Делегирование управления управляемым объектом групповой политики

Утверждающий может делегировать управление созданным им управляемым Объект групповой политики (GPO). Как и Администратор расширенного управления групповыми политиками (полный доступ), утверждающий может делегировать права доступа к такому объекту групповой политики, чтобы редакторы и утверждающие могли выполнять разрешенные им операции. По умолчанию утверждающий не может делегировать права доступа к объектам групповой политики, созданным другим администратором групповых политик.

Для выполнения этой процедуры требуется учетная запись пользователя с ролью Администратор расширенного управления групповыми политиками (полный доступ), учетная запись с ролью утверждающего, который создал объект групповой политики, или учетная запись с необходимыми разрешениями в Расширенное управление групповыми политиками. Более подробные сведения см. в подразделе "Дополнительные рекомендации" данного раздела.

Чтобы делегировать управление управляемым объектом групповой политики, выполните следующие действия.

1. В дереве консоли управления групповыми политиками щелкните Управление изменениями в лесу и домене, в котором требуется управлять GPO.

2. На панели подробностей вкладки Содержание выберите вкладку Управляемые, чтобы отобразить управляемые объекты групповой политики, а затем выберите объект групповой политики, управление которым необходимо делегировать.

   • Чтобы добавить права доступа для пользователя или группы, нажмите кнопку Добавить, выберите пользователя или группу, а затем нажмите кнопку ОК. В диалоговом окне Добавление группы или пользователя выберите роль и нажмите кнопку ОК.

   • Чтобы удалить доступ для пользователя или группы, выберите пользователя или группу и нажмите кнопку Удалить.

     Примечание

     Если пользователь или группа наследует доступ на уровне домена, кнопка Удалить недоступна. Доступ на уровне домена изменяется на вкладке Делегирование домена.

   • Чтобы изменить роли и разрешения, делегированные для пользователя или группы, нажмите кнопку Дополнительно. В диалоговом окне Разрешения выберите пользователя или группу, установите флажок для каждой роли, которую необходимо назначить для пользователя или группы, а затем нажмите кнопку ОК.

     Примечание

     Редактор и утверждающий обладают разрешениями проверяющего.

Дополнительные сведения

• Для выполнения этой процедуры по умолчанию пользователь должен являться утверждающим, который создал объект групповой политики или управлял им, или Администратор расширенного управления групповыми политиками (полный доступ). В частности, требуются разрешения Список содержимого для домена и Изменение параметров безопасности для объекта групповой политики.

• Чтобы делегировать доступ для чтения администраторам групповых политик, использующим AGPM, необходимо предоставить им разрешения Список содержимого и Прочесть параметры. Это позволяет им видеть объекты групповой политики на вкладке Содержание службы AGPM. Другие разрешения должны быть явно предоставлены.

• Редакторы должны иметь разрешение на чтение для развернутой копии объекта групповой политики, чтобы использовать все возможности установки программы управления групповыми политиками.

Дополнительные ссылки

• Создание объекта групповой политики или управление им

-----
Дополнительные сведения о MDOP см. в библиотеке TechNet, сведения об устранении неполадок — на вики-сайте TechNet или присоединяйтесь к нам в Facebook или Twitter.
-----