GPO — решение проблемы с отсутствием возможности редактирования
При разделении одного юридического лица на 2 разных компании — возникла необходимость убрать доверительные отношения между 2 AD, которые ранее функционировали как единое целое.
В результате разрыва доверительных отношений между двумя AD, GPO созданные доменным админом одной AD в другой стали отображаться как созданные от неизвестного юзера S-1-5-21-* и изменить такие GPO не доступно.
![](http://www.unitec.com.ua/wp-content/uploads/2019/04/GPO_not_edit_img1.png)
Изменить права также не возможно.
![](http://www.unitec.com.ua/wp-content/uploads/2019/04/GPO_not_edit_img2.png)
Мной решалась такая проблема следующим образом:
Смотрим ID GPO
![](http://www.unitec.com.ua/wp-content/uploads/2019/04/GPO_not_edit_img3.png)
Идем в папку SYSVOL. Находим папку политики и редактируем Security.
![](http://www.unitec.com.ua/wp-content/uploads/2019/04/GPO_not_edit_img4-e1556276560558.png)
Меняем CREATOR OWNER на группу администраторов домена.
![](http://www.unitec.com.ua/wp-content/uploads/2019/04/GPO_not_edit_img5.png)
Далее запускаем ADSI Edit, находим нужную GPO и редактируем Security
![](http://www.unitec.com.ua/wp-content/uploads/2019/04/GPO_not_edit_img6.png)
Изменяем Owner на группу доменных администраторов.
![](http://www.unitec.com.ua/wp-content/uploads/2019/04/GPO_not_edit_img7.png)
![](http://www.unitec.com.ua/wp-content/uploads/2019/04/GPO_not_edit_img8.png)
После проведенных манипуляций теперь можем редактировать нужную GPO.
![](http://www.unitec.com.ua/wp-content/uploads/2019/04/GPO_not_edit_img9.png)
При добавлении группы доменных администраторов — указываем следующие разрешения:
![](http://www.unitec.com.ua/wp-content/uploads/2019/04/GPO_not_edit_img10.png)