Compartir a través de

Delegación del acceso al entorno de producción

  • Artículo

En Administración avanzada de directivas de grupo (AGPM), puede cambiar el acceso a los objetos de directiva de grupo (GPO) en el entorno de producción del dominio, reemplazando los permisos existentes en esos GPO. Puede configurar permisos en el nivel de dominio para permitir o impedir que los usuarios editen, eliminen o modifiquen la seguridad de los GPO en el entorno de producción cuando no usen la carpeta Control de cambios en la Consola de administración de directivas de grupo (GPMC).

Nota

  • Cambiar la forma en que se delega el acceso al entorno de producción no afecta a la capacidad de los usuarios para vincular GPO.
  • Cuando los GPO se controlan o implementan, se quita el acceso para cualquier otra cuenta, excepto aquellas con permisos De lectura y Aplicación .

Se requiere una cuenta de usuario que tenga el rol de administrador de AGPM (control total) o los permisos necesarios en AGPM para completar este procedimiento.

Para cambiar el acceso a gpo en el entorno de producción del dominio

  1. En el árbol De la consola de administración de directivas de grupo, seleccione Cambiar control en el bosque y dominio en el que desea administrar los GPO.

  2. Seleccione la pestaña Delegación de producción .

  3. Para agregar permisos para un usuario o grupo que no tiene acceso al entorno de producción, o para reemplazar los permisos de un usuario o grupo que tiene acceso:

    1. Seleccione Agregar, seleccione un usuario o grupo y, a continuación, seleccione Aceptar.

    2. Seleccione los permisos para delegar en ese usuario o grupo para el entorno de producción y, a continuación, seleccione Aceptar.

  4. Para quitar todos los permisos del entorno de producción para un usuario o grupo, seleccione el usuario o grupo, seleccione Quitar y, a continuación, seleccione Aceptar.

Otras consideraciones

  • De forma predeterminada, debe ser administrador de AGPM (control total) para realizar este procedimiento. En concreto, debe tener el permiso Modificar seguridad para el dominio.

  • Los permisos de la cuenta de servicio de AGPM no se pueden cambiar en la pestaña Delegación de producción .

  • De forma predeterminada, las cuentas siguientes tienen permisos para GPO en el entorno de producción:

    Cuenta Permisos predeterminados para GPO
    "Cuenta de servicio de AGPM" Edición de la configuración, eliminación, modificación de la seguridad
    Usuarios autentificados Leer, aplicar
    Administradores de dominio Edición de la configuración, eliminación, modificación de la seguridad
    Administradores de empresa Edición de la configuración, eliminación, modificación de la seguridad
    Controladores de dominio de empresa Leer
    Sistema Edición de la configuración, eliminación, modificación de la seguridad

  • La pertenencia al grupo Propietarios de creadores de directivas de grupo debe estar restringida, por lo que no se usa para eludir la administración de AGPM del acceso a los GPO. En la Consola de administración de directivas de grupo, seleccione Objetos de directiva de grupo en el bosque y dominio en el que desea administrar gpo, seleccione Delegación y, a continuación, configure la configuración para satisfacer las necesidades de su organización.