能否通过设置,不允许非域管理员更改GPO策略?

瑶 景 1,210 信誉分
2024-11-27T10:44:55.39+00:00

工程师您好,

  当前AD域环境中,存在总部管理员和分厂管理员,请问有没有什么方法,可以不允许非域管理员(例如分厂管理员)修改GPO策略?或者指定只有特定的账户才能修改GPO策略。

谢谢!

Windows Server
Windows Server
支持企业级管理、数据存储、应用程序和通信的 Microsoft 服务器操作系统系列。
257 个问题
0 个注释 无注释
{count} 票

1 个答案

排序依据: 非常有帮助
  1. Daisy Zhou 26,326 信誉分 Microsoft 供应商
    2024-11-28T09:03:16.1933333+00:00

    尊敬的客户,您好!

    感谢您在 Q&A 论坛上发帖。

    在 Active Directory (AD) 域环境中,可以通过设置组策略对象 (GPO) 的权限来限制哪些用户或组可以修改 GPO。以下是具体步骤:

    1.打开组策略管理控制台 (GPMC):

    按 Win + R,输入 gpmc.msc,然后按回车。

    2.选择要设置权限的 GPO:

    1. 在左侧导航栏中,展开 “林: [你的域名]” > “域” > “[你的域名]” > “组策略对象”。
    2. 右键点击你要设置权限的 GPO,选择 “委派”。

    3.设置 GPO 的权限:

    1. 在 “委派” 选项卡中,点击 “高级”。
    2. 在 “安全设置” 窗口中,点击 “添加”,然后选择你要授予权限的用户或组(例如,总部管理员)。
    3. 选择用户或组后,点击 “确定”。
    4. 在 “权限” 列表中,勾选 “完全控制” 或 “编辑设置”,根据需要设置适当的权限。
    5. 确保其他用户或组(例如,分厂管理员)没有这些权限。

    4.应用并保存设置:

    点击 “应用” 和 “确定” 保存更改。

    通过这些步骤,你可以确保只有特定的账户(如总部管理员)才能修改 GPO 策略,而其他用户(如分厂管理员)则无法进行修改.

    Reference:

    域策略(7)——禁用本地administrator登录计算机_ad域控客户端加入后部分软件打开需要管理员-CSDN博客

    我希望以上信息对您有所帮助。

    如果您有任何问题或疑虑,请随时告诉我们。

    Best Regards,

    Daisy Zhou

    ============================================

    如果答案有帮助,请点击“接受答案”并投赞成票。

    0 个注释 无注释

你的答案

问题作者可以将答案标记为“接受的答案”,这有助于用户了解已解决作者问题的答案。