Comment déléguer l’accès à un objet de stratégie de groupe individuel dans l’archive
En tant qu’administrateur AGPM (contrôle total), vous pouvez déléguer la gestion d’un objet stratégie de groupe contrôlé (GPO) dans l’archive afin que les groupes et éditeurs sélectionnés puissent le modifier, que les réviseurs puissent l’examiner et que les approbateurs puissent l’approuver.
Un compte d’utilisateur avec le rôle Administrateur AGPM (contrôle total), le compte d’utilisateur de l’approbateur qui a créé l’objet de stratégie de groupe ou un compte d’utilisateur disposant des autorisations nécessaires dans Gestion avancée des stratégie de groupe (AGPM) est nécessaire pour effectuer cette procédure. Passez en revue les détails dans « Considérations supplémentaires » dans cette rubrique.
Pour déléguer la gestion d’un objet de stratégie de groupe contrôlé
Dans l’arborescence stratégie de groupe Management Console, cliquez sur Modifier le contrôle dans la forêt et le domaine dans lesquels vous souhaitez gérer les objets de stratégie de groupe.
Sous l’onglet Contenu du volet d’informations, cliquez sur l’onglet Contrôlé pour afficher les objets de stratégie de groupe contrôlés, puis cliquez sur l’objet de stratégie de groupe à déléguer :
Pour ajouter l’accès d’un utilisateur ou d’un groupe, cliquez sur le bouton Ajouter , sélectionnez l’utilisateur ou le groupe, puis cliquez sur OK. Dans la boîte de dialogue Ajouter un groupe ou un utilisateur , sélectionnez un rôle, puis cliquez sur OK.
Pour supprimer l’accès d’un utilisateur ou d’un groupe, sélectionnez l’utilisateur ou le groupe, puis cliquez sur le bouton Supprimer .
Note Si un utilisateur ou un groupe hérite d’un accès à l’échelle du domaine, le bouton Supprimer n’est pas disponible. Vous pouvez modifier l’accès à l’échelle du domaine sous l’onglet Délégation de domaine .
Pour modifier les rôles et les autorisations délégués à un utilisateur ou un groupe, cliquez sur le bouton Avancé . Dans la boîte de dialogue Autorisations , sélectionnez l’utilisateur ou le groupe, cochez la case pour chaque rôle à attribuer à cet utilisateur ou à ce groupe, puis cliquez sur OK.
Note L’éditeur et l’approbateur incluent les autorisations de réviseur.
Autres éléments à prendre en considération
Par défaut, vous devez être l’approbateur qui a créé ou contrôlé l’objet de stratégie de groupe ou un administrateur AGPM (contrôle total) pour effectuer cette procédure. Plus précisément, vous devez disposer de l’autorisation Lister le contenu pour le domaine et de l’autorisation Modifier la sécurité pour l’objet de stratégie de groupe.
Pour déléguer l’accès en lecture aux administrateurs stratégie de groupe qui utilisent AGPM, vous devez leur accorder les autorisations Contenu de la liste ainsi que les autorisations Paramètres de lecture. Cela leur permet d’afficher les objets de stratégie de groupe sous l’onglet Contenu d’AGPM. Les autres autorisations doivent être explicitement déléguées.
Les éditeurs doivent disposer de l’autorisation Lecture pour la copie déployée d’un objet de stratégie de groupe afin d’utiliser pleinement stratégie de groupe’installation de logiciels.
L’appartenance au groupe Propriétaires stratégie de groupe Créateur doit être restreinte, de sorte qu’elle n’est pas utilisée pour contourner la gestion AGPM de l’accès aux objets de stratégie de groupe. (Dans la console de gestion stratégie de groupe, cliquez sur stratégie de groupe Objets dans la forêt et le domaine dans lequel vous souhaitez gérer les objets de stratégie de groupe, cliquez sur Délégation, puis configurez les paramètres pour répondre aux besoins de votre organisation.)