În mod inevitabil, această sarcină se află într-o creștere deplină, odată ce începeți să utilizați conceptul de administrare pe bază de roluri. Pentru a fi sincer, fiind în euforie din posibilitățile AGPM. Sunt sigur că nu merită ouăle: au inclus contul în anumite grupuri, inclusiv "Proprietarii de creatori de politici de grup" și voila - asta este. Da, naiba cu doi!) Acest grup dracului este global și, prin urmare, nu poate conține obiecte din alte domenii. În plus, nu putem schimba nici măcar acest fapt: astfel de oportunități nu sunt disponibile:
Cel puțin, nu știu încă cum să o fac (dar am decis să mă ocup de această problemă în viitor). Astfel, nu vom putea face "rapid". Dacă ne vom retrage? Bineînțeles că nu! Dacă nu putem adăuga un obiect grupului, trebuie să creăm un nou grup, să îi oferim aceeași autoritate și să includem obiectul în acesta. Ce permisiuni dețin proprietarii de creatori de politici de grup? Din câte știu, pentru a crea orice GPO, trebuie să avem drepturile asupra containerului Policies din AD și asupra dosarului Policies din sysvol. Deci, să delegăm astfel de drepturi la noul nostru grup creat "Role GP Creator Owners":
1) la containerul Domain / System / Policies din AD:
Și cred că "Creați toate obiectele copilului" este un pic prea mare și puteți face o ajustare mai fină (dar nu am verificat-o doar o presupunere), dar grupul "Proprietarii de creatori de politică de grup" are astfel de competențe, deci nu o vom face mai rău .
2) Și în dosarul Politici:
Acum totul ar trebui să funcționeze. La mine, cum ar fi, lucrări, deși eu încă o să întreb despre asta băieți din SM, și pentru tine vă recomand tuturor cu atenție pentru a verifica pe standuri de testare. Dacă noile detalii devin clare, atunci voi corecta articolul, bineînțeles.
Trimiteți-le prietenilor: