Delegieren des Zugriffs auf ein einzelnes Gruppenrichtlinienobjekt im Archiv
Als AGPM-Administrator (Vollzugriff) können Sie die Verwaltung eines kontrollierten Gruppenrichtlinie Object (GPO) im Archiv delegieren, sodass ausgewählte Gruppen und Editoren es bearbeiten können, Prüfer es überprüfen und genehmigende Personen es genehmigen können.
Für dieses Verfahren ist ein Benutzerkonto mit der Rolle AGPM-Administrator (Vollzugriff), das Benutzerkonto des genehmigenden Benutzers, der das Gruppenrichtlinienobjekt erstellt hat, oder ein Benutzerkonto mit den erforderlichen Berechtigungen in Advanced Gruppenrichtlinie Management (AGPM) erforderlich. Lesen Sie die Details unter "Zusätzliche Überlegungen" in diesem Thema.
So delegieren Sie die Verwaltung eines kontrollierten Gruppenrichtlinienobjekts
Klicken Sie in der Struktur der Gruppenrichtlinie Verwaltungskonsole in der Gesamtstruktur und Domäne, in der Sie Gruppenrichtlinienobjekte verwalten möchten, auf Steuerung ändern.
Klicken Sie auf der Registerkarte Inhalt im Detailbereich auf die Registerkarte Kontrolliert , um gesteuerte Gruppenrichtlinienobjekte anzuzeigen, und klicken Sie dann auf das gruppenrichtlinienobjekt, das delegiert werden soll:
Klicken Sie zum Hinzufügen des Zugriffs für einen Benutzer oder eine Gruppe auf die Schaltfläche Hinzufügen , wählen Sie den Benutzer oder die Gruppe aus, und klicken Sie auf OK. Wählen Sie im Dialogfeld Gruppe oder Benutzer hinzufügen eine Rolle aus, und klicken Sie auf OK.
Um den Zugriff für einen Benutzer oder eine Gruppe zu entfernen, wählen Sie den Benutzer oder die Gruppe aus, und klicken Sie auf die Schaltfläche Entfernen .
Hinweis Wenn ein Benutzer oder eine Gruppe den domänenweiten Zugriff erbt, ist die Schaltfläche Entfernen nicht verfügbar. Sie können den domänenweiten Zugriff auf der Registerkarte Domänendelegierung ändern.
Klicken Sie auf die Schaltfläche Erweitert , um die an einen Benutzer oder eine Gruppe delegierte Rollen und Berechtigungen zu ändern. Wählen Sie im Dialogfeld Berechtigungen den Benutzer oder die Gruppe aus, aktivieren Sie das Kontrollkästchen für jede Rolle, die diesem Benutzer oder dieser Gruppe zugewiesen werden soll, und klicken Sie auf OK.
Hinweis Editor und Genehmiger enthalten Berechtigungen des Prüfers.
Weitere Überlegungen
Standardmäßig müssen Sie die genehmigende Person sein, die das Gruppenrichtlinienobjekt erstellt oder kontrolliert hat, oder ein AGPM-Administrator (Vollzugriff), um dieses Verfahren ausführen zu können. Insbesondere müssen Sie über die Berechtigung "Inhalte auflisten " für die Domäne und die Berechtigung "Sicherheit ändern " für das Gruppenrichtlinienobjekt verfügen.
Zum Delegieren des Lesezugriffs an Gruppenrichtlinie Administratoren, die AGPM verwenden, müssen Sie ihnen die Berechtigungen Listeninhalte sowie Leseeinstellungen gewähren. Dadurch können sie Gruppenrichtlinienobjekte auf der Registerkarte Inhalt von AGPM anzeigen. Andere Berechtigungen müssen explizit delegiert werden.
Editoren müssen über die Leseberechtigung für die bereitgestellte Kopie eines Gruppenrichtlinienobjekts verfügen, um Gruppenrichtlinie Softwareinstallation in vollem Umfang nutzen zu können.
Die Mitgliedschaft in der Gruppe "Gruppenrichtlinie Creator Owners" sollte eingeschränkt werden, sodass sie nicht verwendet wird, um die AGPM-Verwaltung des Zugriffs auf Gruppenrichtlinienobjekte zu umgehen. (Klicken Sie in der Gruppenrichtlinie Management Console auf Gruppenrichtlinie Objekte in der Gesamtstruktur und Domäne, in der Sie GPOs verwalten möchten, klicken Sie auf Delegierung, und konfigurieren Sie dann die Einstellungen, um die Anforderungen Ihrer Organisation zu erfüllen.)