委派对生产环境的访问权限
在“高级组策略管理 (AGPM) ”中,可以更改对域生产环境中 (GPO) 组策略对象的访问权限,从而替换对这些 GPO 的任何现有权限。 可以在域级别配置权限,以允许或阻止用户在不使用组策略管理控制台中的更改 控制 文件夹时编辑、删除或修改生产环境中的 GPO 的安全性, (GPMC) 。
注意
- 更改对生产环境的访问权限的委派方式不会影响用户链接 GPO 的能力。
- 控制或部署 GPO 时,将删除除具有 读取 和 应用 权限的帐户以外的任何其他帐户的访问权限。
具有 AGPM 管理员角色的用户帐户 (完全控制) 或 AGPM 中所需的权限才能完成此过程。
在域的生产环境中更改对 GPO 的访问权限
在 组策略管理控制台 树中,选择要在其中管理 GPO 的林和域中的 “更改控制 ”。
选择“ 生产委派 ”选项卡。
若要为无权访问生产环境的用户或组添加权限,或替换具有访问权限的用户或组的权限,请执行以下操作:
选择“ 添加”,选择用户或组,然后选择“ 确定”。
为生产环境选择要委托给该用户或组的权限,然后选择“ 确定”。
若要删除用户或组的生产环境的所有权限,请选择该用户或组,选择 “删除”,然后选择“ 确定”。
其他注意事项
默认情况下,你必须是 AGPM 管理员, (完全控制) 才能执行此过程。 具体而言,必须具有域的 “修改安全性” 权限。
无法在“ 生产委派 ”选项卡上更改 AGPM 服务帐户的权限。
默认情况下,以下帐户在生产环境中具有对 GPO 的权限:
帐户 GPO 的默认权限 “AGPM 服务帐户” 编辑设置、删除、修改安全性 经过身份验证的用户 读取、应用 域管理员 编辑设置、删除、修改安全性 企业管理员 编辑设置、删除、修改安全性 企业域控制器 已阅读 系统 编辑设置、删除、修改安全性 组策略创建者所有者组中的成员身份应受到限制,因此它不用于绕过 AGPM 管理对 GPO 的访问。 在 组策略管理控制台中,选择要在其中管理 GPO 的林和域中的“ 组策略对象 ”,选择“ 委派”,然后配置设置以满足组织的需求。