如何委派Domain-Level存取封存
設定環境的委派,讓群組原則系統管理員能夠適當地存取及控制封存中) 群組原則物件 (GPO。 您可以套用一些基準許可權,讓作業更有效率。 您可以使用任何符合組織需求的方式來授與許可權。
需要具有 AGPM 系統管理員 (完整控制) 角色或進階群組原則管理 (AGPM) 必要許可權的使用者帳戶,才能完成此程式。 檢閱本主題中中的詳細資料。
委派存取權,讓使用者和群組擁有整個網域中所有 GPO 的適當許可權
在[群組原則 管理主控台] 樹狀結構中,按一下您要管理 GPO 之樹系和網域中的 [變更控制項]。
按一下 [ 網域委派 ] 索引標籤,然後設定網域中所有 GPO 的存取權:
若要新增使用者或群組的存取權,請按一下 [ 新增 ] 按鈕,選取使用者或群組,然後按一下 [ 確定]。 在 [ 新增群組或使用者 ] 對話方塊中,選取角色,然後按一下 [ 確定]。
若要移除使用者或群組的存取權,請選取使用者或群組,然後按一下 [ 移除] 按鈕。
若要修改委派給使用者或群組的角色和許可權,請選取 [ 進階 ] 按鈕。 在 [ 許可權 ] 對話方塊中,選取使用者或群組,選取要指派給該使用者或群組之每個角色的核取方塊,然後按一下 [ 確定]。
注意 編輯器和核准者包含檢閱者許可權。
其他考量
根據預設,您必須是 AGPM 系統管理員 (完全控制) 才能執行此程式。 具體而言,您必須具有網域的 修改安全 性許可權。
若要將讀取權限委派給使用 AGPM 的群組原則系統管理員,您必須授與他們[清單內容] 和[讀取設定]許可權。 這可讓他們在 AGPM 的 [ 內容 ] 索引標籤上檢視 GPO。 必須明確委派其他許可權。
編輯器必須獲得 GPO 部署複本的讀取許可權,才能充分利用群組原則軟體安裝。
群組原則建立者擁有者群組中的成員資格應該受到限制,因此不會用來規避 AGPM 對 GPO 存取的管理。 (在群組原則 管理主控台中,按一下您要管理 GPO 之樹系和網域中的 [群組原則物件],按一下[委派],然後設定設定以符合組織的需求。)