本文由机器翻译。若要查看英语原文,请勾选“英语”复选框。 也可将鼠标指针移到文本上,在弹出窗口中显示英语原文。
翻译
英语

委派组策略的权限

 

本主题介绍管理员将权限委派给其他人使用 GPMC,以便它们可以执行一些组策略管理任务的过程。

使用 GPMC 中,可以委派下列任务:

  • 在域中创建 Gpo。

  • 在 GPO 上设置权限。

  • 站点、 域或组织单位上设置与策略相关的权限。

    • 将 Gpo 链接到给定的站点、 域或组织单位。

    • 在给定的域或组织单位 (但不是在站点上) 需要执行组策略建模分析。

    • 在给定的域或组织单位 (但不是在站点上) 的对象的读取组策略结果数据。

  • 在域中创建 WMI 筛选器。

  • 设置对 WMI 筛选器权限。

GPMC 委派通过管理简化了各种任务的权限的单个包作为任务所需的 Ace。 如果想要查看详细信息中的 ACL,您可以单击委派选项卡中的高级按钮。 实现委派的底层机制是应用到 Gpo 和 Active Directory 中的其他对象的适当的 Dacl。 此机制等同于使用安全组来进行筛选的 Gpo 应用于各个用户。

您还可以指定组策略来控制行为的 MMC 和 MMC 管理单元。 例如,可以使用组策略来管理来创建、 配置和使用 MMC 控制台和控制对单独的管理单元的访问的权限。

若要委派为组或用户对组策略对象的权限

  1. 在组策略管理控制台 (GPMC) 控制台树中,展开组策略对象的林和域包含您要添加或删除权限的组策略对象 (GPO) 中的节点。

  2. 单击该 GPO。

  3. 在结果窗格中,单击委派选项卡。

  4. 单击“添加”

  5. 选择用户、 计算机或组对话框中,单击对象类型,选择要添加 GPO 权限,然后单击的对象的类型确定

  6. 单击位置,选择整个目录域或包含要添加 GPO 权限,然后单击的对象的组织单位确定

  7. 输入要选择的对象名称框中,键入您要通过执行以下操作之一来添加 GPO 权限的对象的名称:

    • 如果知道名称,键入它,然后单击确定

    • 若要搜索的名称,请单击高级,键入搜索条件,单击立即查找,在列表框中选择的名称,单击确定,然后单击确定再次。

    • 权限添加组或用户对话框中,从下拉列表中选择适当的权限,然后单击确定

  • 若要执行此过程,必须具有编辑设置、 删除和修改安全对 gpo 的权限。

  • 组和用户具有自定义允许权限中的列组和用户上的列表框中委派选项卡上具有不匹配的权限的三个标准级别之一的权限。 若要查看具有自定义权限的组的权限或设置自定义权限,请单击高级

  • 您也可以单击委派选项卡可更改或删除组或用户对 GPO 的权限。

若要委派链接组策略对象的权限

  1. 在组策略管理控制台 (GPMC) 控制台树中,请执行以下操作:

    • 若要委派将组策略对象 (Gpo) 链接到域或组织单位 (OU) 的权限,请单击域或 OU。

    • 若要委派将 Gpo 链接到站点的权限,请单击站点。

  2. 在结果窗格中,单击委派选项卡。

  3. 权限drop down 列表框中,选择链接 Gpo 单击“添加”

  4. 选择用户、 计算机或组对话框中,单击对象类型,选择要向其委派权限的域、 站点或 OU,然后依次的对象的类型确定

  5. 单击位置,选择整个目录域或包含您要向其委派权限,然后单击的对象的 OU 或确定

  6. 输入要选择的对象名称框中,输入您要通过执行下列任一操作委派权限的对象的名称:

    • 如果知道名称,键入它,然后单击确定

    • 若要搜索的名称,请单击高级,输入搜索条件,单击立即查找,在列表框中选择的名称,单击确定,然后单击确定再次。

  7. 添加组或用户对话框中,在权限下拉列表中,选择所需权限以适用于此组或用户,然后单击向其的级别确定

  • 若要委派将 Gpo 链接到站点、 域或 OU 的权限,必须具有修改权限在该站点、 域或 OU 上。 默认情况下,只有域管理员和企业管理员具有此权限。

  • 用户和组有权将 Gpo 链接到特定站点、 域或 OU 可以将 Gpo 链接、 更改链接顺序和设置在该站点、 域或 OU 上阻止继承。

  • 不能删除组和从父容器继承权限的用户。

  • 中的某些条目组和用户下拉列表中,如系统,因此不具有关联的属性对话框中,属性对于这些项目不可用。

若要委派生成组策略建模数据的权限

  1. 在组策略管理控制台 (GPMC) 控制台树中,单击您要为其委派组策略建模权限的域或组织单位 (OU)。

  2. 在结果窗格中,单击委派选项卡。

  3. 权限框中,选择执行组策略建模分析到权限列表中添加新组或用户

  4. 在上委派选项卡上,单击添加

  5. 选择用户、 计算机或组对话框中,单击对象类型,选择要向其委派权限的域、 站点或 OU,然后依次的对象的类型确定

  6. 单击位置,选择整个目录域或包含您要向其委派权限,然后单击的对象的 OU 或确定

  7. 输入要选择的对象名称框中,找到您要通过执行下列任一操作委派权限的对象的名称:

