Compartilhar via

Delegar acesso ao ambiente de produção

  • Artigo

No AGPM (Gerenciamento Avançado de Política de Grupo), é possível alterar o acesso a GPOs (Objetos de Política de Grupo) no ambiente de produção do domínio, substituindo todas as permissões existentes nesses GPOs. É possível configurar permissões no nível de domínio para permitir ou impedir usuários de editar, excluir ou modificar a segurança de GPOs no ambiente de produção quando eles não estão usando a pasta Controle de Alterações no GPMC (Console de Gerenciamento de Política de Grupo).

Dica

  • A alteração de como o acesso ao ambiente de produção é delegado não afeta a possibilidade do usuário de vincular GPOs.

  • Quando os GPOs são controlados ou implantados, o acesso a qualquer conta, exceto àquelas com permissões de Ler e Aplicar, é removido.

Uma conta de usuário que tenha a função de Administrador AGPM (Controle Total) ou as permissões necessárias no AGPM (Gerenciamento Avançado de Política de Grupo) é obrigatória para concluir esse procedimento. Consulte os detalhes em "Considerações adicionais" neste tópico.

Para alterar o acesso a GPOs no ambiente de produção do domínio

  1. Na árvore Console de Gerenciamento de Política de Grupo, clique em Alterar Controle na floresta e no domínio nos quais você deseja gerenciar GPOs.

  2. Clique na guia Delegação de Produção.

  3. Para adicionar permissões para um usuário ou grupo que não tem acesso ao ambiente de produção ou para substituir as permissões de um usuário ou grupo que tem acesso:

    1. Clique em Adicionar, selecione um usuário ou grupo e clique em OK.

    2. Selecione as permissões que serão delegadas àquele usuário ou grupo no ambiente de produção e clique em OK.

  4. Para remover todas as permissões de um usuário ou grupo no ambiente de produção, selecione o usuário ou grupo, clique em Remover e em OK.

Considerações adicionais

  • Por padrão, você deve ser Administrador AGPM (Controle Total) para executar esse procedimento. Mais especificamente, você deve ter a permissão Modificar Segurança no domínio.

  • As permissões para a Conta do Serviço AGPM não podem ser alteradas na guia Delegação de Produção.

  • Por padrão, as contas a seguir têm permissões para GPOs no ambiente de produção:

    Conta Permissões padrão para GPOs

    <Conta do Serviço AGPM>

    Editar configurações, excluir, modificar segurança

    Usuários autenticados

    Ler, Aplicar

    Admins. do Domínio

    Editar configurações, excluir, modificar segurança

    Administradores de Empresa

    Editar configurações, excluir, modificar segurança

    Controladores de Domínio de Empresa

    Leitura

    Sistema

    Editar configurações, excluir, modificar segurança

  • A associação ao grupo Proprietários Criadores de Políticas de Grupo deve ser restrita, para que não seja utilizada com a intenção de contornar o gerenciamento de acesso a GPOs pelo AGPM. (No Console de Gerenciamento de Política de Grupo, clique em Objetos de Política de Grupo na floresta e no domínio nos quais você deseja gerenciar GPOs, clique em Delegação e defina as configurações de acordo com as necessidades de sua organização.)

Referências adicionais

-----
É possível obter mais informações sobre o MDOP na Biblioteca do TechNet, pesquisar sobre solução de problemas no Wiki da TechNet ou nos seguir no Facebook ou Twitter.
-----