Делегирование управления управляемым объектом групповой политики
Утверждающий может делегировать управление управляемым объектом групповая политика, созданным этим утверждающим объектом. Как и администратор AGPM (полный доступ), утверждающий может делегировать доступ к такому объекту групповой политики, чтобы выбранные редакторы могли редактировать его, рецензенты могут просматривать его, а другие утверждающие могут утвердить его. По умолчанию утверждающий не может делегировать доступ к объектам групповой политики, созданным другим администратором групповая политика.
Для выполнения этой процедуры требуется учетная запись пользователя с ролью администратора AGPM (полный доступ), учетная запись утверждающего лица, создавшего объект групповой политики, или учетная запись пользователя с необходимыми разрешениями в advanced групповая политика Management (AGPM). Ознакомьтесь с подробными сведениями в разделе "Дополнительные рекомендации" в этом разделе.
Делегирование управления управляемым объектом групповой политики
В дереве консоли управления групповая политика щелкните Элемент управления изменениями в лесу и домене, в котором вы хотите управлять GPO.
На вкладке Содержимое в области сведений щелкните вкладку Контролируемые , чтобы отобразить управляемые объекты групповой политики, а затем щелкните объект групповой политики для делегирования:
Чтобы добавить доступ для пользователя или группы, нажмите кнопку Добавить , выберите пользователя или группу и нажмите кнопку ОК. В диалоговом окне Добавление группы или пользователя выберите роль и нажмите кнопку ОК.
Чтобы удалить доступ для пользователя или группы, выберите пользователя или группу и нажмите кнопку Удалить .
Примечание Если пользователь или группа наследует доступ на уровне домена, кнопка Удалить недоступна. Вы можете изменить доступ на уровне домена на вкладке Делегирование домена .
Чтобы изменить роли и разрешения, делегированные пользователю или группе, нажмите кнопку Дополнительно . В диалоговом окне Разрешения выберите пользователя или группу, установите флажки для каждой роли, которая будет назначена пользователю или группе, а затем нажмите кнопку ОК.
Примечание Редактор и утверждающий включают разрешения рецензента.
Дополнительные рекомендации
По умолчанию для выполнения этой процедуры необходимо быть утверждающим, который создал объект групповой политики или управлял им, или администратором AGPM (полный доступ). В частности, необходимо иметь разрешение на содержимое списка для домена и разрешение На изменение безопасности для объекта групповой политики.
Чтобы делегировать доступ на чтение администраторам групповая политика, которые используют AGPM, необходимо предоставить им разрешения На чтение содержимого списка и параметров чтения. Это позволяет им просматривать объекты групповой политики на вкладке Содержимое AGPM. Другие разрешения должны быть явно делегированы.
Редакторы должны иметь разрешение на чтение для развернутой копии объекта групповой политики, чтобы в полной мере использовать групповая политика установки программного обеспечения.