Delegieren des Zugriffs auf das Archiv auf Domänenebene

  • Artikel

Einrichten der Delegierung für die Umgebung in einer Weise, dass Gruppenrichtlinienadministratoren über den erforderlichen Zugriff auf und die erforderliche Steuerung über Gruppenrichtlinienobjekte (Group Policy Objects, GPOs) im Archiv besitzen. Es können Basislinienberechtigungen angewendet werden, um den Betrieb effizienter zu gestalten. Berechtigungen können auf jede beliebige Weise erteilt werden, die den Anforderungen der Organisation entspricht.

Zum Ausführen dieses Vorgangs ist ein Benutzerkonto mit der Rolle AGPM-Administrator ("Vollzugriff") oder den erforderlichen Berechtigungen in Erweiterte Gruppenrichtlinienverwaltung (Advanced Group Policy Management, APGM) erforderlich. Ausführliche Informationen finden Sie unter „Weitere Überlegungen“ in diesem Thema.

So delegieren Sie den Zugriff in einer Weise, dass Benutzer und Gruppen domänenweit die erforderlichen Berechtigungen für alle Gruppenrichtlinienobjekte besitzen

  1. Klicken Sie in der Struktur Gruppenrichtlinien-Verwaltungskonsole auf Steuerung ändern in der Gesamtstruktur und der Domäne, in der Sie GPOs verwalten möchten.

  2. Klicken Sie auf die Registerkarte Domänendelegierung, und konfigurieren Sie den Zugriff auf alle Gruppenrichtlinienobjekte in der Domäne:

    • Zum Hinzufügen des Zugriffs für einen Benutzer oder eine Gruppe, klicken Sie auf die Schaltfläche Hinzufügen, wählen Sie den Benutzer oder die Gruppe aus, und klicken Sie dann auf OK. Wählen Sie im Dialogfeld Benutzer oder Gruppe hinzufügen eine Rolle aus, und klicken Sie auf OK.

    • Zum Entfernen des Zugriffs für einen Benutzer oder eine Gruppe, wählen Sie den Benutzer oder die Gruppe aus, und klicken Sie dann auf die Schaltfläche Entfernen.

    • Zum Ändern der an einen Benutzer oder eine Gruppe delegierten Rollen und Berechtigungen wählen Sie die Schaltfläche Erweitert. Wählen Sie im Dialogfeld Berechtigungen den Benutzer oder die Gruppe aus, aktivieren Sie das Kontrollkästchen für jede dem betreffenden Benutzer oder der betreffenden Gruppe zuzuweisende Rolle, und klicken Sie dann auf OK.

      Hinweis

      Die Berechtigungen für Bearbeiter und genehmigende Personen umfassen die Prüferberechtigungen.

Weitere Überlegungen

  • Standardmäßig müssen Sie ein AGPM-Administrator ("Vollzugriff") sein, um diesen Vorgang auszuführen. Insbesondere müssen Sie über die Berechtigung Sicherheit ändern für die Domäne verfügen.

  • Zum Delegieren des Lesezugriffs auf Gruppenrichtlinienadministratoren, die AGPM verwenden, müssen Sie diesen die Berechtigungen Inhalt auflisten und Einstellungen lesen erteilen. Dies ermöglicht ihnen, Gruppenrichtlinienobjekte auf der Registerkarte Inhalt von AGPM anzuzeigen. Andere Berechtigungen müssen explizit delegiert werden.

  • Bearbeitern muss die Berechtigung Lesen für die bereitgestellte Kopie einer Gruppenrichtlinie erteilt worden sein, um die Gruppenrichtlinien-Softwareinstallation in vollem Umfang nutzen zu können.

  • Die Mitgliedschaft in der Gruppe "Richtlinien-Ersteller-Besitzer" sollte beschränkt werden, damit bei der Zugangsverwaltung der GPOs nicht die erweiterte Gruppenrichtlinienverwaltung übergangen wird. (Klicken Sie in der Gruppenrichtlinien-Verwaltungskonsole auf Gruppenrichtlinienobjekte in der Gesamtstruktur und der Domäne, in der Sie GPOs verwalten möchten, klicken Sie auf Delegierung, und konfigurieren Sie dann die Einstellungen, um den Anforderungen Ihrer Organisation zu entsprechen.)

Weitere Verweise

-----
Weitere Informationen zu MDOP finden Sie in der TechNet-Bibliothek. Sie können auch im TechNet Wiki nach Problembehandlungen suchen und uns auf Facebook oder Twitter folgen.
-----