委派管理實際執行環境的存取權

您可以在生產環境中變更群組原則物件 (GPO) 的存取權，取代這些 GPO 的任何現有許可權。 您可以在網域層級設定許可權，以允許或防止使用者在生產環境中編輯、刪除或修改 GPO 的安全性，當他們未使用 群組原則 管理主控台中的 [變更控制] 資料夾時， (GPMC) 。

注意  

• 委派生產環境的存取權不會影響使用者連結 GPO 的能力。

• 當 GPO 受到控制或部署時，除了具有 讀 取和 套 用許可權的帳戶以外，任何其他帳戶的存取權都會移除。

 

必須要有進階群組原則管理 (AGPM) 中必要許可權的使用者帳戶，或是 AGPM 系統管理員 (完全控制) 的角色，才能完成此程式。 檢閱本主題中中的詳細資料。

變更生產環境中 GPO 的存取權

1. 在[群組原則 管理主控台] 樹狀結構中，按一下您要管理 GPO 之樹系和網域中的 [變更控制項]。

2. 按一下 [ 生產委派] 索引 標籤。

3. 若要為沒有生產環境存取權的使用者或群組新增許可權，或取代具有存取權之使用者或群組的許可權：

   1. 按一下 [新增]，選取使用者或群組，然後按一下 [ 確定]。

   2. 選取要委派給生產環境之使用者或群組的許可權，然後按一下 [ 確定]。

4. 若要移除使用者或群組生產環境的擁有權限，請選取使用者或群組，按一下 [ 移除]，然後按一下 [ 確定]。

其他考量

• 根據預設，您必須是 AGPM 系統管理員 (完全控制) 才能執行此程式。 具體而言，您必須具有網域的 修改安全 性許可權。

• AGPM 服務帳戶的許可權無法在 [生產 委派] 索引標籤上變更。

• 根據預設，下列帳戶具有生產環境中 GPO 的許可權：

  帳戶	GPO 的預設許可權
  <AGPM 服務帳戶>	編輯設定、刪除、修改安全性
  已驗證的使用者	讀取、套用
  網域系統管理員	編輯設定、刪除、修改安全性
  企業系統管理員	編輯設定、刪除、修改安全性
  企業網域控制站	讀取
  系統	編輯設定、刪除、修改安全性

   

• 群組原則建立者擁有者群組中的成員資格應該受到限制，因此不會用來規避 AGPM 對 GPO 存取的管理。 (在群組原則 管理主控台中，按一下您要管理 GPO 之樹系和網域中的 [群組原則物件]，按一下[委派]，然後設定設定以符合組織的需求。)

其他參考

• 設定進階群組原則管理