다음을 통해 공유

프로덕션 환경에 대한 액세스 위임

  • 아티클

AGPM(고급 그룹 정책 관리)에서 도메인의 프로덕션 환경에서 GPO(그룹 정책 개체)에 대한 액세스를 변경하여 해당 GPO에 대한 기존 권한을 대체할 수 있습니다. GPMC(그룹 정책 관리 콘솔)에서 변경 제어 폴더를 사용하지 않는 경우 사용자가 프로덕션 환경에서 GPO의 보안을 편집, 삭제 또는 수정할 수 없도록 도메인 수준에서 권한을 구성할 수 있습니다.

참고

  • 프로덕션 환경에 대한 액세스를 위임하는 방법을 변경해도 GPO를 연결하는 사용자의 기능에는 영향을 주지 않습니다.
  • GPO가 제어되거나 배포되면 읽기적용 권한이 있는 계정을 제외한 다른 계정에 대한 액세스가 제거됩니다.

이 절차를 완료하려면 AGPM 관리자의 역할(모든 권한) 또는 AGPM에서 필요한 권한이 있는 사용자 계정이 필요합니다.

도메인의 프로덕션 환경에서 GPO에 대한 액세스를 변경하려면

  1. 그룹 정책 관리 콘솔 트리에서 GPO를 관리할 포리스트 및 도메인에서 제어 변경을 선택합니다.

  2. 프로덕션 위임 탭을 선택합니다.

  3. 프로덕션 환경에 액세스할 수 없는 사용자 또는 그룹에 대한 권한을 추가하거나 액세스 권한이 있는 사용자 또는 그룹에 대한 권한을 바꾸려면 다음을 수행합니다.

    1. 추가를 선택하고 사용자 또는 그룹을 선택한 다음 확인을 선택합니다.

    2. 프로덕션 환경에 대해 해당 사용자 또는 그룹에 위임할 권한을 선택한 다음 확인을 선택합니다.

  4. 사용자 또는 그룹에 대한 프로덕션 환경에 대한 모든 권한을 제거하려면 사용자 또는 그룹을 선택하고 제거를 선택한 다음 확인을 선택합니다.

기타 고려 사항

  • 기본적으로 이 절차를 수행하려면 AGPM 관리자(모든 권한)여야 합니다. 특히 도메인에 대한 보안 수정 권한이 있어야 합니다.

  • AGPM 서비스 계정에 대한 사용 권한은 프로덕션 위임 탭에서 변경할 수 없습니다.

  • 기본적으로 다음 계정에는 프로덕션 환경에서 GPO에 대한 권한이 있습니다.

    계정 GPO에 대한 기본 권한
    "AGPM 서비스 계정" 설정 편집, 삭제, 보안 수정
    인증된 사용자 읽기, 적용
    도메인 관리자 설정 편집, 삭제, 보안 수정
    엔터프라이즈 관리자 설정 편집, 삭제, 보안 수정
    엔터프라이즈 도메인 컨트롤러 Read
    System 설정 편집, 삭제, 보안 수정

  • 그룹 정책 작성자 소유자 그룹의 멤버 자격을 제한해야 하므로 GPO에 대한 액세스의 AGPM 관리를 우회하는 데 사용되지 않습니다. 그룹 정책 관리 콘솔에서 GPO를 관리할 포리스트 및 도메인에서 그룹 정책 개체를 선택하고 위임을 선택한 다음 조직의 요구 사항에 맞게 설정을 구성합니다.