Delegieren des Zugriffs auf die Produktionsumgebung
Sie können den Zugriff auf Gruppenrichtlinienobjekten (Group Policy Objects, GPOs) in der Produktionsumgebung anpassen und alle vorhandenen Berechtigungen für diese Gruppenrichtlinienobjekte ersetzen. Wenn Gruppenrichtlinienobjekte gesteuert oder bereitgestellt werden, wird der Zugriff für alle anderen Konten, abgesehen von Konten mit den Berechtigungen Lesen und Anwenden, entfernt.
Zum Ausführen dieses Vorgangs ist ein Benutzerkonto mit der Rolle AGPM-Administrator („Vollzugriff“) oder den erforderlichen Berechtigungen in Erweiterte Gruppenrichtlinienverwaltung (Advanced Group Policy Management, APGM) erforderlich. Ausführliche Informationen finden Sie unter „Zusätzliche Aspekte“ in diesem Thema.
So ändern Sie den Zugriff auf Gruppenrichtlinienobjekte in der Produktionsumgebung
Klicken Sie in der Struktur Gruppenrichtlinien-Verwaltungskonsole in der Hauptstruktur und Domäne, in der Sie die GPOs verwalten möchten, auf dieOption zum Ändern des Steuerelements.
Klicken Sie auf die Registerkarte Produktionsdelegierung.
So fügen Sie Berechtigungen für einen Benutzer oder eine Gruppe hinzu, der oder die nicht über Zugriff auf die Produktionsumgebung verfügt, oder ersetzen die Berechtigungen für einen Benutzer oder eine Gruppe, der oder die über Zugriff verfügt:
Klicken Sie auf Hinzufügen, wählen Sie einen Benutzer oder eine Gruppe aus, und klicken Sie auf OK.
Wählen Sie die Berechtigungen aus, die für die Produktionsumgebung an diesen Benutzer oder diese Gruppe delegiert werden sollen, und klicken Sie auf OK.
Wenn Sie alle Berechtigungen für die Produktionsumgebung für einen Benutzer oder eine Gruppe entfernen möchten, wählen Sie den Benutzer oder die Gruppe aus, klicken Sie auf Entfernen, und klicken Sie auf OK.
Weitere Überlegungen
Standardmäßig müssen Sie ein AGPM-Administrator („Vollzugriff“) sein, um diesen Vorgang auszuführen. Insbesondere müssen Sie über die Berechtigung Sicherheit ändern für die Domäne verfügen.
Die Berechtigungen für das AGPM-Dienstkonto können nicht auf der Registerkarte Produktionsdelegierung geändert werden.
Standardmäßig weisen die folgenden Konten Berechtigungen für Gruppenrichtlinienobjekte in der Produktionsumgebung auf:
Konto Standardberechtigungen für Gruppenrichtlinienobjekte <AGPM-Dienstkonto>
Einstellungen bearbeiten, löschen, Sicherheit ändern
Authentifizierte Benutzer
Lesen, Anwenden
Domänen-Admins
Einstellungen bearbeiten, löschen, Sicherheit ändern
Organisations-Admins
Einstellungen bearbeiten, löschen, Sicherheit ändern
Unternehmensdomänencontroller
Lesen
System
Einstellungen bearbeiten, löschen, Sicherheit ändern
Die Mitgliedschaft in der Gruppe „Richtlinien-Ersteller-Besitzer“ sollte beschränkt werden, damit bei der Zugangsverwaltung der GPOs nicht die erweiterte Gruppenrichtlinienverwaltung übergangen wird. (Klicken Sie in der Gruppenrichtlinien-Verwaltungskonsole in der Gesamtstruktur und Domäne, in der Sie die GPOs verwalten möchten, auf Gruppenrichtlinienobjekte und dann auf Delegierung. Konfigurieren Sie anschließend die Einstellungen, die Sie für Ihre Organisation benötigen.)