onedigger
Junior Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Цитата: [/q] [q]Цитата: 7.Paste the following string into the value to remove write permissions for domain administrators so that only enterprise administrators would have write permissions: То есть создать объект можно, но когда он поучит разрешения от схемы Цитата: When a new Active Directory object is created, the permissions that are specified in the DefaultSecurityDescriptor attribute of its classSchema object in the schema are applied to it. Because of this, when a GPO is created, its groupPolicyContainer object receives its ACL from the DefaultSecurityDescriptor attribute in the CN=Group-Policy-Container,CN=Schema,CN=Configuration,DC=forestroot... object. The Group Policy editor also applies these permissions to the folder, subfolders and files in the Group Policy's template (SYSVOL\Policies\{GPO_GUID}). то модифицировать его нельзя. Проверьте, что с разрешениями в данной папке. Не правьте их руками, если что, они опять съедут. Правьте через ADSEdit, но придется слегка вникнуть в Security Descriptor Definition Language. На самом деле, видимо просто вставить GUID Domain Admins в соответствующи запрос. Источник цитат How to change the default permissions on GPOs in Windows Server 2008 R2, Windows Server 2008, Windows Server 2003, and Windows 2000 Server И еще. МС МСом, но не проще ли добавлять себя в нужную группу, на время правки GPO? И удалять после. И правка возможна, и повышенная секьюреность цела... | Редактирование и создание всех политик доступно, остальные я могу изменять, добавлять и удаять. Думаю что дело тут не в доступе. В любом случае спасибо за ответ, я почитаю, попробую. Кстати, я на PDC под пользователем из группы Администратор схемы. Все права уж точно должны быть | Всего записей: 34 | Зарегистр. 26-05-2014 | Отправлено: 09:00 23-09-2016 | Исправлено: onedigger, 09:05 23-09-2016 |
|