我们尝试通过 GPO 配置注册表项 (HKLM\Software) 的权限。(https://www.stigviewer.com/stig/windows_server_2019/2019-12-12/finding/V-93025)
然而,这导致了必要的“功能SID”(https://answers.microsoft.com/en-us/windows/forum/all/what-the-heck-account-unknowns-1-15-3-1024/65852c0e -d185-4eef-abfb-967263519cc0?page=2 ) 已从权限中删除。
遗憾的是,无法通过 GPMC GP 编辑器手动添加 SID。您必须搜索现有用户,但“功能 SID”在设计上没有用户映射。
有没有办法通过域 GPO 将此 SID 恢复到注册表权限中?
因此不幸的是,无法通过 GPMC 直接将 SID 添加到 GPO。
似乎也无法使用 Powershell、icacls 或其他工具直接修改 GPO 的安全设置。
不过,您可以使用“安全模板”管理单元生成“安全模板”。然后,您可以修改使用必要信息创建的 inf 文件中的 SDDL 条目。获得良好的模板后,您可以将其导入 GPO 中。
从工作系统中获取适当的 ACE:
(A;CI;KR;;;S-1-15-3-1024-1065365936-1281604716-3511738428-1654721687-432734479-3232135806-4053264122-3456934681)是我需要的部分现在我可以创建一个模板:
然后我可以编辑创建的 inf 文件以将 ACE 添加到 SDDL 中:
保存 Inf 文件,然后将其导入到您的 GPO:
瞧!
奖金信息:
“写入 DAC”(Regedit) 与“更改权限”(GPMC) 相同,“读取控制”(Regedit) 与“读取权限”(GPMC) 相同