Delegate Domain-Level Access to the Archive

  • Artikel

Set up delegation for your environment so that Group Policy administrators have the appropriate access to and control over Gruppenrichtlinienobjekte (Group Policy Objects, GPOs) in the archive. There are baseline permissions you can apply to make operation more efficient. You can grant permissions in any manner that meets the needs of your organization.

A user account with the AGPM-Administrator ("Vollzugriff") role or necessary permissions in Erweiterte Gruppenrichtlinienverwaltung (Advanced Group Policy Management, APGM) is required to complete this procedure. Ausführliche Informationen finden Sie unter „Weitere Überlegungen“ in diesem Thema.

To delegate access so that users and groups have appropriate permissions to all GPOs throughout a domain

  1. Klicken Sie in der Struktur Gruppenrichtlinien-Verwaltungskonsole auf Steuerung ändern in der Gesamtstruktur und der Domäne, in der Sie GPOs verwalten möchten.

  2. Click the Domain Delegation tab, and configure access to all GPOs in the domain:

    • To add access for a user or group, click the Add button, select the user or group, and click OK. In the Add Group or User dialog box, select a role and click OK.

    • To remove access for a user or group, select the user or group, and click the Remove button.

    • To modify the roles and permissions delegated to a user or group, select click the Advanced button. In the Permissions dialog box, select the user or group, select the check box for each role to be assigned to that user or group, and then click OK.

      Hinweis

      Editor and Approver include Reviewer permissions.

Additional considerations

  • By default, you must be an AGPM-Administrator ("Vollzugriff") to perform this procedure. Specifically, you must have Modify Security permission for the domain.

  • To delegate read access to Group Policy administrators who use AGPM, you must grant them List Contents as well as Read Settings permissions. This enables them to view GPOs on the Contents tab of AGPM. Other permissions must be explicitly delegated.

  • Editors must be granted Read permission for the deployed copy of a GPO to make full use of Group Policy Software Installation.

  • Die Mitgliedschaft in der Gruppe "Richtlinien-Ersteller-Besitzer" sollte beschränkt werden, damit bei der Zugangsverwaltung der GPOs nicht die erweiterte Gruppenrichtlinienverwaltung übergangen wird. (Klicken Sie in der Gruppenrichtlinien-Verwaltungskonsole auf Gruppenrichtlinienobjekte in der Gesamtstruktur und der Domäne, in der Sie GPOs verwalten möchten, klicken Sie auf Delegierung, und konfigurieren Sie dann die Einstellungen, um den Anforderungen Ihrer Organisation zu entsprechen.)

Additional references

-----
Weitere Informationen zu MDOP finden Sie in der TechNet-Bibliothek. Sie können auch im TechNet Wiki nach Problembehandlungen suchen und uns auf Facebook oder Twitter folgen.
-----