Delegieren des Zugriffs auf ein einzelnes Gruppenrichtlinienobjekt im Archiv

Als AGPM-Administrator ("Vollzugriff") können Sie die Verwaltung eines gesteuerten Gruppenrichtlinienobjekt (Group Policy Object, GPO)s im Archiv delegieren, sodass ausgewählte Gruppen und Bearbeiter es bearbeiten, Prüfer es prüfen und genehmigende Personen es genehmigen können.

Für das Ausführen dieses Vorgangs ist ein Benutzerkonto mit der Rolle AGPM-Administrator ("Vollzugriff"), das Benutzerkonto der genehmigenden Person, die das Gruppenrichtlinienobjekt erstellt hat, oder ein Benutzerkonto mit den erforderlichen Berechtigungen in Erweiterte Gruppenrichtlinienverwaltung (Advanced Group Policy Management, APGM) erforderlich. Ausführliche Informationen finden Sie unter „Weitere Überlegungen“ in diesem Thema.

So delegieren Sie die Verwaltung eines gesteuerten Gruppenrichtlinienobjekts

1. Klicken Sie in der Struktur Gruppenrichtlinien-Verwaltungskonsole auf Steuerung ändern in der Gesamtstruktur und der Domäne, in der Sie GPOs verwalten möchten.

2. Klicken Sie auf der Registerkarte Inhalt im Detailbereich auf die Registerkarte Gesteuert, um die gesteuerten Gruppenrichtlinienobjekte anzuzeigen, und klicken Sie dann auf das zu delegierende Gruppenrichtlinienobjekt:

   • Zum Hinzufügen des Zugriffs für einen Benutzer oder eine Gruppe, klicken Sie auf die Schaltfläche Hinzufügen, wählen Sie den Benutzer oder die Gruppe aus, und klicken Sie dann auf OK. Wählen Sie im Dialogfeld Benutzer oder Gruppe hinzufügen eine Rolle aus, und klicken Sie auf OK.

   • Zum Entfernen des Zugriffs für einen Benutzer oder eine Gruppe, wählen Sie den Benutzer oder die Gruppe aus, und klicken Sie dann auf die Schaltfläche Entfernen.

     Hinweis

     Wenn ein Benutzer oder eine Gruppe durch Vererbung den domänenweiten Zugriff erhält, ist die Schaltfläche Entfernen nicht verfügbar. Der domänenweite Zugriff kann auf der Registerkarte Domänendelegierung geändert werden.

   • Zum Ändern der an einen Benutzer oder eine Gruppe delegierten Rollen und Berechtigungen klicken Sie auf die Schaltfläche Erweitert. Wählen Sie im Dialogfeld Berechtigungen den Benutzer oder die Gruppe aus, aktivieren Sie das Kontrollkästchen für jede dem betreffenden Benutzer oder der betreffenden Gruppe zuzuweisende Rolle, und klicken Sie auf OK.

     Hinweis

     Die Berechtigungen für Bearbeiter und genehmigende Personen umfassen die Prüferberechtigungen.

Weitere Überlegungen

• Standardmäßig müssen Sie zum Ausführen dieses Vorgangs die genehmigende Person, die das Gruppenrichtlinienobjekt erstellt hat oder steuert oder ein AGPM-Administrator ("Vollzugriff") sein. Insbesondere müssen Sie über die Berechtigung Inhalt auflisten für die Domäne und die Berechtigung Sicherheit ändern für das Gruppenrichtlinienobjekt verfügen.

• Zum Delegieren des Lesezugriffs auf Gruppenrichtlinienadministratoren, die AGPM verwenden, müssen Sie diesen die Berechtigungen Inhalt auflisten und Einstellungen lesen erteilen. Dies ermöglicht ihnen, Gruppenrichtlinienobjekte auf der Registerkarte Inhalt von AGPM anzuzeigen. Andere Berechtigungen müssen explizit delegiert werden.

• Bearbeiter müssen über die Berechtigung Lesen für die bereitgestellte Kopie einer Gruppenrichtlinie verfügen, um die Gruppenrichtlinien-Softwareinstallation in vollem Umfang nutzen zu können.

• Die Mitgliedschaft in der Gruppe "Richtlinien-Ersteller-Besitzer" sollte beschränkt werden, damit bei der Zugangsverwaltung der GPOs nicht die erweiterte Gruppenrichtlinienverwaltung übergangen wird. (Klicken Sie in der Gruppenrichtlinien-Verwaltungskonsole auf Gruppenrichtlinienobjekte in der Gesamtstruktur und der Domäne, in der Sie GPOs verwalten möchten, klicken Sie auf Delegierung, und konfigurieren Sie dann die Einstellungen, um den Anforderungen Ihrer Organisation zu entsprechen.)

Weitere Verweise

• Verwalten des Archivs

-----
Weitere Informationen zu MDOP finden Sie in der TechNet-Bibliothek. Sie können auch im TechNet Wiki nach Problembehandlungen suchen und uns auf Facebook oder Twitter folgen.
-----