Delega dell'accesso all'ambiente di produzione
In Gestione avanzata criteri di gruppo è possibile modificare l'accesso agli oggetti Criteri di gruppo nell'ambiente di produzione del dominio, sostituendo eventuali autorizzazioni esistenti per tali oggetti Criteri di gruppo. È possibile configurare le autorizzazioni a livello di dominio per consentire o impedire agli utenti di modificare, eliminare o modificare la sicurezza degli oggetti Criteri di gruppo nell'ambiente di produzione quando non usano la cartella Modifica controllo nella Console Gestione Criteri di gruppo.
Nota
- La modifica della modalità di delega dell'accesso all'ambiente di produzione non influisce sulla capacità degli utenti di collegare oggetti Criteri di gruppo.
- Quando gli oggetti Criteri di gruppo vengono controllati o distribuiti, l'accesso per qualsiasi altro account, ad eccezione di quelli con autorizzazioni lettura e applicazione , viene rimosso.
Per completare questa procedura, è necessario un account utente con il ruolo di amministratore di AgPM (controllo completo) o le autorizzazioni necessarie in AgPM.
Per modificare l'accesso agli oggetti Criteri di gruppo nell'ambiente di produzione del dominio
Nell'albero della Console Gestione Criteri di gruppo selezionare Modifica controllo nella foresta e nel dominio in cui si desidera gestire gli oggetti Criteri di gruppo.
Selezionare la scheda Delega di produzione .
Per aggiungere autorizzazioni per un utente o un gruppo che non ha accesso all'ambiente di produzione o per sostituire le autorizzazioni per un utente o un gruppo che ha accesso:
Selezionare Aggiungi, selezionare un utente o un gruppo e quindi ok.
Selezionare le autorizzazioni per delegare a tale utente o gruppo per l'ambiente di produzione e quindi selezionare OK.
Per rimuovere tutte le autorizzazioni per l'ambiente di produzione per un utente o un gruppo, selezionare l'utente o il gruppo, selezionare Rimuovi e quindi selezionare OK.
Altre considerazioni
Per impostazione predefinita, è necessario essere un amministratore di AgPM (controllo completo) per eseguire questa procedura. In particolare, è necessario disporre dell'autorizzazione Modifica sicurezza per il dominio.
Le autorizzazioni per l'account del servizio AgPM non possono essere modificate nella scheda Delega di produzione .
Per impostazione predefinita, gli account seguenti dispongono delle autorizzazioni per gli oggetti Criteri di gruppo nell'ambiente di produzione:
Account Autorizzazioni predefinite per gli oggetti Criteri di gruppo "Account del servizio AGPM" Modificare le impostazioni, eliminare, modificare la sicurezza Utenti autenticati Lettura, applicazione Domain Admins Modificare le impostazioni, eliminare, modificare la sicurezza Enterprise Admins Modificare le impostazioni, eliminare, modificare la sicurezza Controller di dominio aziendali Read System Modificare le impostazioni, eliminare, modificare la sicurezza L'appartenenza al gruppo Proprietari creatori di Criteri di gruppo deve essere limitata, quindi non viene usata per aggirare la gestione agpm dell'accesso agli oggetti Criteri di gruppo. Nella Console Gestione Criteri di gruppo selezionare Oggetti Criteri di gruppo nella foresta e nel dominio in cui si desidera gestire gli oggetti Criteri di gruppo, selezionare Delega e quindi configurare le impostazioni per soddisfare le esigenze dell'organizzazione.