    • 如果知道名称,键入它,然后依次确定再次。

    • 若要搜索的名称,请单击高级,输入搜索条件,单击立即查找,在下拉列表中选择的名称,单击确定,然后单击确定

  8. 添加组或用户对话框中,在权限下拉列表中,选择所需权限以适用于此组或用户,然后单击向其的级别确定

  • 若要委派为域或组织单位中的对象执行组策略建模分析权限,必须具有修改权限在域或组织单位上。 默认情况下,只有域管理员和企业管理员具有此权限。

  • 您不能委派为站点执行组策略建模分析权限。

  • 您还可以使用委派选项卡可更改或删除组或用户输入组策略建模数据的权限。

若要委派权限生成组策略结果

  1. 在组策略管理控制台 (GPMC) 控制台树中,单击域或组织单位 (OU) 您要为其委派生成组策略结果的权限。

  2. 在结果窗格中,单击委派选项卡。

  3. 权限下拉列表中,选择要到权限列表中添加新组或用户的读取组策略结果数据。

  4. 在上委派选项卡上,单击添加

  5. 选择用户、 计算机或组对话框中,单击对象类型,选择要向其委派权限的域、 站点或 OU,然后依次的对象的类型确定

  6. 选择用户或组应该向其委派权限。

  7. 添加组或用户对话框中,在权限下拉列表中,选择所需权限以适用于此组或用户,然后单击向其的级别确定

  • 若要委派权限的域或 OU 中的对象生成组策略结果,必须具有修改权限上对该域或 OU。 默认情况下,只有域管理员和企业管理员具有此权限。

  • 您不能委派为站点生成组策略结果的权限。

  • 您还可以使用委派选项卡可更改或删除组或用户输入组策略结果数据的权限。

若要委派为组或用户对 WMI 筛选器的权限

  1. 在组策略管理控制台 (GPMC) 控制台树中,单击您要为其委派权限的 WMI 筛选器。

  2. 在结果窗格中,单击委派选项卡。

  3. 单击“添加”

  4. 选择用户、 计算机或组对话框中,单击对象类型,选择您要向其委派对 WMI 筛选器的权限,然后单击的对象类型确定

  5. 单击位置,选择整个目录域或包含您要向其委派权限,然后单击的对象的组织单位确定

  6. 输入要选择的对象名称框中,键入您要通过执行下列任一操作委派权限的对象的名称:

    • 如果知道名称,键入它,然后单击确定

    • 若要搜索的名称,请单击高级,键入搜索条件,单击立即查找,在列表框中选择的名称,单击确定,然后单击确定再次。

  7. 添加组或用户对话框中,在权限框中,选择你想要将分配给组或用户,然后单击的权限级别确定

  • 您必须具有对 WMI 筛选器来更改其权限的完全控制权限。

  • 您不能删除或更改继承的权限对 WMI 筛选器。

  • 所有用户都必须都具有对所有 WMI 筛选器读取访问权限。 否则,组策略将停止处理在遇到无法读取的 WMI 筛选器时。

  • 不能使用 GPMC 从 WMI 筛选器删除读取权限。

  • WMI 筛选器是只有一个域中的至少一个域控制器正在运行 Microsoft Windows Server 2003 或更高版本。

  • 您可以使用委派选项卡来更改或删除组或用户对 WMI 筛选器的权限。

委派组或用户对 Starter GPO 的权限

  1. 打开组策略管理控制台。 展开Starter Gpo节点。

  2. 单击要委派的 Starter GPO。

  3. 在结果窗格中,单击委派选项卡。

  4. 单击“添加”

  5. 选择用户、 计算机或组对话框中,单击对象类型,选择您要为其添加 Starter GPO 权限,然后单击的对象的类型确定

  6. 单击位置,选择整个目录域或包含您要为其添加 Starter GPO 权限,然后单击的对象的组织单位确定

  7. 输入要选择的对象名称框中,键入您要通过执行以下操作之一来添加 Starter GPO 权限的对象的名称:

    • 如果知道名称,键入它,然后单击确定

    • 若要搜索的名称,请单击高级,键入搜索条件,单击立即查找,在列表框中选择的名称,单击确定,然后单击确定再次。

  8. 权限添加组或用户对话框中,从下拉列表中选择适当的权限,然后单击确定

显示: