Tentamos configurar as permissões de uma chave de registro (HKLM\Software) via GPO. ( https://www.stigviewer.com/stig/windows_server_2019/2019-12-12/finding/V-93025 )
No entanto, isso resultou em um "SID de capacidade" necessário ( https://answers.microsoft.com/en-us/windows/forum/all/what-the-heck-account-unknowns-1-15-3-1024/65852c0e -d185-4eef-abfb-967263519cc0?page=2 ) sendo removido das permissões.
Infelizmente não há como adicionar manualmente um SID por meio do GPMC GP Editor. Você deve procurar um usuário existente, mas os "SIDs de capacidade" não possuem mapeamento de usuário por design.
Existe uma maneira de recuperar esse SID nas permissões de registro via GPO de domínio?
Infelizmente, não há como adicionar diretamente um SID ao GPO via GPMC.
Também parece não haver maneira de modificar diretamente as configurações de segurança de um GPO usando Powershell, icacls ou outras ferramentas.
No entanto, você pode gerar um "Modelo de segurança" usando o snap-in "Modelos de segurança". Então você pode modificar as entradas SDDL no arquivo inf criado com as informações necessárias. Depois de obter um bom modelo, você poderá importá-lo para o seu GPO.
Obtenha o ACE apropriado de um sistema em funcionamento:
(A;CI;KR;;;S-1-15-3-1024-1065365936-1281604716-3511738428-1654721687-432734479-3232135806-4053264122-3456934681)é a parte que eu precisavaAgora posso criar um modelo:
Então posso editar o arquivo inf criado para adicionar o ACE ao SDDL:
Salve o arquivo Inf e importe-o para seu GPO:
Voilá!
INFORMAÇÕES BÔNUS:
"Write DAC" (Regedit) é o mesmo que "Change Permissions" (GPMC) e "Read Control" (Regedit) é o mesmo que "Read Permissions" (GPMC)