Cómo delegar el acceso a un GPO individual en el archivo
Como administrador de AGPM (control total), puede delegar la administración de un objeto de directiva de grupo controlado (GPO) en el archivo para que los grupos y editores seleccionados puedan editarlo, los revisores puedan revisarlo y los aprobadores puedan aprobarlo.
Se requiere una cuenta de usuario con el rol de administrador de AGPM (control total), la cuenta de usuario del aprobador que creó el GPO o una cuenta de usuario con los permisos necesarios en Administración avanzada de directiva de grupo (AGPM) para completar este procedimiento. Revise los detalles de "Consideraciones adicionales" de este tema.
Para delegar la administración de un GPO controlado
En el árbol directiva de grupo Consola de administración, haga clic en Cambiar control en el bosque y dominio en el que desea administrar gpo.
En la pestaña Contenido del panel de detalles, haga clic en la pestaña Controlado para mostrar GPO controlados y, a continuación, haga clic en el GPO para delegar:
Para agregar acceso para un usuario o grupo, haga clic en el botón Agregar , seleccione el usuario o grupo y haga clic en Aceptar. En el cuadro de diálogo Agregar grupo o usuario , seleccione un rol y haga clic en Aceptar.
Para quitar el acceso de un usuario o grupo, seleccione el usuario o grupo y haga clic en el botón Quitar .
Nota Si un usuario o grupo hereda el acceso a todo el dominio, el botón Quitar no está disponible. Puede modificar el acceso a todo el dominio en la pestaña Delegación de dominio .
Para modificar los roles y permisos delegados a un usuario o grupo, haga clic en el botón Opciones avanzadas . En el cuadro de diálogo Permisos , seleccione el usuario o grupo, active la casilla de cada rol que se asignará a ese usuario o grupo y haga clic en Aceptar.
Nota El editor y el aprobador incluyen permisos de revisor.
Consideraciones adicionales
De forma predeterminada, debe ser el aprobador que creó o controló el GPO o un administrador de AGPM (control total) para realizar este procedimiento. En concreto, debe tener el permiso Contenido de lista para el dominio y el permiso Modificar seguridad para el GPO.
Para delegar el acceso de lectura a directiva de grupo administradores que usan AGPM, debe concederles permisos de contenido de lista y de configuración de lectura. Esto les permite ver GPO en la pestaña Contenido de AGPM. Otros permisos deben delegarse explícitamente.
Los editores deben tener permiso de lectura para que la copia implementada de un GPO haga uso completo de directiva de grupo instalación de software.
La pertenencia al grupo propietarios de creadores de directiva de grupo debe estar restringida, por lo que no se usa para eludir la administración de AGPM del acceso a gpo. (En la consola de administración de directiva de grupo, haga clic en directiva de grupo Objetos en el bosque y dominio en el que desea administrar gpo, haga clic en Delegación y, a continuación, configure los valores para satisfacer las necesidades de su organización).