Compartilhar via

Delegar acesso a um GPO individual no arquivo morto

  • Artigo

Como um Administrador AGPM (Controle Total), você pode delegar o gerenciamento de um GPO (Objeto de Política de Grupo) controlado no arquivo morto de forma que os grupos selecionados e os Editores possam editá-lo, os Revisores possam revisá-lo e os Aprovadores possam aprová-lo.

Para concluir este procedimento, é preciso ter uma conta de usuário com a função Administrador AGPM (Controle Total), a conta de usuário do Aprovador que criou o GPO ou uma conta de usuário com as permissões necessárias no AGPM (Gerenciamento Avançado de Política de Grupo). Consulte os detalhes em "Considerações adicionais" neste tópico.

Para delegar o gerenciamento de um GPO controlado

  1. Na árvore Console de Gerenciamento de Política de Grupo, clique em Alterar Controle na floresta e no domínio nos quais você deseja gerenciar GPOs.

  2. Na guia Conteúdo do painel de detalhes, clique na guia Controlado para exibir GPOs controlados e, em seguida, clique no GPO a ser delegado:

    • Para adicionar acesso a um usuário ou a um grupo, clique no botão Adicionar, selecione o usuário ou o grupo e clique em OK. Na caixa de diálogo Adicionar Grupo ou Usuário, selecione uma função e clique em OK.

    • Para remover acesso de um usuário ou de um grupo, selecione o usuário ou o grupo e clique no botão Remover.

      Dica

      Se um usuário ou um grupo herdar acesso a todo o domínio, o botão Remover não estará disponível. Você pode modificar o acesso a todo o domínio na guia Delegação de Domínio.

    • Para modificar as funções e as permissões delegadas a um usuário ou a um grupo, clique no botão Avançado. Na caixa de diálogo Permissões, selecione o usuário ou o grupo, marque a caixa de seleção de cada função que será atribuída ao usuário ou ao grupo e clique em OK.

      Dica

      Editor e Aprovador incluem permissões de Revisor.

Considerações adicionais

  • Por padrão, para executar este procedimento, você deve ser o Aprovador que criou ou controlou o GPO ou um Administrador AGPM (Controle Total). Mais especificamente, você deve ter a permissão Listar Conteúdo no domínio e a permissão Modificar Segurança no GPO.

  • Para delegar acesso de leitura aos administradores da Diretiva de Grupo que usam AGPM, você deve conceder a eles as permissões Listar Conteúdo e Configurações de Leitura. Isso permite que eles exibam GPOs na guia Conteúdo do AGPM. Outras permissões devem ser explicitamente delegadas.

  • Os Editores devem ter permissão de Leitura na cópia implantada de um GPO para usarem todos os recursos da Diretiva de Grupo de Instalação de Software.

  • A associação ao grupo Proprietários Criadores de Políticas de Grupo deve ser restrita, para que não seja utilizada com a intenção de contornar o gerenciamento de acesso a GPOs pelo AGPM. (No Console de Gerenciamento de Política de Grupo, clique em Objetos de Política de Grupo na floresta e no domínio nos quais você deseja gerenciar GPOs, clique em Delegação e defina as configurações de acordo com as necessidades de sua organização.)

Referências adicionais

-----
É possível obter mais informações sobre o MDOP na Biblioteca do TechNet, pesquisar sobre solução de problemas no Wiki da TechNet ou nos seguir no Facebook ou Twitter.
-----