首页> 系统技术> 组策略管理权限最小化

[文章]组策略管理权限最小化

收藏
0 1123 0

【前言】
随着企业信息安全管理逐渐规范,对权限的控制也越来越精细,部分企业会设立专门管理组策略的人员,但域内默认没有组策略管理员这样的组,本文将介绍如何创建对组策略具有管理权限的组(或用户)。
【正文】
开始之前,我们先梳理一下域内组策略的管理权限:
1) 创建GPO权限:在组策略管理的组策略对象处可以进行创建GPO权限的委派,Domain AdminsGroup Policy Creator Owners组默认被赋予了创建GPO的权限。被赋予创建GPO权限的用户对自己创建的GPO具有编辑、删除等权限,但对于其他用户创建的GPO则没有管理权限;

2) GPO指定权限:可以委派指定用户或组“读取”、“编辑设置”、“编辑设置、删除、修改安全性”等权限,这种委派只能对单个GPO做权限委派,不能批量进行委派;


     Domain Admins组具有创建、编辑、删除等权限,可以作为组策略管理员组,但Domain Admins组权限过大,不太适合对权限要求精细的企业;Group Policy Creator Owners只能管理自己创建的GPO,也不适合作为组策略管理员组;GPO委派赋权只能单个GPO委派,也不适合作为组策略管理的方式,下面将介绍如何赋予某个普通用户或组对所有组策略均有创建、编辑、删除等权限;

允许架构更新

1) 登陆架构主机域控制器,打开运行窗口,输入regedit,打开注册表编辑器;
2) 在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ NTDS\Parameters下创建名为Schema Update AllowedDWORD注册表项,并在架构主机上将其值设置为等于1

二、修改ADSI编辑器

1) 打开ADSI编辑器,在连接点下面选择架构,点击确定;
2) 在架构下面找到CN=Group-Policy-Container,右键选择属性;
3) 在属性编辑器中找到defaultSecurityDescriptor属性,在其值的末尾添加以下内容:(A;CI;RPWPCCDCLCLOLORCWOWDSDDTSW;;;SID );
4)“SID”是需要在新组策略上具有“修改权限”的Active Directory用户或组的安全标识符,可以通过运行dsquery * -filter SAMAccountName=value -attr objectSID 命令来获取它, 其中“value”是用户或组的SAMAccountName
5) 本文以普通用户组GPOAdmin为例,在cmd中输入dsquery * -filter (samaccountname=GPOAdmin) -attr objectsid
6) 在defaultSecurityDescriptor属性值的末尾添加如下属性值:(A;CI;RPWPCCDCLCLOLORCWOWDSDDTSW;;;S-1-5-21-946219768-2633126248-1700384152-1105);

三、授予GPOAdmin组策略修改权限

1) 运行以下脚本:

$AllGPOS = Get-GPO -All

foreach ($GPO in $AllGPOS)

{$Admin = "GPOAdmin" 

Set-GPPermissions -Name $GPO.displayname.ToString() -TargetName $Admin -TargetType User -PermissionLevel GpoEditDeleteModifySecurity -Replace}

2) 现在GPOAdmin组已经有编辑、修改及删除GPO的权限了,但并不具有创建GPO及管理GPO链接的权限。

四、授予GPOAdmin组创建GPO权限

1) 方法一:将GPOAdmin添加到 Group Policy Creator Owners组; 
2)方法二:在组策略管理的组策略对象处可以对GPOAdmin组委派创建GPO的权限;

五、授予GPOAdmin组管理组策略链接的权限

1) 点击需要赋权的OU,右键选择委派控制;

2) 在委派下列常见任务处勾选“管理组策略链接”;

六、总结

    通过以上步骤,我们赋予了GPOAdmin组创建、编辑、删除GPO及管理GPO链接的权限,如果想使用Group Policy Creator Owners组作为组策略管理组,则将本文中的GPOAdmin组替换即可,同时步骤四可以省略。

系统技术
最近热帖
{{item.Title}} {{item.ViewCount}}
近期热议
{{item.Title}} {{item.PostCount}}