Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Администратор AGPM (полный доступ) может делегировать управление управляемым объектом групповая политика (GPO) в архиве, чтобы выбранные группы и редакторы могли редактировать его, рецензенты могли просматривать его, а утверждающие могут утвердить его.
Для выполнения этой процедуры требуется учетная запись пользователя с ролью администратора AGPM (полный доступ), учетная запись утверждающего лица, создавшего объект групповой политики, или учетная запись пользователя с необходимыми разрешениями в advanced групповая политика Management (AGPM). Ознакомьтесь с подробными сведениями в разделе "Дополнительные рекомендации" в этом разделе.
Делегирование управления управляемым объектом групповой политики
В дереве консоли управления групповая политика щелкните Элемент управления изменениями в лесу и домене, в котором вы хотите управлять GPO.
На вкладке Содержимое в области сведений щелкните вкладку Контролируемые , чтобы отобразить управляемые объекты групповой политики, а затем щелкните объект групповой политики для делегирования:
Чтобы добавить доступ для пользователя или группы, нажмите кнопку Добавить , выберите пользователя или группу и нажмите кнопку ОК. В диалоговом окне Добавление группы или пользователя выберите роль и нажмите кнопку ОК.
Чтобы удалить доступ для пользователя или группы, выберите пользователя или группу и нажмите кнопку Удалить .
Заметка Если пользователь или группа наследует доступ на уровне домена, кнопка Удалить недоступна. Вы можете изменить доступ на уровне домена на вкладке Делегирование домена .
Чтобы изменить роли и разрешения, делегированные пользователю или группе, нажмите кнопку Дополнительно . В диалоговом окне Разрешения выберите пользователя или группу, выберите проверка для каждой роли, которая будет назначена пользователю или группе, и нажмите кнопку ОК.
Примечание Редактор и утверждающий включают разрешения рецензента.
Дополнительные рекомендации
По умолчанию для выполнения этой процедуры необходимо быть утверждающим, который создал объект групповой политики или управлял им, или администратором AGPM (полный доступ). В частности, необходимо иметь разрешение на содержимое списка для домена и разрешение На изменение безопасности для объекта групповой политики.
Чтобы делегировать доступ на чтение администраторам групповая политика, которые используют AGPM, необходимо предоставить им разрешения На чтение содержимого списка и параметров чтения. Это позволяет им просматривать объекты групповой политики на вкладке Содержимое AGPM. Другие разрешения должны быть явно делегированы.
Редакторы должны иметь разрешение на чтение для развернутой копии объекта групповой политики, чтобы в полной мере использовать групповая политика установки программного обеспечения.
Членство в группе владельцев групповая политика создателей должно быть ограничено, поэтому оно не используется для обхода управления доступом к объектам групповой политики agpm. (В консоли управления групповая политика щелкните групповая политика Объекты в лесу и домене, в котором вы хотите управлять объектами групповой политики, щелкните Делегирование, а затем настройте параметры в соответствии с потребностями вашей организации.)