Freigeben über

Delegieren des Zugriffs auf die Produktionsumgebung

  • Artikel

Unter Erweiterte Gruppenrichtlinienverwaltung (Advanced Group Policy Management, AGPM) können Sie den Zugriff auf Gruppenrichtlinienobjekte (GPOs) in der Produktionsumgebung der Domäne ändern und alle vorhandenen Berechtigungen für diese Gruppenrichtlinienobjekte ersetzen. Sie können Berechtigungen auf Domänenebene konfigurieren, um Benutzern das Bearbeiten, Löschen oder Ändern der Sicherheit von Gruppenrichtlinienobjekten in der Produktionsumgebung zu erlauben oder zu verhindern, wenn sie den Ordner Änderungssteuerung in der Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC) nicht verwenden.

Hinweis

  • Wenn Sie ändern, wie der Zugriff auf die Produktionsumgebung delegiert wird, wirkt sich dies nicht auf die Fähigkeit der Benutzer aus, GPOs zu verknüpfen.
  • Wenn Gruppenrichtlinienobjekte gesteuert oder bereitgestellt werden, wird der Zugriff für alle anderen Konten mit Ausnahme von Konten mit lese- und anwenden-Berechtigungen entfernt.

Ein Benutzerkonto, das entweder über die Rolle des AGPM-Administrators (Vollzugriff) oder die erforderlichen Berechtigungen in AGPM verfügt, ist erforderlich, um dieses Verfahren abzuschließen.

So ändern Sie den Zugriff auf Gruppenrichtlinienobjekte in der Produktionsumgebung der Domäne

  1. Wählen Sie in der Struktur der Gruppenrichtlinien-Verwaltungskonsole die Option Steuerung ändern in der Gesamtstruktur und Domäne aus, in der Sie Gruppenrichtlinienobjekte verwalten möchten.

  2. Wählen Sie die Registerkarte Produktionsdelegierung aus .

  3. So fügen Sie Berechtigungen für einen Benutzer oder eine Gruppe hinzu, der keinen Zugriff auf die Produktionsumgebung hat, oder ersetzen die Berechtigungen für einen Benutzer oder eine Gruppe, die Zugriff hat:

    1. Wählen Sie Hinzufügen aus, wählen Sie einen Benutzer oder eine Gruppe aus, und klicken Sie dann auf OK.

    2. Wählen Sie Berechtigungen aus, die an diesen Benutzer oder diese Gruppe für die Produktionsumgebung delegieren werden sollen, und klicken Sie dann auf OK.

  4. Um alle Berechtigungen für die Produktionsumgebung für einen Benutzer oder eine Gruppe zu entfernen, wählen Sie den Benutzer oder die Gruppe aus, wählen Sie Entfernen und dann OK aus.

Weitere Aspekte

  • Standardmäßig müssen Sie ein AGPM-Administrator (Vollzugriff) sein, um dieses Verfahren ausführen zu können. Insbesondere müssen Sie über die Berechtigung Sicherheit ändern für die Domäne verfügen.

  • Berechtigungen für das AGPM-Dienstkonto können auf der Registerkarte Produktionsdelegierung nicht geändert werden.

  • Standardmäßig verfügen die folgenden Konten über Berechtigungen für Gruppenrichtlinienobjekte in der Produktionsumgebung:

    Account Standardberechtigungen für Gruppenrichtlinienobjekte
    "AGPM-Dienstkonto" Bearbeiten von Einstellungen, Löschen, Ändern der Sicherheit
    Authentifizierte Benutzer Lesen, anwenden
    Domänenadministratoren Bearbeiten von Einstellungen, Löschen, Ändern der Sicherheit
    Organisationsadministratoren Bearbeiten von Einstellungen, Löschen, Ändern der Sicherheit
    Organisationsdomänencontroller Lesen
    System Bearbeiten von Einstellungen, Löschen, Ändern der Sicherheit

  • Die Mitgliedschaft in der Gruppe Gruppenrichtlinienerstellerbesitzer sollte eingeschränkt werden, damit sie nicht verwendet wird, um die AGPM-Verwaltung des Zugriffs auf Gruppenrichtlinienobjekte zu umgehen. Wählen Sie in der Gruppenrichtlinien-VerwaltungskonsoleGruppenrichtlinienobjekte in der Gesamtstruktur und Domäne aus, in der Sie Gruppenrichtlinienobjekte verwalten möchten, wählen Sie Delegierung aus, und konfigurieren Sie dann die Einstellungen, um die Anforderungen Ihrer Organisation zu erfüllen.