如何將存取權委派給封存中的個別 GPO
身為 AGPM 系統管理員 (完全控制) ,您可以將受控制群組原則物件的管理委派 (封存中的 GPO) ,以便選取的群組和編輯器可以編輯它、檢閱者可以檢閱它,而核准者可以核准它。
需要具有 AGPM 系統管理員 (完全控制) 角色的使用者帳戶、建立 GPO 之核准者的使用者帳戶,或具有進階群組原則管理 (AGPM) 中必要許可權的使用者帳戶,才能完成此程式。 檢閱本主題中中的詳細資料。
委派受控制 GPO 的管理
在[群組原則 管理主控台] 樹狀結構中,按一下您要管理 GPO 之樹系和網域中的 [變更控制項]。
在詳細資料窗格的 [ 內容] 索引標籤上,按一下 [ 受控] 索引標籤以顯示受控制的 GPO,然後按一下要委派的 GPO:
若要新增使用者或群組的存取權,請按一下 [ 新增 ] 按鈕,選取使用者或群組,然後按一下 [ 確定]。 在 [ 新增群組或使用者 ] 對話方塊中,選取角色,然後按一下 [ 確定]。
若要移除使用者或群組的存取權,請選取使用者或群組,然後按一下 [ 移除] 按鈕。
注意 如果使用者或群組繼承整個網域的存取權,則無法使用 [ 移除 ] 按鈕。 您可以在 [網域委派] 索引標籤上修改全網 域存 取。
若要修改委派給使用者或群組的角色和許可權,請按一下 [ 進階 ] 按鈕。 在 [ 許可權 ] 對話方塊中,選取使用者或群組,選取要指派給該使用者或群組之每個角色的核取方塊,然後按一下 [ 確定]。
注意 編輯器和核准者包含檢閱者許可權。
其他考量
根據預設,您必須是建立或控制 GPO 的核准者,或是 (完全控制) 的 AGPM 系統管理員,才能執行此程式。 具體而言,您必須具有網域的 清單內容 許可權和 GPO 的 修改安全 性許可權。
若要將讀取權限委派給使用 AGPM 的群組原則系統管理員,您必須授與他們[清單內容] 和[讀取設定]許可權。 這可讓他們在 AGPM 的 [ 內容 ] 索引標籤上檢視 GPO。 必須明確委派其他許可權。
編輯器必須具有已部署 GPO 複本的讀取許可權,才能充分利用群組原則軟體安裝。
群組原則建立者擁有者群組中的成員資格應該受到限制,因此不會用來規避 AGPM 對 GPO 存取的管理。 (在群組原則 管理主控台中,按一下您要管理 GPO 之樹系和網域中的 [群組原則物件],按一下[委派],然後設定設定以符合組織的需求。)