Permissão para criar GPOs

3

O único motivo do grupo Proprietário do Criador de Diretiva de Grupo é repartir permissões de outros usuários para criar (e modificar apenas os próprios) GPOs no domínio?

Existe outra maneira de fazer isso via Powershell, ou esse grupo é o único caminho? ou seja, apenas distribuir as permissões sem ser membro do grupo.

Existe um cmdlet PS, por exemplo: Set-GPPermission , por exemplo, etc. Embora, de acordo com a technet do artigo, ele realmente não se aplique.

    
por PnP 09.06.2013 / 22:52

1 resposta

6

Em TechNet :

The ability to create GPOs in a domain is a permission that is managed on a per-domain basis. By default, only Domain Administrators, Enterprise Administrators, Group Policy Creator Owners, and SYSTEM can create new Group Policy objects. If the domain administrator wants a non-administrator or non-administrative group to be able to create GPOs, that user or group can be added to the Group Policy Creator Owners security group. Alternatively, you can use the Delegation tab on the Group Policy Objects container in GPMC to delegate creation of GPOs.

Portanto, se você quiser que alguém crie GPOs, coloque-os no grupo Proprietários do GP Creator ou delegue a permissão para criar e vincular GPOs a outro grupo de sua preferência.

Set-GPPermission realmente não lhe diz respeito. Esse Cmdlet é sobre segmentação, portanto, você pode impedir que um GPO seja aplicado a determinados principais, mesmo que sua localização na estrutura da UO caia sob o escopo desse GPO.

    
por 09.06.2013 / 22:58