GPO — решение проблемы с отсутствием возможности редактирования

При разделении одного юридического лица на 2 разных компании — возникла необходимость убрать доверительные отношения между 2 AD, которые ранее функционировали как единое целое.

В результате разрыва доверительных отношений между двумя AD, GPO созданные доменным админом одной AD в другой стали отображаться как созданные от неизвестного юзера S-1-5-21-* и изменить такие GPO не доступно.

Изменить права также не возможно.

Мной решалась такая проблема следующим образом:

Смотрим ID GPO

Идем в папку SYSVOL. Находим папку политики и редактируем Security.

Меняем CREATOR OWNER на группу администраторов домена.

Далее запускаем ADSI Edit, находим нужную GPO и редактируем Security

Изменяем Owner на группу доменных администраторов.

После проведенных манипуляций теперь можем редактировать нужную GPO.

При добавлении группы доменных администраторов — указываем следующие разрешения:


Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *