В Расширенное управление групповыми политиками можно изменить доступ к Объекты групповой политики в производственной среде домена, заменив существующие разрешения для этих объектов групповой политики. Можно настроить разрешения на уровне домена, чтобы либо разрешить, либо запретить пользователям редактирование, удаление или изменение безопасности объектов групповой политики в производственной среде, если они не используют папку Изменение управления в Консоль управления групповыми политиками (GPMC).

Примечание
  • Изменение делегирования прав доступа к производственной среде не влияет на возможность пользователей связывать объекты групповой политики.

  • При управлении объектами групповой политики или их развертывании доступ к ним запрещается для всех учетных записей, кроме тех, которым предоставлены разрешения на чтение и применение.

Для выполнения этой процедуры требуется учетная запись пользователя либо с ролью Администратор расширенного управления групповыми политиками (полный доступ) либо с необходимыми разрешениями в Расширенное управление групповыми политиками. Просмотрите дополнительные сведения в "Дополнительных сведениях" в данном разделе.

Чтобы изменить настройки доступа к объектам групповой политики в производственной среде домена, выполните следующие действия.

  1. В дереве Консоль управления групповыми политиками нажмите Изменить управление в лесу или домене, в котором требуется управлять объектами групповых политик.

  2. Выберите вкладку Делегирование из производства.

  3. Чтобы добавить разрешения для пользователя или группы пользователей, не имеющих прав доступа к производственной среде, или заменить разрешения для пользователя или группы пользователей, которым доступ предоставлен, выполните следующие действия.

    1. Нажмите кнопку Добавить, выберите пользователя или группу, а затем нажмите кнопку ОК.

    2. Выберите разрешения для производственной среды, которые будут делегированы указанному пользователю или группе, а затем нажмите кнопку ОК.

  4. Чтобы удалить все разрешения для производственной среды, выберите пользователя или группу, нажмите кнопку Удалить, а затем кнопку ОК.

Дополнительные сведения

  • По умолчанию для выполнения этой процедуры пользователь должен являться Администратор расширенного управления групповыми политиками (полный доступ). В частности, требуется разрешение Изменение параметров безопасности для домена.

  • Разрешения для учетной записи службы AGPM невозможно изменить с помощью вкладки Делегирование из производства.

  • По умолчанию разрешения для управляемых объектов групповой политики в производственной среде назначаются указанным ниже учетным записям.

    Учетная запись Разрешения по умолчанию для объектов групповой политики

    <Учетная запись службы AGPM>

    Изменить параметры, удалить, изменить безопасность

    Пользователи, прошедшие проверку

    Чтение, Применить

    Администраторы домена

    Изменить параметры, удалить, изменить безопасность

    Администраторы предприятия

    Изменить параметры, удалить, изменить безопасность

    Контроллеры домена предприятия

    Чтение

    Система

    Изменить параметры, удалить, изменить безопасность
  • Членство в группе "Владельцы-создатели групповой политики" должно быть ограничено, чтобы оно не использовалось для обхода настроек доступа к объектам групповых политик в расширенном управлении групповыми политиками. (В Консоли управления групповыми политиками нажмите Объекты групповых политик в лесу и домене, в котором требуется управлять групповыми политиками, нажмите Делегирование, а затем настройте параметры соответственно требованиям вашей организации.)

Дополнительные ссылки