次の方法で共有

アーカイブ内の個々の GPO へのアクセスを委任する方法

  • [アーティクル]

AGPM 管理者 (フル コントロール) として、アーカイブ内の制御されたグループ ポリシー オブジェクト (GPO) の管理を委任して、選択したグループとエディターが編集できるようにし、レビュー担当者がそれを確認し、承認者が承認できるようにします。

この手順を完了するには、AGPM 管理者 (フル コントロール) ロールを持つユーザー アカウント、GPO を作成した承認者のユーザー アカウント、または高度なグループ ポリシー管理 (AGPM) で必要なアクセス許可を持つユーザー アカウントが必要です。 このトピックの「その他の考慮事項」の詳細を確認してください。

制御された GPO の管理を委任するには

  1. グループ ポリシー管理コンソール ツリーで、GPO を管理するフォレストとドメインの [制御の変更] をクリックします。

  2. 詳細ウィンドウの [ コンテンツ ] タブで、[ 制御された ] タブをクリックして制御された GPO を表示し、委任する GPO をクリックします。

    1. ユーザーまたはグループのアクセス権を追加するには、[ 追加 ] ボタンをクリックし、ユーザーまたはグループを選択し、[OK] をクリック します。 [ グループまたはユーザーの追加 ] ダイアログ ボックスでロールを選択し、[OK] をクリック します

    2. ユーザーまたはグループのアクセス権を削除するには、ユーザーまたはグループを選択し、[ 削除 ] ボタンをクリックします。

      メモ ユーザーまたはグループがドメイン全体のアクセスを継承する場合、[ 削除 ] ボタンは使用できません。 ドメイン全体のアクセスは、[ ドメイン委任 ] タブで変更できます。

    3. ユーザーまたはグループに委任されたロールとアクセス許可を変更するには、[ 詳細設定 ] ボタンをクリックします。 [ アクセス許可 ] ダイアログ ボックスで、ユーザーまたはグループを選択し、そのユーザーまたはグループに割り当てる各ロールのチェック ボックスをオンにして、[OK] をクリック します

      メモ エディターと承認者には、レビュー担当者のアクセス許可が含まれます。

その他の考慮事項

  • 既定では、この手順を実行するには、GPO または AGPM 管理者 (フル コントロール) を作成または制御した承認者である必要があります。 具体的には、ドメインの [コンテンツの一覧表示] アクセス許可と GPO の [セキュリティの変更] アクセス許可が必要です。

  • AGPM を使用するグループ ポリシー管理者に読み取りアクセス権を委任するには、リスト コンテンツ読み取り設定のアクセス許可を付与する必要があります。 これにより、AGPM の [ コンテンツ ] タブで GPO を表示できます。 その他のアクセス許可は明示的に委任する必要があります。

  • 展開された GPO のコピーをソフトウェア インストールでフルに使用するには、エディターに読み取りアクセス許可グループ ポリシー必要があります。

  • グループ ポリシー Creator Owners グループのメンバーシップを制限する必要があるため、GPO へのアクセスの AGPM 管理を回避するために使用しないでください。 (グループ ポリシー管理コンソールで、GPO を管理するフォレストとドメインの [グループ ポリシー オブジェクト] をクリックし、[委任] をクリックし、組織のニーズに合わせて設定を構成します)。

その他の参照情報