组策略创建者所有者组的唯一目的是否只是向其他用户授予在域中创建(然后仅修改他们自己的) GPO 的权限?
是否有其他方法可以通过 Powershell 执行此操作,或者该组是唯一的方法?即,无需成为该组的成员即可授予权限。
有一个 PS cmdlet,例如:Set-GPPermission例如等等。尽管根据文章中的技术网络,它并不真正适用。
答案1
从科技网:
在域中创建 GPO 的能力是按域管理的权限。默认情况下,只有域管理员、企业管理员、组策略创建者所有者和系统可以创建新的组策略对象。如果域管理员希望非管理员或非管理组能够创建 GPO,则可以将该用户或组添加到组策略创建者所有者安全组。或者,您可以使用 GPMC 中组策略对象容器上的委派选项卡来委派 GPO 的创建。
所以是的,如果您希望某人创建 GPO,请将他们放在 GP Creator Owners 组中,或者将创建和链接 GPO 的权限委托给您选择的另一个组。
设置 GPPermission并不真正关心您。该 Cmdlet 用于定位,以便您可以阻止 GPO 应用于某些主体,即使他们在 OU 结构中的位置原本属于该 GPO 的范围。