Найдите права на редактирование в GPO

Консоль управления групповой политикой предоставляет API (см. http://msdn.microsoft.com/en-us/library/dd901424(VS.85).aspx), с помощью которого вы можете делать то, что хотите. Есть несколько Powershell командлеты которые вызывают эти API, поэтому, если вам удобно использовать Powershell, вы можете быть дома бесплатно.

Вот устаревшая статья об управлении групповой политикой с помощью Powershell: http://technet.microsoft.com/en-us/magazine/2007.05.grouppolicy.aspx (Я говорю «устаревший», потому что по предыдущей ссылке доступны новые API и командлеты, которые не рассматриваются в этой статье.)

Вы можете посмотреть разрешения папки в родительской папке для каждого объекта групповой политики (с возможностью создания сценариев с помощью cacls или xcacls), чтобы увидеть разрешения NTFS для папки, в которой хранятся компоненты каждого объекта групповой политики. Поскольку часть каждого GPO (шаблон GPO) является объектами файловой системы, обрабатываемыми расширениями клиентской стороны групповой политики, перечисленные разрешения NTFS должны отражать разрешения, которые каждый пользователь \ группа имеет в GPO (чтение, редактирование и т. .). Любая сущность, указанная с полным разрешением, может редактировать, удалять и изменять параметры безопасности для объекта групповой политики. Любая сущность, указанная с разрешением на чтение, может читать объект групповой политики (применять настройки объекта групповой политики). Любой объект, указанный в списке с особым доступом, может редактировать объект групповой политики.

Вы можете просмотреть «разрешения» для каждого GP, перейдя к объектам групповой политики в GPMC, выбрав GPO и щелкнув вкладку делегирования на правой панели.

Я понятия не имею, можно ли это использовать по сценарию.