Зміна налаштувань безпеки OU за замовчуванням.
Як ви пам'ятаєте з попередньої статті, за замовчуванням у кожної знову створюваної організаційної одиниці (Organizational Unit, OU) в списку доступу присутній дозвіл на читання для групи Authenticated Users, що дає всім користувачам домену можливість переглядати вміст цієї OU. Відповідно для того, щоб приховати OU від користувачів, необхідно кожен раз редагувати налаштування безпеки.Позбутися від ручного редагування можна, змінивши дефолтні властивості класу Organizational Unit.
Зміна властивостей класу проводиться шляхом внесення змін в схему Active Directory, для чого нам потрібно встановити оснащення «Active Directory Schema» . Спочатку відкриваємо командний консоль від імені адміністратора і реєструємо бібліотеку schmmgmt.dll, необхідну для роботи оснастки:
regsvr32 schmmgmt.dll
потім відкриваємо консоль mmc, переходимо в меню File -> Add/Remove Snap-in.
вибираємо зі списку оснащення «Active Directory Schema» і додаємо її в консоль.
Приступаємо до редагування . Розкриваємо оснащення і переходимо в розділ «Classes».Там знаходимо клас organizationalUnit, правою клавішею миші відкриваємо меню і вибираємо пункт Properties.
На сторінці властивостей переходимо на вкладку «Default Security», на якій знаходяться налаштування безпеки OU за замовчуванням. Можна просто прибрати дозвіл на читання для Authenticated Users, або по кнопці «Advanced» перейти до розширених налаштувань.
Якщо обрані додаткові параметри, то вибираємо Authenticated Users і тиснемо «Edit».
Виставляємо необхідні дозволи. Наприклад, можна прибрати List Object, залишивши List Contents.
Тиснемо OK, зберігаємо отримані настройки і виходимо з оснащення.Зроблені зміни вступлять в силу не відразу, доведеться почекати.
І на завершення кілька важливих зауважень:
• Для внесення змін в схему необхідно входити в групу Schema Admins;
• зміни в схемі AD можуть відбитися на роботі всього лісу, тому перед внесенням змін необхідно ретельно перевірити їх в тестовому середовищі;
• Налаштування будуть застосуються до всіх новостворюваних OU, для раніше створених OU нічого не зміниться.П>.