请考虑以下情形:
客户工程部门负责管理用户以交互方式登录的所有系统,包括大多数公司台式机和笔记本电脑,以及 RDS 服务器和一些应用程序服务器。他们对所有这些系统都拥有本地管理员权限,并拥有全权决定如何配置这些系统、在这些系统上安装哪些软件以及谁可以访问哪些系统的运营决策。
为此,客户端工程团队需要能够控制其权限范围内的系统的组策略。因此,客户端工程安全组被授予了访问 GPMC 中的组策略对象容器的权限,以及将 GPO 链接到他们管理的 OU 和从其取消链接的能力。
问题:
Bob(客户工程团队的成员)创建了一个 GPO 来测试他正在处理的项目的一些应用程序设置,并将其链接到 OU 以测试功能。由于 Bob 创建了 GPO,因此他可以根据需要编辑、删除、链接、取消链接和委派 GPO。但 Bob 无权管理其他团队创建的 GPO,也没有权限将他的新 GPO 链接到委派 OU 树之外的容器。到目前为止一切顺利;这正是我们想要的。
不幸的是,当 Bob 创建新的 GPO 时,Windows 将他的用户帐户添加到 GPO 的 ACL 中,而不是 GPMC 的“组策略对象委派”选项卡中指定的客户端工程组。团队的其他成员可以将其链接/取消链接到其他 OU(因为该委派是从 ADUC 而不是从 GPMC 完成的),但 Bob 是唯一可以编辑、删除或更改该 GPO 权限的人。除非 Bob 记得明确授予客户端工程组权限,否则客户端工程团队的其他成员都无法管理此策略,除非他们也这样做,否则 Bob 也无法管理由他的团队的其他成员创建的策略。这很糟糕——根本不是我们想要的。
我们如何在 AD 中正确设置权限,以便客户端工程安全组的成员可以创建、编辑、删除和委派他们创建的组策略对象?
答案1
您可能无法使用 GPMC 执行此操作。
微软在桌面优化包 (MDOP) 中提供了微软高级组策略管理 (AGPM),可以实现这一点。
更多信息https://docs.microsoft.com/en-us/microsoft-desktop-optimization-pack/agpm/index