GPO — решение проблемы с отсутствием возможности редактирования
При разделении одного юридического лица на 2 разных компании — возникла необходимость убрать доверительные отношения между 2 AD, которые ранее функционировали как единое целое.
В результате разрыва доверительных отношений между двумя AD, GPO созданные доменным админом одной AD в другой стали отображаться как созданные от неизвестного юзера S-1-5-21-* и изменить такие GPO не доступно.
Изменить права также не возможно.
Мной решалась такая проблема следующим образом:
Смотрим ID GPO
Идем в папку SYSVOL. Находим папку политики и редактируем Security.
Меняем CREATOR OWNER на группу администраторов домена.
Далее запускаем ADSI Edit, находим нужную GPO и редактируем Security
Изменяем Owner на группу доменных администраторов.
После проведенных манипуляций теперь можем редактировать нужную GPO.
При добавлении группы доменных администраторов — указываем следующие разрешения:
