Délégation d'accès à un GPO individuel dans l'archive

  • Article

En tant qu'Administrateur AGPM (contrôle total), vous devez déléguer la gestion d'un Objet de stratégie de groupe contrôlé dans l'archive de façon à ce que des groupes et des Éditeurs sélectionnés puissent le modifier, des Réviseurs le réviser et des Approbateurs l'approuver.

Pour exécuter cette procédure, un compte d'utilisateur auquel est attribué le rôle Administrateur AGPM (contrôle total), le compte d'utilisateur de l'Approbateur ayant créé le GPO ou un compte d'utilisateur disposant des autorisations nécessaires dans Gestion avancée des stratégies de groupe (AGPM) est requis. Pour plus d’informations, voir la section « Considérations supplémentaires » de cette rubrique.

Délégation de la gestion d'un GPO contrôlé

  1. Dans l’arborescence Console de gestion des stratégies de groupe, cliquez sur Changer le contrôle dans la forêt et le domaine dans lesquels vous souhaitez gérer les objets de stratégie de groupe.

  2. Sous l'onglet Contenu du volet d'informations, cliquez sur l'onglet Contrôlé pour afficher les GPO contrôlés, puis cliquez sur le GPO à déléguer :

    • Pour ajouter l'accès d'un utilisateur ou d'un groupe, cliquez sur le bouton Ajouter, sélectionnez l'utilisateur ou le groupe, puis cliquez sur OK. Dans la boîte de dialogue Ajouter un utilisateur ou un groupe, sélectionnez un rôle, puis cliquez sur OK.

    • Pour supprimer l'accès d'un utilisateur ou d'un groupe, sélectionnez-le, puis cliquez sur le bouton Supprimer.

      Notes

      Si un utilisateur ou un groupe hérite d'un accès à l'ensemble du domaine, le bouton Supprimer est indisponible. Vous pouvez modifier l'accès à l'ensemble du domaine sous l'onglet Délégation de domaine.

    • Pour modifier les rôles et les autorisations délégués à un utilisateur ou un groupe, cliquez sur le bouton Avancé. Dans la boîte de dialogue Autorisations, sélectionnez l'utilisateur ou le groupe, activez la case à cocher pour chaque rôle à lui attribuer, puis cliquez sur OK.

      Notes

      L'Éditeur et l'Approbateur disposent des autorisations de Réviseur.

Considérations supplémentaires

  • Pour exécuter cette procédure, par défaut, vous devez être l'Approbateur ayant créé ou contrôlé le GPO ou un Administrateur AGPM (contrôle total). Plus précisément, vous devez disposer d'une autorisation Répertorier le contenu sur le domaine et d'une autorisation Modifier la sécurité sur le GPO.

  • Pour déléguer un accès en écriture à des administrateurs de stratégie de groupe qui utilisent AGPM, vous devez leur octroyer des autorisations Répertorier le contenu et Lire les paramètres. Cela leur permet d'afficher des GPO sous l'onglet Contenu d'AGPM. Les autres autorisations doivent être déléguées de façon explicite.

  • Les éditeurs doivent disposer d'une autorisation Lecture sur la copie déployée d'un GPO pour pouvoir utiliser pleinement l'installation des logiciels de stratégie de groupe.

  • Les membres du groupe Propriétaires créateurs de la stratégie de groupe doivent être limités afin que ce groupe ne soit pas utilisé pour contourner la gestion AGPM des accès aux objets de stratégie de groupe. (Dans la Console de gestion des stratégies de groupe, cliquez sur Objets de stratégie de groupe dans la forêt et le domaine dans lesquels vous voulez gérer les objets de stratégie de groupe, cliquez sur Délégation, puis configurez les paramètres en fonction des besoins de votre organisation.)

Références supplémentaires

-----
Vous pouvez en apprendre plus sur MDOP dans la bibliothèque TechNet, rechercher des informations sur le dépannage dans le Wiki TechNet ou nous suivre sur Facebook ouTwitter.
-----