委派生產環境的存取權
在 [進階組策略管理] (AGPM) 中,您可以變更網域生產環境中 (GPO) 組原則物件的存取權,取代這些 GPO 上的任何現有許可權。 您可以在網域層級設定許可權,以允許或防止使用者在生產環境中編輯、刪除或修改 GPO 的安全性,當他們未使用組策略管理控制台中的 [變更控制 ] 資料夾時, (GPMC) 。
注意
- 變更對生產環境的存取權委派方式,並不會影響用戶連結 GPO 的能力。
- 當 GPO 受到控制或部署時,除了具有 讀 取和 套 用許可權的帳戶以外,任何其他帳戶的存取權都會移除。
需要具有 AGPM 系統管理員角色 (完全控制) 或 AGPM 中必要許可權的用戶帳戶,才能完成此程式。
變更網域生產環境中 GPO 的存取權
在組 策略管理主控台 樹狀結構中,選取您要管理 GPO 之樹系和網域中的 [ 變更 控制]。
選取 [ 生產委派] 索引 標籤。
若要為沒有生產環境存取權的使用者或群組新增許可權,或取代具有存取權之使用者或群組的許可權:
選取 [新增],選取使用者或群組,然後選取 [ 確定]。
選取要委派給生產環境之使用者或群組的許可權,然後選取 [ 確定]。
若要移除使用者或群組生產環境的所有許可權,請選取使用者或群組,選取 [ 移除],然後選取 [ 確定]。
其他考量
根據預設,您必須是 AGPM 系統管理員 (完全控制) 才能執行此程式。 具體而言,您必須具有網域的 修改安全 性許可權。
AGPM 服務帳戶的許可權無法在 [生產 委派] 索引卷標上變更。
根據預設,下列帳戶具有生產環境中 GPO 的許可權:
帳戶 GPO 的預設許可權 “AGPM 服務帳戶” 編輯設定、刪除、修改安全性 已驗證的使用者 讀取、套用 網域系統管理員 編輯設定、刪除、修改安全性 企業系統管理員 編輯設定、刪除、修改安全性 企業域控制器 讀取 系統 編輯設定、刪除、修改安全性 組策略建立者擁有者群組中的成員資格應該受到限制,因此不會用來規避 AGPM 對 GPO 存取的管理。 在組策略管理控制台中,選取您要管理 GPO 之樹系和網域中的組策略對象,選取 [委派],然後設定設定以符合組織的需求。