Freigeben über

Delegieren des Domain-Level Zugriffs auf das Archiv

  • Artikel

Richten Sie die Delegierung für Ihre Umgebung ein, damit Gruppenrichtlinie Administratoren den entsprechenden Zugriff auf und die Kontrolle über Gruppenrichtlinie Objects (GPOs) im Archiv haben. Es gibt Baselineberechtigungen, die Sie anwenden können, um den Betrieb effizienter zu gestalten. Sie können Berechtigungen auf jede Weise erteilen, die den Anforderungen Ihrer Organisation entspricht.

Für dieses Verfahren ist ein Benutzerkonto mit der Rolle "AGPM-Administrator (Vollzugriff)" oder den erforderlichen Berechtigungen in Advanced Gruppenrichtlinie Management (AGPM) erforderlich. Lesen Sie die Details unter "Zusätzliche Überlegungen" in diesem Thema.

So delegieren Sie den Zugriff, sodass Benutzer und Gruppen über geeignete Berechtigungen für alle Gruppenrichtlinienobjekte in einer Domäne verfügen

  1. Klicken Sie in der Struktur der Gruppenrichtlinie Verwaltungskonsole in der Gesamtstruktur und Domäne, in der Sie Gruppenrichtlinienobjekte verwalten möchten, auf Steuerung ändern.

  2. Klicken Sie auf die Registerkarte Domänendelegierung , und konfigurieren Sie den Zugriff auf alle Gruppenrichtlinienobjekte in der Domäne:

    1. Klicken Sie zum Hinzufügen des Zugriffs für einen Benutzer oder eine Gruppe auf die Schaltfläche Hinzufügen , wählen Sie den Benutzer oder die Gruppe aus, und klicken Sie auf OK. Wählen Sie im Dialogfeld Gruppe oder Benutzer hinzufügen eine Rolle aus, und klicken Sie auf OK.

    2. Um den Zugriff für einen Benutzer oder eine Gruppe zu entfernen, wählen Sie den Benutzer oder die Gruppe aus, und klicken Sie auf die Schaltfläche Entfernen .

    3. Um die an einen Benutzer oder eine Gruppe delegierten Rollen und Berechtigungen zu ändern, klicken Sie auf die Schaltfläche Erweitert . Wählen Sie im Dialogfeld Berechtigungen den Benutzer oder die Gruppe aus, aktivieren Sie das Kontrollkästchen für jede Rolle, die diesem Benutzer oder dieser Gruppe zugewiesen werden soll, und klicken Sie dann auf OK.

      Hinweis Editor und Genehmiger enthalten Berechtigungen des Prüfers.

Weitere Überlegungen

  • Standardmäßig müssen Sie ein AGPM-Administrator (Vollzugriff) sein, um dieses Verfahren ausführen zu können. Insbesondere müssen Sie über die Berechtigung Sicherheit ändern für die Domäne verfügen.

  • Zum Delegieren des Lesezugriffs an Gruppenrichtlinie Administratoren, die AGPM verwenden, müssen Sie ihnen die Berechtigungen Listeninhalte sowie Leseeinstellungen gewähren. Dadurch können sie Gruppenrichtlinienobjekte auf der Registerkarte Inhalt von AGPM anzeigen. Andere Berechtigungen müssen explizit delegiert werden.

  • Editoren muss die Leseberechtigung für die bereitgestellte Kopie eines Gruppenrichtlinienobjekts erteilt werden, um Gruppenrichtlinie Softwareinstallation vollständig nutzen zu können.

  • Die Mitgliedschaft in der Gruppe "Gruppenrichtlinie Creator Owners" sollte eingeschränkt werden, sodass sie nicht verwendet wird, um die AGPM-Verwaltung des Zugriffs auf Gruppenrichtlinienobjekte zu umgehen. (Klicken Sie in der Gruppenrichtlinie Management Console auf Gruppenrichtlinie Objekte in der Gesamtstruktur und Domäne, in der Sie GPOs verwalten möchten, klicken Sie auf Delegierung, und konfigurieren Sie dann die Einstellungen, um die Anforderungen Ihrer Organisation zu erfüllen.)

Weitere Referenzen