Делегирование прав доступа к архиву на уровне домена

  • Статья

Настройте в используемой среде делегирование прав доступа, чтобы администраторы групповых политик имели необходимый доступ для управления Объекты групповой политики (GPO) в архиве. Существуют базовые разрешения, которые можно применить, чтобы сделать работу более эффективной. Разрешения можно предоставить любым способом, который соответствует потребностям организации.

Для выполнения этой процедуры требуется учетная запись пользователя с ролью Администратор расширенного управления групповыми политиками (полный доступ) или необходимые разрешения в Расширенное управление групповыми политиками. Более подробные сведения см. в подразделе "Дополнительные рекомендации" данного раздела.

Для делегирования прав доступа, чтобы все пользователи или группы обладали соответствующими разрешениями для всех объектов групповой политики в домене, выполните следующие действия.

  1. В дереве консоли управления групповыми политиками щелкните Управление изменениями в лесу и домене, в котором требуется управлять GPO.

  2. Щелкните вкладку Делегирование домена и настройте доступ для всех объектов групповой политики в домене.

    • Чтобы добавить доступ для пользователя или группы, нажмите кнопку Добавить, выберите пользователя или группу, а затем нажмите кнопку ОК. В диалоговом окне Добавление группы или пользователя выберите роль и нажмите кнопку ОК.

    • Чтобы удалить доступ для пользователя или группы, выберите пользователя или группу и нажмите кнопку Удалить.

    • Чтобы изменить роли и разрешения, делегированные для пользователя или группы, нажмите кнопку Дополнительно. В диалоговом окне Разрешения выберите пользователя или группу, установите флажок для каждой роли, которую необходимо назначить для пользователя или группы, а затем нажмите кнопку ОК.

      Примечание

      Редактор и утверждающий обладают разрешениями проверяющего.

Дополнительные сведения

  • По умолчанию для выполнения этой процедуры пользователь должен являться Администратор расширенного управления групповыми политиками (полный доступ). В частности, требуется разрешение Изменение параметров безопасности для домена.

  • Чтобы делегировать доступ для чтения администраторам групповых политик, использующим AGPM, необходимо предоставить им разрешения Список содержимого и Прочесть параметры. Это позволяет им видеть объекты групповой политики на вкладке Содержание службы AGPM. Другие разрешения должны быть явно предоставлены.

  • Редакторы должны иметь разрешение на чтение для развернутой копии объекта групповой политики, чтобы использовать все возможности установки программы управления групповыми политиками.

  • Членство в группе "Владельцы-создатели групповой политики" должно быть ограничено, чтобы оно не использовалось для обхода настроек доступа к GPO в расширенном управлении групповыми политиками. (В консоли управления групповыми политиками щелкните Объекты групповой политики в лесу и домене, в котором требуется управлять объектами групповой политики, щелкните Делегирование, а затем настройте параметры в соответствии с нуждами вашей организации.)

Дополнительные ссылки

-----
Дополнительные сведения о MDOP см. в библиотеке TechNet, сведения об устранении неполадок — на вики-сайте TechNet или присоединяйтесь к нам в Facebook или Twitter.
-----