Powershell – назначить права на групповые политики


Понадобилось мне редактировать групповые политики из другого леса. Доверие между лесами настроено. Самое простое подключить дополнительный домен в оснастку GPMC. Так и делаю. И с удивлением обнаруживаю, что прав не то, что на редактирование, даже на отображение политик не хватает, несмотря на наличие административных прав в дружественном лесе.

Оказывается права редактирование групповых политик предоставляются группе Domain Admin, которая является глобальной группой, а административные права можно получить только включением учетки (группы) во встроенную локальную группу Builtin\Administrators. В результате административные права вроде как есть и в то же время их нет!

Проводить эксперимент по прямому назначению прав на SYSVOL и служебные ветки AD через ADSIEDIT в рабочей среде я не рискнул, а просто назначил права на политики с помощью Powershell. Можно это сделать ручками, но при большом числе политик это слишком долго и утомительно, поэтому Powershell очень помог:

$domainname = «domain.ru»

$targetname = «FriendForest\Domain Admins»

Get-GPO -All -DomainName $domainname | Set-GPPermission -TargetType Group -TargetName $targetname `

        -PermissionLevel GpoEditDeleteModifySecurity -DomainName $domainname

 

Реклама

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s

%d такие блоггеры, как: