管理组策略的组权限？

请考虑以下情形：

客户工程部门负责管理用户以交互方式登录的所有系统，包括大多数公司台式机和笔记本电脑，以及 RDS 服务器和一些应用程序服务器。他们对所有这些系统都拥有本地管理员权限，并拥有全权决定如何配置这些系统、在这些系统上安装哪些软件以及谁可以访问哪些系统的运营决策。

为此，客户端工程团队需要能够控制其权限范围内的系统的组策略。因此，客户端工程安全组被授予了访问 GPMC 中的组策略对象容器的权限，以及将 GPO 链接到他们管理的 OU 和从其取消链接的能力。

问题：
Bob（客户工程团队的成员）创建了一个 GPO 来测试他正在处理的项目的一些应用程序设置，并将其链接到 OU 以测试功能。由于 Bob 创建了 GPO，因此他可以根据需要编辑、删除、链接、取消链接和委派 GPO。但 Bob 无权管理其他团队创建的 GPO，也没有权限将他的新 GPO 链接到委派 OU 树之外的容器。到目前为止一切顺利；这正是我们想要的。

不幸的是，当 Bob 创建新的 GPO 时，Windows 将他的用户帐户添加到 GPO 的 ACL 中，而不是 GPMC 的“组策略对象委派”选项卡中指定的客户端工程组。团队的其他成员可以将其链接/取消链接到其他 OU（因为该委派是从 ADUC 而不是从 GPMC 完成的），但 Bob 是唯一可以编辑、删除或更改该 GPO 权限的人。除非 Bob 记得明确授予客户端工程组权限，否则客户端工程团队的其他成员都无法管理此策略，除非他们也这样做，否则 Bob 也无法管理由他的团队的其他成员创建的策略。这很糟糕——根本不是我们想要的。

我们如何在 AD 中正确设置权限，以便客户端工程安全组的成员可以创建、编辑、删除和委派他们创建的组策略对象？