Compartilhar via

Delegar o acesso ao ambiente de produção

  • Artigo

Na Gestão Avançada de Políticas de Grupo (AGPM), pode alterar o acesso a objetos de política de grupo (GPOs) no ambiente de produção do domínio, substituindo quaisquer permissões existentes nesses GPOs. Pode configurar permissões ao nível do domínio para permitir ou impedir que os utilizadores editem, eliminem ou modifiquem a segurança dos GPOs no ambiente de produção quando não estiverem a utilizar a pasta Alterar Controlo na Consola de Gestão de Políticas de Grupo (GPMC).

Observação

  • Alterar a forma como o acesso ao ambiente de produção é delegado não afeta a capacidade dos utilizadores de ligar GPOs.
  • Quando os GPOs são controlados ou implementados, o acesso a quaisquer outras contas, exceto as que têm permissões de Leitura e Aplicar , é removido.

É necessária uma conta de utilizador que tenha a função de administrador do AGPM (controlo total) ou as permissões necessárias no AGPM para concluir este procedimento.

Para alterar o acesso aos GPOs no ambiente de produção do domínio

  1. Na árvore da Consola de Gestão de Políticas de Grupo , selecione Alterar Controlo na floresta e domínio em que pretende gerir GPOs.

  2. Selecione o separador Delegação de Produção .

  3. Para adicionar permissões para um utilizador ou grupo que não tem acesso ao ambiente de produção ou para substituir as permissões de um utilizador ou grupo que tenha acesso:

    1. Selecione Adicionar, selecione um utilizador ou grupo e, em seguida, selecione OK.

    2. Selecione permissões para delegar a esse utilizador ou grupo para o ambiente de produção e, em seguida, selecione OK.

  4. Para remover todas as permissões para o ambiente de produção de um utilizador ou grupo, selecione o utilizador ou grupo, selecione Remover e, em seguida, selecione OK.

Outras considerações

  • Por predefinição, tem de ser um administrador do AGPM (controlo total) para efetuar este procedimento. Especificamente, tem de ter a permissão Modificar Segurança para o domínio.

  • As permissões para a Conta de Serviço do AGPM não podem ser alteradas no separador Delegação de Produção .

  • Por predefinição, as seguintes contas têm permissões para GPOs no ambiente de produção:

    Account Permissões predefinidas para GPOs
    "Conta de Serviço do AGPM" Editar definições, eliminar, modificar segurança
    Utilizadores Autenticados Ler, aplicar
    Administradores de Domínio Editar definições, eliminar, modificar segurança
    Administradores empresariais Editar definições, eliminar, modificar segurança
    Controladores de Domínio Empresarial Leitura
    System Editar definições, eliminar, modificar segurança

  • A associação ao grupo Proprietários de Criadores de Políticas de Grupo deve ser restrita, pelo que não é utilizada para contornar a gestão agPM do acesso aos GPOs. Na Consola de Gestão de Políticas de Grupo, selecione Objetos de Política de Grupo na floresta e domínio em que pretende gerir GPOs, selecione Delegação e, em seguida, configure as definições para satisfazer as necessidades da sua organização.