Compartir a través de

Cómo delegar la administración de un GPO controlado

  • Artículo

Un aprobador puede delegar la administración de un objeto de directiva de grupo controlado (GPO) creado por ese aprobador. Al igual que un administrador de AGPM (control total), el aprobador puede delegar el acceso a dicho GPO para que los editores seleccionados puedan editarlo, los revisores puedan revisarlo y otros aprobadores puedan aprobarlo. De forma predeterminada, un aprobador no puede delegar el acceso a gpo creados por otro administrador de directiva de grupo.

Se requiere una cuenta de usuario con el rol de administrador de AGPM (control total), la cuenta de usuario del aprobador que creó el GPO o una cuenta de usuario con los permisos necesarios en Administración avanzada de directiva de grupo (AGPM) para completar este procedimiento. Revise los detalles de "Consideraciones adicionales" de este tema.

Para delegar la administración de un GPO controlado

  1. En el árbol directiva de grupo Consola de administración, haga clic en Cambiar control en el bosque y dominio en el que desea administrar gpo.

  2. En la pestaña Contenido del panel de detalles, haga clic en la pestaña Controlado para mostrar GPO controlados y, a continuación, haga clic en el GPO para delegar:

    1. Para agregar acceso para un usuario o grupo, haga clic en el botón Agregar , seleccione el usuario o grupo y haga clic en Aceptar. En el cuadro de diálogo Agregar grupo o usuario , seleccione un rol y haga clic en Aceptar.

    2. Para quitar el acceso de un usuario o grupo, seleccione el usuario o grupo y, a continuación, haga clic en el botón Quitar .

      Nota Si un usuario o grupo hereda el acceso a todo el dominio, el botón Quitar no está disponible. Puede modificar el acceso a todo el dominio en la pestaña Delegación de dominio .

    3. Para modificar los roles y permisos delegados a un usuario o grupo, haga clic en el botón Opciones avanzadas . En el cuadro de diálogo Permisos , seleccione el usuario o grupo, active la casilla de cada rol que se asignará a ese usuario o grupo y, a continuación, haga clic en Aceptar.

      Nota El editor y el aprobador incluyen permisos de revisor.

Consideraciones adicionales

  • De forma predeterminada, debe ser el aprobador que creó o controló el GPO o un administrador de AGPM (control total) para realizar este procedimiento. En concreto, debe tener el permiso Contenido de lista para el dominio y el permiso Modificar seguridad para el GPO.

  • Para delegar el acceso de lectura a directiva de grupo administradores que usan AGPM, debe concederles permisos de contenido de lista y de configuración de lectura. Esto les permite ver GPO en la pestaña Contenido de AGPM. Otros permisos deben delegarse explícitamente.

  • Los editores deben tener permiso de lectura para que la copia implementada de un GPO haga uso completo de directiva de grupo instalación de software.

Referencias adicionales