Делегирование прав доступа к производственной среде
В Расширенное управление групповыми политиками можно изменить доступ к Объекты групповой политики (GPO) в производственной среде домена, заменив существующие разрешения для этих объектов групповой политики. Можно настроить разрешения на уровне домена, чтобы либо разрешить, либо запретить пользователям редактирование, удаление или изменение безопасности объектов групповой политики в производственной среде, если они не используют папку Изменение управления в Консоль управления групповыми политиками.
Примечание
- Изменение делегирования прав доступа к производственной среде не влияет на возможность пользователей связывать объекты групповой политики.
- При управлении объектами групповой политики или их развертывании доступ к ним запрещается для всех учетных записей, кроме тех, которым предоставлены разрешения на чтение и применение.
Для выполнения этой процедуры требуется учетная запись пользователя либо с ролью Администратор расширенного управления групповыми политиками (полный доступ) либо с необходимыми разрешениями в Расширенное управление групповыми политиками. Более подробные сведения см. в подразделе "Дополнительные рекомендации" данного раздела.
Чтобы изменить настройки доступа к объектам групповой политики в производственной среде домена, выполните следующие действия.
В дереве консоли управления групповыми политиками щелкните Управление изменениями в лесу и домене, в котором требуется управлять GPO.
Выберите вкладку Делегирование из производства.
Чтобы добавить разрешения для пользователя или группы пользователей, не имеющих прав доступа к производственной среде, или заменить разрешения для пользователя или группы пользователей, которым доступ предоставлен, выполните следующие действия.
Нажмите кнопку Добавить, выберите пользователя или группу, а затем нажмите кнопку ОК.
Выберите разрешения для производственной среды, которые будут делегированы указанному пользователю или группе, а затем нажмите кнопку ОК.
Чтобы удалить все разрешения для производственной среды, выберите пользователя или группу, нажмите кнопку Удалить, а затем кнопку ОК.
Дополнительные сведения
По умолчанию для выполнения этой процедуры пользователь должен являться Администратор расширенного управления групповыми политиками (полный доступ). В частности, требуется разрешение Изменение параметров безопасности для домена.
Разрешения для учетной записи службы AGPM невозможно изменить с помощью вкладки Делегирование из производства.
По умолчанию разрешения для управляемых объектов групповой политики в производственной среде назначаются указанным ниже учетным записям.
Учетная запись Разрешения по умолчанию для объектов групповой политики <Учетная запись службы AGPM>
Изменить параметры, удалить, изменить безопасность
Пользователи, прошедшие проверку
Чтение, Применить
Администраторы домена
Изменить параметры, удалить, изменить безопасность
Администраторы предприятия
Изменить параметры, удалить, изменить безопасность
Контроллеры домена предприятия
Чтение
Система
Изменить параметры, удалить, изменить безопасность
Членство в группе "Владельцы-создатели групповой политики" должно быть ограничено, чтобы оно не использовалось для обхода настроек доступа к GPO в расширенном управлении групповыми политиками. (В консоли управления групповыми политиками щелкните Объекты групповой политики в лесу и домене, в котором требуется управлять объектами групповой политики, щелкните Делегирование, а затем настройте параметры в соответствии с нуждами вашей организации.)
Дополнительные ссылки
-----
Дополнительные сведения о MDOP см. в библиотеке TechNet, сведения об устранении неполадок — на вики-сайте TechNet или присоединяйтесь к нам в Facebook или Twitter.
-----