運用環境へのアクセスの委任
Advanced Group Policy Management (AGPM) では、ドメインの運用環境のグループ ポリシー オブジェクト (GPO) へのアクセスを変更し、それらの GPO に対する既存のアクセス許可を置き換えることができます。 グループ ポリシー管理コンソール (GPMC) の [変更制御 ] フォルダーを使用していない場合に、ユーザーが運用環境の GPO のセキュリティを編集、削除、または変更できないように、ドメイン レベルでアクセス許可を構成できます。
注
- 運用環境へのアクセスを委任する方法を変更しても、GPO をリンクするユーザーの機能には影響しません。
- GPO が制御またはデプロイされると、読み取りと適用のアクセス許可を持つアカウントを除く他のすべてのアカウントのアクセスが削除されます。
この手順を完了するには、AGPM 管理者の役割 (フル コントロール) または AGPM で必要なアクセス許可を持つユーザー アカウントが必要です。
ドメインの運用環境で GPO へのアクセスを変更するには
[グループ ポリシー管理コンソール] ツリーで、GPO を管理するフォレストとドメインで [制御の変更] を選択します。
[ 運用委任 ] タブを選択します。
運用環境にアクセスできないユーザーまたはグループのアクセス許可を追加したり、アクセス権を持つユーザーまたはグループのアクセス許可を置き換えたりするには、
[ 追加] を選択し、ユーザーまたはグループを選択し、[ OK] を選択します。
運用環境のそのユーザーまたはグループに委任するアクセス許可を選択し、[OK] を選択します。
ユーザーまたはグループの運用環境に対するすべてのアクセス許可を削除するには、ユーザーまたはグループを選択し、[ 削除] を選択し、[ OK] を選択します。
他の考慮事項
既定では、この手順を実行するには AGPM 管理者 (フル コントロール) である必要があります。 具体的には、ドメインの [セキュリティの変更] アクセス許可が必要です。
AGPM サービス アカウントのアクセス許可は、[ 運用委任 ] タブでは変更できません。
既定では、次のアカウントには運用環境の GPO に対するアクセス許可があります。
Account GPO の既定のアクセス許可 "AGPM サービス アカウント" 設定の編集、削除、セキュリティの変更 認証されたユーザー 読み取り、適用 ドメイン管理者 設定の編集、削除、セキュリティの変更 Enterprise 管理者 設定の編集、削除、セキュリティの変更 Enterprise ドメイン コントローラー 読み取り System 設定の編集、削除、セキュリティの変更 グループ ポリシー作成者所有者グループのメンバーシップは制限する必要があるため、GPO へのアクセスの AGPM 管理を回避するために使用しないでください。 グループ ポリシー管理コンソールで、GPO を管理するフォレストとドメインのグループ ポリシー オブジェクトを選択し、[委任] を選択し、組織のニーズに合わせて設定を構成します。