Délégation d'accès à l'environnement de production
Dans Gestion avancée des stratégies de groupe (AGPM), vous pouvez modifier l'accès aux Objets de stratégie de groupe dans l'environnement de production du domaine, en remplaçant toute autorisation existante sur ces GPO. Vous pouvez configurer des autorisations au niveau du domaine pour autoriser ou empêcher les utilisateurs de modifier ou de supprimer la sécurité des GPO dans l'environnement de production lorsqu'ils n'utilisent pas le dossier Contrôle des modifications dans la Console de gestion des stratégies de groupe (GPMC).
Notes
- Modifier la délégation de l'accès à l'environnement de production n'empêche pas les utilisateurs de lier les GPO.
- Lorsque des objets de stratégie de groupe sont contrôlés ou déployés, l'accès de tout autre compte, à l'exception de ceux disposant d'autorisations Lecture et Appliquer est supprimé.
Pour exécuter cette procédure, un compte d'utilisateur auquel est attribué le rôle Administrateur AGPM (contrôle total) ou les autorisations nécessaires dans Gestion avancée des stratégies de groupe (AGPM) est requis. Pour plus d’informations, voir la section « Considérations supplémentaires » de cette rubrique.
Modification de l'accès aux GPO dans l'environnement de production du domaine
Dans l’arborescence Console de gestion des stratégies de groupe, cliquez sur Changer le contrôle dans la forêt et le domaine dans lesquels vous souhaitez gérer les objets de stratégie de groupe.
Cliquez sur l'onglet Délégation de production.
Pour ajouter des autorisations pour un utilisateur ou un groupe n'ayant pas accès à l'environnement de production ou pour remplacer les autorisations d'un utilisateur ou d'un groupe n'ayant pas d'accès :
Cliquez sur Ajouter, sélectionnez un utilisateur ou un groupe, puis cliquez sur OK.
Sélectionnez les autorisations à déléguer à cet utilisateur ou ce groupe pour l'environnement de production, puis cliquez sur OK.
Pour supprimer toutes les autorisations relatives à l'environnement de production pour un utilisateur ou un groupe, sélectionnez-le, cliquez sur Supprimer, puis cliquez sur OK.
Considérations supplémentaires
Pour exécuter cette procédure, par défaut, vous devez être Administrateur AGPM (contrôle total). Plus précisément, vous devez disposer d'une autorisation Modifier la sécurité sur le domaine.
Il n'est pas possible de modifier les autorisations du compte de service AGPM sous l'onglet Délégation de production.
Par défaut, les comptes suivants disposent d'autorisations sur les GPO dans l'environnement de production :
Compte Autorisations par défaut pour les objets de stratégie de groupe <Compte de service AGPM>
Modifier les paramètres, Supprimer, Modifier la sécurité
Utilisateurs authentifiés
Lecture, Appliquer
Administrateurs du domaine
Modifier les paramètres, Supprimer, Modifier la sécurité
Administrateurs de l'entreprise
Modifier les paramètres, Supprimer, Modifier la sécurité
Contrôleurs de domaine d'entreprise
Lecture
Système
Modifier les paramètres, Supprimer, Modifier la sécurité
Les membres du groupe Propriétaires créateurs de la stratégie de groupe doivent être limités afin que ce groupe ne soit pas utilisé pour contourner la gestion AGPM des accès aux objets de stratégie de groupe. (Dans la Console de gestion des stratégies de groupe, cliquez sur Objets de stratégie de groupe dans la forêt et le domaine dans lesquels vous voulez gérer les objets de stratégie de groupe, cliquez sur Délégation, puis configurez les paramètres en fonction des besoins de votre organisation.)
Références supplémentaires
-----
Vous pouvez en apprendre plus sur MDOP dans la bibliothèque TechNet, rechercher des informations sur le dépannage dans le Wiki TechNet ou nous suivre sur Facebook ouTwitter.
-----