Como delegar o acesso a um GPO individual no Arquivo
Como administrador do AGPM (Controle Total), você pode delegar o gerenciamento de um GPO (objeto Política de Grupo controlado) no arquivo para que grupos selecionados e editores possam editá-lo, os Revisores possam revisá-lo e os aprovadores possam aprová-lo.
Uma conta de usuário com a função administrador do AGPM (Controle Total), a conta de usuário do Aprovador que criou o GPO ou uma conta de usuário com as permissões necessárias no AGPM (Advanced Política de Grupo Management) é necessária para concluir esse procedimento. Examine os detalhes em "Considerações adicionais" neste tópico.
Para delegar o gerenciamento de um GPO controlado
Na árvore Política de Grupo Console de Gerenciamento, clique em Alterar Controle na floresta e no domínio no qual você deseja gerenciar GPOs.
Na guia Conteúdo no painel de detalhes, clique na guia Controlado para exibir GPOs controlados e clique no GPO para delegar:
Para adicionar acesso a um usuário ou grupo, clique no botão Adicionar , selecione o usuário ou grupo e clique em OK. Na caixa de diálogo Adicionar Grupo ou Usuário , selecione uma função e clique em OK.
Para remover o acesso de um usuário ou grupo, selecione o usuário ou o grupo e clique no botão Remover .
Nota Se um usuário ou grupo herdar o acesso em todo o domínio, o botão Remover não estará disponível. Você pode modificar o acesso em todo o domínio na guia Delegação de Domínio .
Para modificar as funções e permissões delegadas a um usuário ou grupo, clique no botão Avançado . Na caixa de diálogo Permissões , selecione o usuário ou grupo, selecione a caixa de seleção para cada função a ser atribuída a esse usuário ou grupo e clique em OK.
Nota Editor e Aprovador incluem permissões do Revisor.
Considerações adicionais
Por padrão, você deve ser o Aprovador que criou ou controlou o GPO ou um Administrador AGPM (Controle Total) para executar esse procedimento. Especificamente, você deve ter permissão de Conteúdo de Lista para o domínio e modificar a permissão de segurança para o GPO.
Para delegar o acesso de leitura aos administradores de Política de Grupo que usam o AGPM, você deve conceder a eles conteúdo de lista, bem como permissões de Configurações de Leitura. Isso permite que eles exibam GPOs na guia Conteúdo do AGPM. Outras permissões devem ser explicitamente delegadas.
Os editores devem ter permissão de leitura para a cópia implantada de um GPO para fazer uso completo de Política de Grupo Instalação de Software.
A associação no grupo Política de Grupo Proprietários de Criadores deve ser restrita, portanto, não é usada para burlar o gerenciamento do AGPM de acesso a GPOs. (No Console de Gerenciamento Política de Grupo, clique em Política de Grupo Objetos na floresta e no domínio no qual deseja gerenciar GPOs, clique em Delegação e configure as configurações para atender às necessidades da sua organização.)