我们尝试通过 GPO 配置注册表项 (HKLM\Software) 的权限。(https://www.stigviewer.com/stig/windows_server_2019/2019-12-12/finding/V-93025)
然而,这导致了必要的“Capability SID”(https://answers.microsoft.com/en-us/windows/forum/all/what-the-heck-account-unknowns-1-15-3-1024/65852c0e-d185-4eef-abfb-967263519cc0?page=2) 被从权限中删除。
不幸的是,无法通过 GPMC GP 编辑器手动添加 SID。您必须搜索现有用户,但“功能 SID”在设计上没有用户映射。
有没有办法通过域 GPO 在注册表权限中重新获取此 SID?
答案1
因此遗憾的是,没有办法通过 GPMC 直接将 SID 添加到 GPO。
似乎也无法使用 Powershell、icacls 或其他工具直接修改 GPO 的安全设置。
但是,您可以使用“安全模板”管理单元生成“安全模板”。然后,您可以修改使用必要信息创建的 inf 文件中的 SDDL 条目。一旦您获得了良好的模板,您就可以将其导入到您的 GPO 中。
从工作系统获取适当的 ACE:
(Get-Acl -Path HKLM:\SOFTWARE).sddl
O:SYG:SYD:PAI(A;CI;KA;;;CO)(A;CI;KA;;;SY)(A;CI;KA;;;BA)(A;CI;KR;;;BU)(A;CI;KR;;;AC)(A;CI;KR;;;S-1-15-3-1024-1065365936-1281604716-3511738428-1654721687-432734479-3232135806-4053264122-3456934681)
(A;CI;KR;;;S-1-15-3-1024-1065365936-1281604716-3511738428-1654721687-432734479-3232135806-4053264122-3456934681)是我需要的部分
现在我可以创建一个模板:
然后我可以编辑创建的 inf 文件以将 ACE 添加到 SDDL 中:
保存 Inf 文件,然后将其导入到您的 GPO:
瞧!
奖金信息:
“写入 DAC”(Regedit)与“更改权限”(GPMC)相同,“读取控制”(Regedit)与“读取权限”(GPMC)相同
