Delegate Access to an Individual GPO in the Archive

  • Artikel

As an AGPM-Administrator ("Vollzugriff"), you can delegate the management of a controlled Gruppenrichtlinienobjekt (Group Policy Object, GPO) in the archive so that selected groups and Editors can edit it, Reviewers can review it, and Approvers can approve it.

A user account with the AGPM-Administrator ("Vollzugriff") role, the user account of the Approver who created the GPO, or a user account with the necessary permissions in Erweiterte Gruppenrichtlinienverwaltung (Advanced Group Policy Management, APGM) is required to complete this procedure. Ausführliche Informationen finden Sie unter „Weitere Überlegungen“ in diesem Thema.

To delegate the management of a controlled GPO

  1. Klicken Sie in der Struktur Gruppenrichtlinien-Verwaltungskonsole auf Steuerung ändern in der Gesamtstruktur und der Domäne, in der Sie GPOs verwalten möchten.

  2. On the Contents tab in the details pane, click the Controlled tab to display controlled GPOs, and then click the GPO to delegate:

    • To add access for a user or group, click the Add button, select the user or group, and click OK. In the Add Group or User dialog box, select a role and click OK.

    • To remove access for a user or group, select the user or group, and click the Remove button.

      Hinweis

      If a user or group inherits domain-wide access, the Remove button is unavailable. You can modify domain-wide access on the Domain Delegation tab.

    • To modify the roles and permissions delegated to a user or group, click the Advanced button. In the Permissions dialog box, select the user or group, select the check box for each role to be assigned to that user or group, and click OK.

      Hinweis

      Editor and Approver include Reviewer permissions.

Additional considerations

  • By default, you must be the Approver who created or controlled the GPO or an AGPM-Administrator ("Vollzugriff") to perform this procedure. Specifically, you must have List Contents permission for the domain and Modify Security permission for the GPO.

  • To delegate read access to Group Policy administrators who use AGPM, you must grant them List Contents as well as Read Settings permissions. This enables them to view GPOs on the Contents tab of AGPM. Other permissions must be explicitly delegated.

  • Editors must have Read permission for the deployed copy of a GPO to make full use of Group Policy Software Installation.

  • Die Mitgliedschaft in der Gruppe "Richtlinien-Ersteller-Besitzer" sollte beschränkt werden, damit bei der Zugangsverwaltung der GPOs nicht die erweiterte Gruppenrichtlinienverwaltung übergangen wird. (Klicken Sie in der Gruppenrichtlinien-Verwaltungskonsole auf Gruppenrichtlinienobjekte in der Gesamtstruktur und der Domäne, in der Sie GPOs verwalten möchten, klicken Sie auf Delegierung, und konfigurieren Sie dann die Einstellungen, um den Anforderungen Ihrer Organisation zu entsprechen.)

Additional references

-----
Weitere Informationen zu MDOP finden Sie in der TechNet-Bibliothek. Sie können auch im TechNet Wiki nach Problembehandlungen suchen und uns auf Facebook oder Twitter folgen.
-----