Заметки о Windows и других программных продуктах Microsoft...

Изменение настроек безопасности OU по умолчанию

Изменение настроек безопасности OU по умолчанию

Как вы помните из предыдущей статьи, по умолчанию у каждой вновь создаваемой организационной единицы (Organizational Unit, OU) в списке доступа присутствует разрешение на чтение для группы Authenticated Users, что дает всем пользователям домена возможность просматривать содержимое этой OU. Соответственно для того, чтобы скрыть OU от пользователей, необходимо каждый раз редактировать настройки безопасности. Избавиться от ручного редактирования можно, изменив дефолтные свойства класса Organizational Unit.

Изменение свойств класса производится путем внесения изменений в схему Active Directory, для чего нам потребуется установить оснастку «Active Directory Schema». Сначала открываем командную консоль от имени администратора и регистрируем библиотеку schmmgmt.dll, необходимую для работы оснастки:

regsvr32 schmmgmt.dll

регистрация библиотеки

 

Затем открываем консоль mmc, переходим в меню File -> Add/Remove Snap-in.

открытие консоли mmc

 

Выбираем из списка оснастку «Active Directory Schema» и добавляем ее в консоль.

добавление оснастки Active Directory Schema

 

Приступаем к редактированию. Раскрываем оснастку и переходим в раздел «Classes». Там находим класс organizationalUnit, правой клавишей мыши открываем меню и выбираем пункт Properties.

выбор класса organizationalUnit

 

На странице свойств переходим на вкладку «Default Security», на которой находятся настройки безопасности OU по умолчанию. Можно просто убрать разрешение на чтение для Authenticated Users, либо по кнопке «Advanced» перейти к расширенным настройкам.

базовые настройки безопасности класса organizationalUnit

 

Если выбраны расширенные настройки, то выбираем Authenticated Users и жмем «Edit».

расширенные настройки безопасности класса organizationalUnit

 

Выставляем необходимые разрешения. Например, можно убрать List Object, оставив List Contents.

настройки безопасности класса organizationalUnit для группы Authenticated Users

 

Жмем OK, сохраняем полученные настройки и выходим из оснастки. Сделанные изменения вступят в силу не сразу, придется подождать.

И в завершение несколько важных замечаний:

• Для внесения изменений в схему необходимо входить в группу Schema Admins;
• Изменения в схеме AD могут отразиться на работе всего леса, поэтому перед внесением изменений необходимо тщательно проверить их в тестовой среде;
• Настройки будут применятся ко всем вновь создаваемым OU, для ранее созданных OU ничего не изменится.

 
 
Комментарии

Пока нет комментариев.