Если пользователю назначена роль Администратор расширенного управления групповыми политиками (полный доступ), то он может делегировать управление управляемым Объект групповой политики в архиве, чтобы указанные группы и редакторы, проверяющие и утверждающие могли выполнять с ним разрешенные им операции.
Для выполнения этой процедуры требуется учетная запись пользователя с ролью Администратор расширенного управления групповыми политиками (полный доступ), учетная запись с ролью утверждающего, который создал объект групповой политики, или учетная запись с необходимыми разрешениями в Расширенное управление групповыми политиками. Просмотрите дополнительные сведения в "Дополнительных сведениях" в данном разделе.
Чтобы делегировать управление управляемым объектом групповой политики, выполните следующие действия. |
-
В дереве Консоль управления групповыми политиками нажмите Изменить управление в лесу или домене, в котором требуется управлять объектами групповых политик.
-
На панели подробностей вкладки Содержание выберите вкладку Управляемые, чтобы отобразить управляемые объекты групповой политики, а затем выберите объект групповой политики, управление которым необходимо делегировать.
-
Чтобы добавить права доступа для пользователя или группы, нажмите кнопку Добавить, выберите пользователя или группу, а затем нажмите кнопку ОК. В диалоговом окне Добавление группы или пользователя выберите роль и нажмите кнопку ОК.
-
Чтобы удалить доступ для пользователя или группы, выберите пользователя или группу и нажмите кнопку Удалить.
Примечание Если пользователь или группа наследует доступ на уровне домена, кнопка Удалить недоступна. Доступ на уровне домена изменяется на вкладке Делегирование домена.
-
Чтобы изменить роли и разрешения, делегированные для пользователя или группы, нажмите кнопку Дополнительно. В диалоговом окне Разрешения выберите пользователя или группу, установите флажок для каждой роли, которую необходимо назначить для пользователя или группы, а затем нажмите кнопку ОК.
Примечание Редактор и утверждающий обладают разрешениями проверяющего.
-
Дополнительные сведения
- Для выполнения этой процедуры по умолчанию
пользователь должен являться утверждающим, который создал объект
групповой политики или управлял им, или Администратор расширенного
управления групповыми политиками (полный доступ). В частности,
требуются разрешения Список содержимого для домена и
Изменение параметров безопасности для объекта групповой
политики.
- Чтобы делегировать доступ для чтения
администраторам групповых политик, использующим AGPM, необходимо
предоставить им разрешения Список содержимого и Прочесть
параметры. Это позволяет им видеть объекты групповой политики
на вкладке Содержание службы AGPM. Другие разрешения должны
быть явно предоставлены.
- Редакторы должны иметь разрешение на
чтение для развернутой копии объекта групповой политики,
чтобы использовать все возможности установки программы управления
групповыми политиками.
- Членство в группе "Владельцы-создатели
групповой политики" должно быть ограничено, чтобы оно не
использовалось для обхода настроек доступа к объектам групповых
политик в расширенном управлении групповыми политиками. (В
Консоли управления групповыми политиками нажмите Объекты
групповых политик в лесу и домене, в котором требуется
управлять групповыми политиками, нажмите Делегирование, а
затем настройте параметры соответственно требованиям вашей
организации.)