Delegieren des Zugriffs auf ein einzelnes Gruppenrichtlinienobjekt
Als AGPM-Administrator („Vollzugriff“) können Sie die Verwaltung eines gesteuerten Gruppenrichtlinienobjekt (Group Policy Object, GPO)s delegieren, sodass ausgewählte Gruppen und Bearbeiter es bearbeiten, Prüfer es prüfen und genehmigende Personen es genehmigen können.
Für das Ausführen dieses Vorgangs ist ein Benutzerkonto mit der Rolle AGPM-Administrator („Vollzugriff“), das Benutzerkonto der genehmigenden Person, die das Gruppenrichtlinienobjekt erstellt hat, oder ein Benutzerkonto mit den erforderlichen Berechtigungen in Erweiterte Gruppenrichtlinienverwaltung (Advanced Group Policy Management, APGM) erforderlich. Ausführliche Informationen finden Sie unter „Zusätzliche Aspekte“ in diesem Thema.
So delegieren Sie die Verwaltung eines gesteuerten Gruppenrichtlinienobjekts
Klicken Sie in der Struktur Gruppenrichtlinien-Verwaltungskonsole in der Hauptstruktur und Domäne, in der Sie die GPOs verwalten möchten, auf dieOption zum Ändern des Steuerelements.
Klicken Sie auf der Registerkarte Inhalt im Detailbereich auf die Registerkarte Gesteuert, um die gesteuerten Gruppenrichtlinienobjekte anzuzeigen, und klicken Sie dann auf das zu delegierende Gruppenrichtlinienobjekt:
Zum Hinzufügen des Zugriffs für einen Benutzer oder eine Gruppe, klicken Sie auf die Schaltfläche Hinzufügen, wählen Sie den Benutzer oder die Gruppe aus, und klicken Sie dann auf OK. Wählen Sie im Dialogfeld Benutzer oder Gruppe hinzufügen eine Rolle aus, und klicken Sie auf OK.
Zum Entfernen des Zugriffs für einen Benutzer oder eine Gruppe, wählen Sie den Benutzer oder die Gruppe aus, und klicken Sie dann auf die Schaltfläche Entfernen.
Hinweis
Wenn ein Benutzer oder eine Gruppe durch Vererbung den domänenweiten Zugriff erhält, ist die Schaltfläche Entfernen nicht verfügbar. Der domänenweite Zugriff kann auf der Registerkarte Domänendelegierung geändert werden.
Zum Ändern der an einen Benutzer oder eine Gruppe delegierten Rollen und Berechtigungen klicken Sie auf die Schaltfläche Erweitert. Wählen Sie im Dialogfeld Berechtigungen den Benutzer oder die Gruppe aus, aktivieren Sie das Kontrollkästchen für jede dem betreffenden Benutzer oder der betreffenden Gruppe zuzuweisende Rolle, und klicken Sie auf OK.
Hinweis
Die Berechtigungen für Bearbeiter und genehmigende Personen umfassen die Prüferberechtigungen.
Weitere Überlegungen
Standardmäßig müssen Sie zum Ausführen dieses Vorgangs die genehmigende Person, die das Gruppenrichtlinienobjekt erstellt hat oder steuert oder ein AGPM-Administrator („Vollzugriff“) sein. Insbesondere müssen Sie über die Berechtigung Inhalt auflisten für die Domäne und die Berechtigung Sicherheit ändern für das Gruppenrichtlinienobjekt verfügen.
Zum Delegieren des Lesezugriffs auf Gruppenrichtlinienadministratoren, die AGPM verwenden, müssen Sie diesen die Berechtigungen Inhalt auflisten und Einstellungen lesen erteilen. Dies ermöglicht ihnen, Gruppenrichtlinienobjekte auf der Registerkarte Inhalt von AGPM anzuzeigen. Andere Berechtigungen müssen explizit delegiert werden.
Bearbeiter müssen über die Berechtigung Lesen für die bereitgestellte Kopie einer Gruppenrichtlinie verfügen, um die Gruppenrichtlinien-Softwareinstallation in vollem Umfang nutzen zu können.
Die Mitgliedschaft in der Gruppe „Richtlinien-Ersteller-Besitzer“ sollte beschränkt werden, damit bei der Zugangsverwaltung der GPOs nicht die erweiterte Gruppenrichtlinienverwaltung übergangen wird. (Klicken Sie in der Gruppenrichtlinien-Verwaltungskonsole in der Gesamtstruktur und Domäne, in der Sie die GPOs verwalten möchten, auf Gruppenrichtlinienobjekte und dann auf Delegierung. Konfigurieren Sie anschließend die Einstellungen, die Sie für Ihre Organisation benötigen.)