Делегирование прав доступа к отдельному объекту групповой политики в архиве
Если пользователю назначена роль Администратор расширенного управления групповыми политиками (полный доступ), то он может делегировать управление управляемым Объект групповой политики (GPO) в архиве, чтобы указанные группы и редакторы, проверяющие и утверждающие могли выполнять с ним разрешенные им операции.
Для выполнения этой процедуры требуется учетная запись пользователя с ролью Администратор расширенного управления групповыми политиками (полный доступ), учетная запись с ролью утверждающего, который создал объект групповой политики, или учетная запись с необходимыми разрешениями в Расширенное управление групповыми политиками. Более подробные сведения см. в подразделе "Дополнительные рекомендации" данного раздела.
Чтобы делегировать управление управляемым объектом групповой политики, выполните следующие действия.
В дереве консоли управления групповыми политиками щелкните Управление изменениями в лесу и домене, в котором требуется управлять GPO.
На панели подробностей вкладки Содержание выберите вкладку Управляемые, чтобы отобразить управляемые объекты групповой политики, а затем выберите объект групповой политики, управление которым необходимо делегировать.
Чтобы добавить права доступа для пользователя или группы, нажмите кнопку Добавить, выберите пользователя или группу, а затем нажмите кнопку ОК. В диалоговом окне Добавление группы или пользователя выберите роль и нажмите кнопку ОК.
Чтобы удалить доступ для пользователя или группы, выберите пользователя или группу и нажмите кнопку Удалить.
Примечание
Если пользователь или группа наследует доступ на уровне домена, кнопка Удалить недоступна. Доступ на уровне домена изменяется на вкладке Делегирование домена.
Чтобы изменить роли и разрешения, делегированные для пользователя или группы, нажмите кнопку Дополнительно. В диалоговом окне Разрешения выберите пользователя или группу, установите флажок для каждой роли, которую необходимо назначить для пользователя или группы, а затем нажмите кнопку ОК.
Примечание
Редактор и утверждающий обладают разрешениями проверяющего.
Дополнительные сведения
Для выполнения этой процедуры по умолчанию пользователь должен являться утверждающим, который создал объект групповой политики или управлял им, или Администратор расширенного управления групповыми политиками (полный доступ). В частности, требуются разрешения Список содержимого для домена и Изменение параметров безопасности для объекта групповой политики.
Чтобы делегировать доступ для чтения администраторам групповых политик, использующим AGPM, необходимо предоставить им разрешения Список содержимого и Прочесть параметры. Это позволяет им видеть объекты групповой политики на вкладке Содержание службы AGPM. Другие разрешения должны быть явно предоставлены.
Редакторы должны иметь разрешение на чтение для развернутой копии объекта групповой политики, чтобы использовать все возможности установки программы управления групповыми политиками.
Членство в группе "Владельцы-создатели групповой политики" должно быть ограничено, чтобы оно не использовалось для обхода настроек доступа к GPO в расширенном управлении групповыми политиками. (В консоли управления групповыми политиками щелкните Объекты групповой политики в лесу и домене, в котором требуется управлять объектами групповой политики, щелкните Делегирование, а затем настройте параметры в соответствии с нуждами вашей организации.)
Дополнительные ссылки
-----
Дополнительные сведения о MDOP см. в библиотеке TechNet, сведения об устранении неполадок — на вики-сайте TechNet или присоединяйтесь к нам в Facebook или Twitter.
-----