Freigeben über

Delegieren von Zugriff auf Domänenebene

  • Artikel

Einrichten der Delegierung für die Umgebung in einer Weise, dass Gruppenrichtlinienadministratoren über den erforderlichen Zugriff auf und die erforderliche Kontrolle über Gruppenrichtlinienobjekten (Group Policy Objects, GPOs) besitzen. Es können Basislinienberechtigungen angewendet werden, um den Betrieb effizienter zu gestalten. Berechtigungen können auf jede beliebige Weise erteilt werden, die den Anforderungen der Organisation entspricht.

Zum Ausführen dieses Vorgangs ist ein Benutzerkonto mit der Rolle AGPM-Administrator („Vollzugriff“) oder den erforderlichen Berechtigungen in Erweiterte Gruppenrichtlinienverwaltung (Advanced Group Policy Management, APGM) erforderlich. Ausführliche Informationen finden Sie unter „Zusätzliche Aspekte“ in diesem Thema.

So delegieren Sie den Zugriff in einer Weise, dass Benutzer und Gruppen domänenweit die erforderlichen Berechtigungen für alle Gruppenrichtlinienobjekte besitzen

  1. Klicken Sie in der Struktur Gruppenrichtlinien-Verwaltungskonsole in der Hauptstruktur und Domäne, in der Sie die GPOs verwalten möchten, auf dieOption zum Ändern des Steuerelements.

  2. Klicken Sie auf die Registerkarte Domänendelegierung, und konfigurieren Sie den Zugriff auf alle Gruppenrichtlinienobjekte in der Domäne:

    • Zum Hinzufügen des Zugriffs für einen Benutzer oder eine Gruppe, klicken Sie auf die Schaltfläche Hinzufügen, wählen Sie den Benutzer oder die Gruppe aus, und klicken Sie dann auf OK. Wählen Sie im Dialogfeld Benutzer oder Gruppe hinzufügen eine Rolle aus, und klicken Sie auf OK.

    • Zum Entfernen des Zugriffs für einen Benutzer oder eine Gruppe, wählen Sie den Benutzer oder die Gruppe aus, und klicken Sie dann auf die Schaltfläche Entfernen.

    • Zum Ändern der an einen Benutzer oder eine Gruppe delegierten Rollen und Berechtigungen wählen Sie die Schaltfläche Erweitert. Wählen Sie im Dialogfeld Berechtigungen den Benutzer oder die Gruppe aus, aktivieren Sie das Kontrollkästchen für jede dem betreffenden Benutzer oder der betreffenden Gruppe zuzuweisende Rolle, und klicken Sie dann auf OK.

      Hinweis

      Die Berechtigungen für Bearbeiter und genehmigende Personen umfassen die Prüferberechtigungen.

Weitere Überlegungen

  • Standardmäßig müssen Sie ein AGPM-Administrator („Vollzugriff“) sein, um diesen Vorgang auszuführen. Insbesondere müssen Sie über die Berechtigung Sicherheit ändern für die Domäne verfügen.

  • Zum Delegieren des Lesezugriffs auf Gruppenrichtlinienadministratoren, die AGPM verwenden, müssen Sie diesen die Berechtigungen Inhalt auflisten und Einstellungen lesen erteilen. Dies ermöglicht ihnen, Gruppenrichtlinienobjekte auf der Registerkarte Inhalt von AGPM anzuzeigen. Andere Berechtigungen müssen explizit delegiert werden.

  • Bearbeitern muss die Berechtigung Lesen für die bereitgestellte Kopie einer Gruppenrichtlinie erteilt worden sein, um die Gruppenrichtlinien-Softwareinstallation in vollem Umfang nutzen zu können.

  • Die Mitgliedschaft in der Gruppe „Richtlinien-Ersteller-Besitzer“ sollte beschränkt werden, damit bei der Zugangsverwaltung der GPOs nicht die erweiterte Gruppenrichtlinienverwaltung übergangen wird. (Klicken Sie in der Gruppenrichtlinien-Verwaltungskonsole in der Gesamtstruktur und Domäne, in der Sie die GPOs verwalten möchten, auf Gruppenrichtlinienobjekte und dann auf Delegierung. Konfigurieren Sie anschließend die Einstellungen, die Sie für Ihre Organisation benötigen.)

Weitere Referenzen