогинивались после добавления в группу? Новые должны создаваться.

    Где в статье сказано что Group Policy Creator Owners должны иметь права на редактирование уже имеющихся? Там вроде как наследование отключено.

    Можно ручками пройтись или скриптом и навесить.

    А вы понимаете что делегируя права на политики вы фактически даете возможность получить полный контроль над инфраструктурой? Что будет мешать делегируемому поправить дефолт домен контроллер полиси и дать себе права домен админа?

    • Помечено в качестве ответа B-Cool 17 марта 2014 г. 2:24
    14 марта 2014 г. 7:57
  • Действительно, полный доступ на все GPO может быть опасен. Думаю, на дефолтные политики доступ должен быть только у админов. Получается, что группа GPCO имеет права только на создание новых политик? Какие права нужно предоставить пользователю, чтобы редактировать старые политики, а их очень много? Вручную делегировать права на каждую GPO, будет очень долго!
    14 марта 2014 г. 10:49
  • дык скриптом.

    Задайте вопрос в скриптинг ветке или дождитесь чьего нить ответа.

    Вас powershell устроит?



    • Изменено Svolotch 14 марта 2014 г. 12:07
    14 марта 2014 г. 12:06
  • Да, действительно, редактировать имеющиеся GPO этот участник группы GPCO не сможет. Нашел статью: http://technet.microsoft.com/library/cc776858%28v=ws.10%29.aspx и http://technet.microsoft.com/en-us/library/cc978262.aspx

    "Способ добавления пользователя в группу «Владельцы-создатели групповой политики» и способ предоставления пользователю разрешений на создание объектов групповой политики напрямую с помощью нового метода, доступного в GPMC, являются одинаковыми с точки зрения разрешений. Пользователи имеют возможность создавать объекты групповой политики в домене, но не имеют разрешений на объекты групповой политики, созданные другими пользователями. Например, при предоставлении пользователю возможности создавать объекты групповой политики в домене, пользователь не получает прав на изменение и удаление существующих объектов групповой политики или возможность связывать объект групповой политики с сайтом, доменом или подразделением."

    If the domain administrator wants a non-administrator or group to be able to create Group Policy objects, that user or group can be added to the Group Policy Creator Owners security group. When a non-administrator who is a member of the Group Policy Creator Owners group creates a Group Policy object, that user becomes the Creator Owner of the Group Policy object. Then the user can edit the Group Policy object. Being a member of the Group Policy Creator Owners group gives the non-administrator full control of only those Group Policy objects that the user creates or those explicitly delegated to that user. It does not give the user full control of any other Group Policy objects, and does not allow the user to link Group Policy objects to sites, domains, or organizational units.

    Теперь вопрос над созданием скрипта, чтобы он предоставлял права на все имеющиеся GPO, но чтобы не перечислять их вручную...


    • Помечено в качестве ответа B-Cool 17 марта 2014 г. 3:21
    • Изменено B-Cool 17 марта 2014 г. 3:24
    17 марта 2014 г. 3:20
  • вроде встроенные GPMC'шные скрипты из набора умеют (в 2008м скрипты емнип отдельно качаются, в 2003м входили в комплект GPMC). не проверял, но гляньте.

    http://msdn.microsoft.com/en-us/library/aa814151%28v=vs.85%29.aspx#_win32_grant_permissions_for_all_gpos_in_a_domain

    ============

    Grant Permissions for all GPOs in a Domain

    The GrantPermissionOnAllGPOs.wsf sample takes a particular domain and then grants a user or a group the specified level of permission for all the GPOs in that domain. This sample grants the specified level of permission regardless of whether those GPOs are linked to an OU or not. Use the Permission switch to specify a permission level of Read, Apply, Edit, FullEdit, or None for the security principal specified in the GroupName parameter. Use the Replace switch to remove existing permissions for the group or user before you make the change. If a group or a user is already granted a permission level that is higher than the new permission level, and you do not specify the Replace switch, no change is made.

    Consider the following example:

    • The new permission level is Edit
    • The user already has Full Edit permission

    In this example, if you do not use the Replace switch, the user retains the Full Edit permission because the change is not applied

    Usage:  GrantPermissionOnAllGPOs.wsf <Group Name> /Permission: <Permission Level> [/Replace] [/Domain:<DNSDomainName>]

    Example:  GrantPermissionOnAllGPOs.wsf "Marketing Group Administrators"/Permission:FullEdit /Replace

    Example:  GrantPermissionOnAllGPOs.wsf TestUser /Permission:Read


    • Помечено в качестве ответа B-Cool 25 марта 2014 г. 7:50
    17 марта 2014 г. 10:34
  • Спасибо, не знал что эти скрипты идут уже в комплекте с GPMC2003.
    25 марта 2014 г. 7:51